漏洞挖掘fofa+xray_xray使用命令资源-CSDN下载

共2个文件

py：1个

ini：1个

需积分: 50 181 浏览量 2020-09-25 20:12:39 上传评论 6 收藏 1KB ZIP 举报

《利用fofa与xray进行漏洞挖掘：批量扫描与安全检测》在网络安全领域，漏洞挖掘是一项至关重要的工作，它能帮助我们发现并修复系统中的安全隐患，防止恶意攻击的发生。本文将详细介绍如何利用fofa搜索引擎和xray工具进行批量漏洞扫描，以提升网络安全防护能力。 fofa是一个强大的网络资产搜索平台，它能够帮助安全研究人员快速定位到目标网站或服务的基础设施信息。通过输入特定的关键词，fofa可以提供大量的网络设备、服务器、应用等信息，为我们的漏洞挖掘工作提供线索。 xray则是一款功能强大的安全评估工具，它集成了多种漏洞检测模块，支持对Web应用程序进行深度扫描，包括但不限于SQL注入、XSS跨站脚本、命令注入、文件包含等多种常见漏洞。xray的强大之处在于其灵活的配置和高度的自动化，可以实现对大量目标的快速扫描。结合fofa和xray，我们可以构建一个批量刷洞脚本，以实现大规模的漏洞检测。例如，`config.ini`文件通常用于存储配置信息，如fofa的API Key、待扫描的目标列表以及xray的扫描设置。`scan.py`则可能是实现这个功能的Python脚本，它会读取`config.ini`中的配置，调用fofa接口获取目标信息，然后使用xray对这些目标进行扫描。在实际操作中，首先需要在`config.ini`中配置fofa的API Key，这是使用fofa服务的身份凭证。同时，定义需要扫描的资产类型或关键词，例如，如果我们要针对WordPress站点进行扫描，可以在配置文件中指定"WordPress"作为搜索条件。然后，`scan.py`脚本会利用fofa API获取匹配条件的网络资产信息，这可能包括IP地址、域名等。接着，脚本会启动xray，将这些目标逐个输入，执行各种漏洞检测任务。xray会返回扫描结果，包括可能存在的漏洞、受影响的URL、漏洞类型等详细信息。在处理扫描结果时，我们需要对每个发现的漏洞进行验证，以确保它们是真实的而不是误报。这可能涉及到人工复现漏洞，或者使用其他工具进行二次确认。对于确认的漏洞，应及时报告给相关责任人，并采取措施修复，以避免潜在的安全风险。总结来说，fofa+xray的组合为网络安全专业人士提供了一种高效且全面的漏洞挖掘方案。通过编写批量脚本，我们可以对大量目标进行快速扫描，及时发现并处理安全隐患，保障网络环境的安全。在实际工作中，合理运用这两款工具，结合良好的编程习惯和严谨的安全策略，能够极大地提升我们的漏洞挖掘能力和网络安全防护水平。

资源推荐

资源详情

资源评论

收起资源包目录

xray批量挖洞脚本.zip （2个子文件）

config.ini 51B

scan.py 2KB

import requests import json import re import os import time import base64 def load_config(): try: os.mkdir('result') except: pass with open('config.ini', 'r') as f: config=f.readlines() if len(config)!=2: print('请先正确配置好fofa API的key和email') exit() return config def input_keyword(): print('先确保你已经在config.ini配置好fofa的api参数\n每个url的检测报告会实时输出到/result目录下\n微信公众号：台下言书') string=input("请输入fofa关键字:\n") a = base64.b64encode(string.encode()) size=input('API获取的条数：\n') keyword=str(a,encoding="utf8") return keyword,size def API(config,keyword,size): url='https://fofa.so/api/v1/search/all?email={}&key={}&qbase64={}&size={}'.format(config[0].replace('\n',''),config[1],keyword,size) print('获取资产中...') try: response = requests.get(url) # 获取网页源代码内容 response.raise_for_status() # 失败请求(非200响应)抛出异常 response.encoding = "utf-8" # 设置网页编码 fofa_data = response.text return fofa_data except: print('请求错误，请检查网络情况！') def get_urls(fofa_json): a = fofa_json['results'] for b in a: c = b[0] if re.findall('http', c) == []: c = 'http://' + c urls.append(c) def xray(urls): print('开始扫描...') for url in urls: name = url.replace('https://', '').replace('http://', '').replace('/', '').replace('\n', '').replace(':', '-') cmd = 'powershell .\\xray.exe webscan --basic-crawler {0}/ --html-output {1}.html'.format(url.replace('\n', ''), 'result/' + name) os.system(cmd.replace('\n', '')) time.sleep(10) urls=[] config=load_config() aaa=input_keyword() keyword=aaa[0] size=aaa[1] fofa_json=json.loads(API(config,keyword,size)) get_urls(fofa_json) xray(urls)

评论收藏

内容反馈