├── Disclaimer.md ├── LICENSE.md ├── README.md └── image ├── wechat.jpg └── xpoc-logo.svg /Disclaimer.md: -------------------------------------------------------------------------------- 1 | ## 免责声明 2 | 3 | 本工具仅面向**合法授权**的企业安全建设行为,如您需要测试本工具的可用性,请自行搭建靶机环境。 4 | 5 | 在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。**请勿对非授权目标进行扫描。** 6 | 7 | 如果您获得了本软件社区高级版等版本的 License,该 License 下的权益仅限您个人使用,**禁止以任何形式复制、分发、传播该 License。** 8 | 9 | 禁止对本软件实施逆向工程、反编译、试图破译源代码等行为。 10 | 11 | **如果发现上述禁止行为,我们将保留追究您法律责任的权利。** 12 | 13 | 如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。 14 | 15 | 在安装并使用本工具前,请您**务必审慎阅读、充分理解各条款内容**,限制、免责条款或者其他涉及您重大权益的条款可能会以加粗、加下划线等形式提示您重点注意。 16 | 除非您已充分阅读、完全理解并接受本协议所有条款,否则,请您不要安装并使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的,即视为您已阅读并同意本协议的约束。 17 | 18 | 19 | ## Disclaimer 20 | 21 | This tool is only for **legally authorized** enterprise security construction behavior, if you need to test the usability of this tool, please build your own target environment. 22 | 23 | When using this tool for testing, you should ensure that the behavior complies with local laws and regulations and that sufficient authorization has been obtained. **Do not scan unauthorized targets.** 24 | 25 | If you have obtained the License of the software Community Premium Edition and other versions, the rights and interests under the License are for your personal use only. **Reproduction, distribution and dissemination of the License in any form are prohibited.** 26 | 27 | It is forbidden to reverse engineer, decompile, and attempt to decipher the source code of the software. 28 | 29 | **We reserve the right to hold you legally liable if we find the above prohibited behavior.** 30 | 31 | If you have any illegal behavior in the process of using this tool, you need to bear the corresponding consequences of yourself, and we will not bear any legal and joint liability. 32 | 33 | Before installing and using the tool, please **be sure to carefully read and fully understand the content of the terms**. Limitations, disclaimers or other terms involving your significant rights and interests may be in bold, underlined and other forms to remind you to pay attention. 34 | Please do not install and use this tool unless you have fully read, fully understand and accept all the terms of this Agreement. Your use of this Agreement or your acceptance of this Agreement by any other express or implied means shall be deemed that you have read and agreed to be bound by this Agreement. -------------------------------------------------------------------------------- /LICENSE.md: -------------------------------------------------------------------------------- 1 | 在符合以下条件的情况下,我们欢迎任何人以任何形式使用本项目(包括商用)。 2 | 3 | - 注明集成了本项目(注明方式: 在项目介绍页附上本项目 repo 地址) 4 | - 同意 https://github.com/chaitin/xpoc/blob/main/Disclaimer.md 免责声明 5 | 6 | Anyone is welcome to use this program in any form provided the following conditions are met (Including commercial). 7 | 8 | - Indicate the integration of the project (indicate: attach the repo address of the project on the project introduction page) 9 | - Agree to https://github.com/chaitin/xpoc/blob/main/Disclaimer.md disclaimer -------------------------------------------------------------------------------- /README.md: -------------------------------------------------------------------------------- 1 |

2 | xpoc 3 |
4 |

5 | 6 |

为供应链漏洞扫描设计的快速应急响应工具

7 | 8 |

9 | 10 | 11 | Documentation 12 | 13 |

14 | 15 |

16 | 快速开始 • 17 | 特点 • 18 | 使用 • 19 | 贡献 • 20 | 下载 • 21 | 使用文档 22 |

23 | 24 | --- 25 | 26 | ## 🚀 快速使用 27 | 28 | **在使用之前,请务必阅读并同意 [License](./LICENSE.md) 文件中的条款,否则请勿安装使用本工具。** 29 | 30 | 1. 扫描指定目标 31 | 32 | - `./xpoc -t https://example.com -o result.html` 33 | 34 | 2. 查看所有云端的POC 35 | 36 | - `./xpoc list -a` 37 | 38 | 3. 批量扫描 39 | 40 | - `./xpoc < targets.txt` 41 | - ` cat targets.txt | ./xpoc` 42 | - `./xpoc -i targets.txt` 43 | 44 | 4. 同步最新插件 45 | 46 | 首次启动会自动进行一次全量同步 47 | 48 | - `./xpoc pull` 49 | 50 | 5. 更新到最新版本 51 | 52 | - `./xpoc upgrade` 53 | 54 | ## 🪟 特点 55 | 56 | 1. 支持云端获取POC,可以以最快的速度进行应急响应 57 | 2. 使用xray yaml poc脚本格式,支持TCP/UDP协议的插件的编写和加载,并可以使用golang自定义插件实现功能增强 58 | 3. 自定义golang插件,支持更多种的漏洞检测,支持加载工具插件等 59 | - 漏洞扫描 60 | - 向yaml脚本注入新功能 61 | - 自定义爬虫 62 | - 网页截图 63 | - ... 64 | 65 | ## 📦 安装使用 66 | 67 | 在[releases](https://github.com/chaitin/xpoc/releases)中下载对应的系统的最新版即可,运行`xpoc -h`即可查看帮助 68 | 69 | ```bash 70 | __ /\ /\_. ___. _____ 71 | | |/ / / __.\/ __.\/ ____| 72 | | /XRAY™/_/ / / / / / 73 | / . | / .___/ /_/ / /___. 74 | / /|_| / / \____/\____/ 75 | \/v0.0.3\/cloud plugins: [97] 76 | 77 | [INFO] 2023-05-26 15:10:17 use config at: xpoc-config.yaml [strategy.go:30] 78 | 79 | NAME: 80 | xpoc - light poc scanner 81 | 82 | USAGE: 83 | Scan single target: xpoc -t https://example.com 84 | └> multiple targets: xpoc -t 192.168.0.1,192.168.0.1:443,tcp://192.168.1.1:8000 85 | Input from file: xpoc -i targets.txt 86 | └> from pipe: cat targets.txt | xpoc 87 | Output to JSON: xpoc -t https://example.com -o result.json 88 | └> to HTML: xpoc -t https://example.com -o result.html 89 | Run plugins form cloud: xpoc -r 1 -t http://example.com 90 | └> plugins from local: xpoc -r ./poc-yaml-example.yaml -t http://example.com 91 | List local plugins: xpoc list 92 | └> cloud plugins: xpoc list -a 93 | Pull all cloud plugins: xpoc pull 94 | └> specific plugins: xpoc pull -id 1 95 | 96 | COMMANDS: 97 | pull 下载及更新插件 98 | add 将文件添加到插件仓库 99 | list 列出插件 100 | upgrade 升级到最新版本 101 | help, h Shows a list of commands or help for one command 102 | 103 | GLOBAL OPTIONS: 104 | --run value, -r value 执行指定插件 多个插件间','分割 支持glob语法 用于测试插件或过滤插件 105 | --enable value, -e value 在默认策略(全量探测)基础上增加本地插件,支持glob语法 106 | --disable value, -d value 禁用部分插件,支持glob语法 107 | --config value, -c value 指定配置文件 108 | --debug debug (default: false) 109 | --quiet, -q 不显示banner (default: false) 110 | -p value 需要探测的TCP端口 111 | --bw value 最大带宽占用限制(KB/s): 限制扫描发包的最大速率 与PPS的换算关系为: PPS=带宽*1024/60 (default: 2000) 112 | --Pn 禁用主机存活探测: 端口扫描之前不进行主机存活探测 (default: false) 113 | -o value [ -o value ] 结果输出: 指定保存结果的文件路径 114 | -t value 扫描目标: 可以为URL/IP/域名/Host:Port等多种形式的混合输入 115 | -i value 目标文件: 指定含有扫描目标的文本文件 116 | --help, -h show help (default: false) 117 | ``` 118 | 119 | ## ⚡️ 进阶 120 | 121 | 下列高级用法请查看 https://docs.xray.cool/tools/xpoc/QuickStart 使用。 122 | 123 | - 修改配置文件 124 | - go插件编写(施工中) 125 | - 反连平台的使用 126 | - ... 127 | 128 | ## 😘 贡献 POC 129 | 130 | xray的进步离不开各位师傅的支持,秉持着互助共建的精神,为了让我们共同进步,xray也开通了“PoC收录”的渠道!在这里你将会得到: 131 | 132 | ### 提交流程 133 | 134 | 1. 贡献者以 PR 的方式向 github xray 社区仓库内提交, POC 提交位置: https://github.com/chaitin/xray/tree/master/pocs, 指纹识别脚本提交位置: https://github.com/chaitin/xray/tree/master/fingerprints 135 | 2. PR 中根据 Pull Request 的模板填写 POC 信息 136 | 3. 内部审核 PR,确定是否合并入仓库 137 | 4. 但需要注意,如果想要获得POC的奖励,需要将你的POC提交到[CT stack](https://stack.chaitin.com/poc/list),才能获取到奖励 138 | 139 | ### 丰厚的奖励 140 | 141 | - 贡献PoC将获得**丰厚的金币奖励**,成就感满满; 142 | - **丰富的礼品**兑换专区,50余种周边礼品任你挑选; 143 | - 定期更有京东卡上线兑换,离**财富自由**又近了一步; 144 | - 进入核心社群的机会,领取特殊任务,赚取**高额赏金**; 145 | 146 | ### 完善的教程 147 | 148 | - 完善的**PoC编写教程和指导**,让你快速上手,少走弯路; 149 | 150 | ### 学习与交流 151 | 152 | - **与贡献者、开发者面对面**学习交流的机会,各项能力综合提高; 153 | - 免笔试的**直通面试机会**,好工作不是梦; 154 | 155 | 如果你已经成功贡献过PoC但是还没有进群,请添加客服微信: 156 | 157 | 158 | 159 | 提供平台注册id进行验证,验证通过后即可进群! 160 | 161 | 参照: https://docs.xray.cool/#/guide/contribute 162 | 163 | ## 🔧周边生态 164 | 165 | ### POC编写辅助工具 166 | 167 | 该工具可以辅助生成POC,且在线版支持**poc查重**,本地版支持直接发包验证 168 | 169 | #### 在线版 170 | - [**规则实验室**](https://poc.xray.cool) 171 | - 在线版支持对**poc查重** 172 | #### 本地版 173 | - [**gamma-gui**](https://github.com/zeoxisca/gamma-gui) 174 | 175 | ### xray gui辅助工具 176 | 177 | 本工具仅是简单的命令行包装,并不是直接调用方法。在 xray 的规划中,未来会有一款真正的完善的 GUI 版 XrayPro 工具,敬请期待。 178 | 179 | - [**super-xray**](https://github.com/4ra1n/super-xray) 180 | 181 | ## 📝 讨论区 182 | 183 | 提交误报漏报需求等等请务必先阅读 https://docs.xray.cool/#/guide/feedback 184 | 185 | 如有问题可以在 GitHub 提 issue, 也可在下方的讨论组里 186 | 187 | 1. GitHub issue: https://github.com/chaitin/xpoc/issues 188 | 189 | 2. 微信公众号:微信扫描以下二维码,关注我们 190 | 191 | 192 | 193 | 3. 微信群: 请添加微信公众号并点击“联系我们" -> "加群“,然后扫描二维码加群 194 | 195 | 4. QQ 群: 717365081 196 | -------------------------------------------------------------------------------- /image/wechat.jpg: -------------------------------------------------------------------------------- https://raw.githubusercontent.com/chaitin/xpoc/e661d246fb03bfb41eb19631312a3334efcf8f99/image/wechat.jpg -------------------------------------------------------------------------------- /image/xpoc-logo.svg: -------------------------------------------------------------------------------- 1 | 2 | 3 | 5 | 8 | 9 | 10 | 17 | 18 | 20 | 21 | 25 | 26 | 27 | 28 | 31 | 33 | 34 | 37 | 40 | 42 | 43 | 44 | --------------------------------------------------------------------------------