└── README.md /README.md: -------------------------------------------------------------------------------- 1 | 2025年开始了,我要重构此项目,在之前的项目中,该方案给我带来了几千块的收益,虽然是自动化,但是想法还是过于幼稚,希望今年重构一个更高效的自动化。 2 | 2025 年 8 月 17 日 项目早就构建完成,并运行了一段时间了,但是,漏洞的收获甚微,不比几年前,通过自动化就能得出一大堆高危漏洞了 3 | 4 | 5 | 6 | 7 | # 总结赏金技巧和工作技巧 8 | 9 | ``` 10 | 本列表,收集一些在服务器上运行的一些工具,组件自动化,服务器长期挂跑项目 欢迎提issues,来丰富工作流程,比如自己挖洞时候的一些简易流程,工具+调用命令, 11 | 在我的日常渗透中,我发现我重复调用几个工具,但是不同的调用组合渗透的工作流程,有时候调用命令会忘记,所以有了这个列表,来达到帮助我记忆一些流程命令的文档,未来还会细化过程,脚本小子福音了 12 | 13 | 其中有些连接和笔记从17年我的笔记所摘取,有错误请提醒,我修改一下,有些技巧也很老了,现在信息收集分为主动化和被动化,主动化更偏向于发现新资产,被动化稍微弱点。 14 | ``` 15 | 16 | **//子域名获取** 17 | 18 | ``` 19 | subdomain3 https://github.com/yanxiu0614/subdomain3/blob/master/README_ZH.md 20 | 21 | subfinder https://github.com/projectdiscovery/subfinder 22 | 23 | ksubdomain https://github.com/knownsec/ksubdomain 24 | 25 | ``` 26 | 27 | 通过RapidDNS查询子域名 28 | 29 | ``` 30 | curl -s "https://rapiddns.io/subdomain/$1?full=1" | grep -oP '_blank">\K[^<]*' | grep \* |sort -u 31 | ``` 32 | 33 | 证书透明收集子域名 34 | 35 | ``` 36 | 证书透明度: 37 | echo 'https://bl669.com' | ./httpx -tls-probe -json -silent | jq -r '.["tls-grab"]'.dns_names >> a.txt 38 | ``` 39 | 40 | 使用工具提取证书的域名;https://github.com/cheetz/sslScrape 41 | 42 | 43 | 44 | # 一键调用subfinder+ksubdomain+httpx 强强联合从域名发现到域名验证到获取域名标题、状态码以及响应大小 45 | 46 | ``` 47 | ./subfinder -d mrxn.net -silent|sudo ./ksubdomain -verify -skip-wild -silent|./httpx -title -content-length -status-code -o mrxn.net.txt 48 | ``` 49 | 50 | https://github.com/Mr-xn/subdomain_shell/blob/master/ubuntu/run.sh 51 | 52 | 这样接入二次扫描好一点 53 | 54 | ``` 55 | subfinder -d shopifykloud.com -silent|ksubdomain -verify -skip-wild -silent|httpx -o shopifykloud.com.txt 56 | 57 | ``` 58 | 59 | **DNS枚举** 60 | 61 | ``` 62 | https://github.com/projectdiscovery/dnsx 63 | ``` 64 | 65 | 66 | **端口扫描** 67 | 68 | ``` 69 | https://github.com/projectdiscovery/naabu 70 | ``` 71 | 72 | 73 | **//存活验证** 74 | 75 | ``` 76 | httpx https://github.com/projectdiscovery/httpx 77 | ``` 78 | 79 | 80 | **批量目录扫描** 81 | 82 | ``` 83 | https://github.com/H4ckForJob/dirmap 84 | ``` 85 | 86 | 命令行调用命令 87 | 88 | ``` 89 | subfinder -silent -dL domain.txt | dnsx -silent | naabu -top-ports 1000 -silent| httpx -title -tech-detect -status-code 90 | 91 | subfinder -d domain.net -silent | ksubdomain e --stdin --silent | naabu -top-ports 1000 -silent 92 | 93 | subfinder -silent -dL domain.txt | dnsx -silent | httpx -o output.txt 94 | 95 | subfinder -d domain.com -silent 96 | 97 | subfinder -silent -dL domain.txt | dnsx -silent | httpx -mc 200 -timeout 30 -o output.txt 98 | ``` 99 | 100 | 101 | 102 | **//去重对比** 103 | 104 | ``` 105 | anew https://github.com/tomnomnom/anew 106 | 107 | ``` 108 | 109 | gf https://github.com/tomnomnom/gf GF分步安装教程;https://doepichack.com/gf-tool-step-by-step-guide/ 110 | 111 | ``` 112 | go install github.com/tomnomnom/gf@latest 113 | ``` 114 | 115 | 116 | 117 | **//获取子域名,对比文件,验证存活,达到监听新资产的目的** 118 | 119 | ``` 120 | subfinder -silent -dL domain.txt | anew domians.txt | httpx -title -tech-detect -status-code 121 | ``` 122 | 123 | **视觉侦查** 124 | https://github.com/sensepost/gowitness 125 | 126 | ``` 127 | gowitness file 128 | ``` 129 | 130 | **网站历史URL获取** 131 | 132 | ``` 133 | **gau** https://github.com/lc/gau 134 | 135 | **hakrawler** https://github.com/hakluke/hakrawler 136 | 137 | **waybackurls** https://github.com/tomnomnom/waybackurls 138 | 139 | **gospider** https://github.com/jaeles-project/gospider 140 | ``` 141 | 142 | ``` 143 | 爬虫获取链接,运行20个站点每个站点10个爬虫 144 | gospider -S domain.txt -o output.txt -c 10 -d 1 -t 20 145 | 146 | 通过爬虫获取链接包含子域名 147 | gospider -s "https://google.com/" -o output -c 10 -d 1 --other-source --include-subs 148 | 149 | 对文件进行处理过滤出js文件 150 | gospider -S urls.txt | grep js | tee -a js-urls.txt 151 | ``` 152 | 153 | 154 | 155 | **针对单一网站与文件,调用命令进行打点** 156 | 157 | ``` 158 | echo domain.com | gau --blacklist png,jpg,gif,html,eot,svg,woff,woff2 | httpx -title -tech-detect -status-code 159 | 160 | cat domian.txt | gau --blacklist png,jpg,gif,html,eot,svg,woff,woff2 | httpx -title -tech-detect -status-code 161 | 162 | 此命令也获取了标题,直接操作httpx即可衔接下一个命令运行工具 163 | ``` 164 | 165 | **针对JS进行提取敏感字段** 166 | https://github.com/machinexa2/Nemesis 167 | 168 | **或许你需要一些命令** 169 | 170 | ``` 171 | cat livejs.txt | grep dev 172 | cat livejs.txt | grep app 173 | cat livejs.txt | grep static 174 | ``` 175 | 176 | 提取器 177 | 178 | 提取JS命令 https://github.com/tomnomnom/fff 179 | 180 | ``` 181 | cat jslist.txt | fff | grep 200 | cut -d “ “ -f1 | tee livejs.txt 182 | ``` 183 | 184 | **目录FUZZ扫描** 185 | https://github.com/ffuf/ffuf 186 | 187 | 对UEL进行提取 188 | https://github.com/tomnomnom/gf 189 | 190 | ``` 191 | cat subdomains.txt | waybackurls | gf xss | qsreplace | tee xss.txt 192 | ``` 193 | 194 | 195 | 196 | 197 | **XRAY 命令行批量扫描** 198 | 199 | 针对单个域名进行子域名爆破,使用GAU提取链接,httpx验证存活,推送到XRAY进行爬虫扫描。 200 | 201 | ``` 202 | subfinder -d domain.com -silent | gau --blacklist png,jpg,gif,html,eot,svg,woff,woff2 | httpx -o 200.txt 203 | 204 | for i in $(cat 200.txt);do echo "xray scanning $i" ; ./xray webscan --browser-crawler $i --html-output vuln.html; done 205 | ``` 206 | 207 | **XSS扫描** 208 | 209 | https://github.com/hahwul/dalfox 210 | 211 | ``` 212 | cat url.txt | hakrawler -subs |grep -v key | grep key |grep -v google | grep = | dalfox pipe --silence --skip-bav 213 | ``` 214 | 215 | ``` 216 | echo "http://m.client.10010.com" | gau | egrep -v '(.css|.png|.jpeg|.jpg|.svg|.gif|.wolf)' | while read url; do vars=$(curl -s $url | grep -Eo "var [a-zA-Z0-9]+" | sed -e 's,'var','"$url"?',g' -e 's/ //g' | grep -v '.js' | sed 's/.*/&=xss/g'); echo -e "\e[1;33m$url\n\e[1;32m$vars";done | tee 10010.out 217 | ``` 218 | 219 | 来源;https://www.t00ls.com/viewthread.php?tid=63173&highlight=XSS 220 | 221 | 222 | 223 | 一键查找任意文件读取Credit: @Alra3ees , i just changed it a bit 224 | 225 | ``` 226 | subfinder -silent -dL domain.txt | dnsx -silent | naabu -top-ports 1000 -silent| gau | gf lfi | httpx -path lfi_wordlist.txt -threads 100 -random-agent -x GET,POST -tech-detect -status-code -follow-redirects -mc 200 -mr "root:[x*]:0:0:" 227 | ``` 228 | 229 | 230 | 隐藏参数枚举 231 | https://github.com/s0md3v/Arjun 232 | 233 | ``` 234 | 单目标扫描 235 | arjun -u https://api.example.com/endpoint 236 | 单目标扫描输出 237 | arjun -u https://api.example.com/endpoint -oJ result.json 238 | 多目标扫描 239 | arjun -i targets.txt 240 | 241 | 指定方法 242 | arjun -u https://api.example.com/endpoint -m POST 243 | 244 | ``` 245 | 246 | 一行代码组成的XSS扫描器(适合无WAF场景)【单论反射XSS,XRAY可封神】 247 | 248 | ``` 249 | echo url | subfinder -silent | waybackurls | grep "=" | grep -Ev ".(jpeg|jpg|png|svg|gif|ico|js|css|txt|pdf|woff|woff2|eot|ttf|tif|tiff)" | sed -e 's/=[^?\|&]*/=/g' -e 's/=/=xssspayload/g' | sort -u | httpx -silent -probe -ms "xsspayload" 250 | ``` 251 | 252 | 253 | XRAY自动化查找单漏洞 254 | 255 | ``` 256 | xargs -a urls.txt -I@ sh -c './xray_linux_amd64 webscan --plugins cmd-injection,sqldet,xss --url "@" --html-output vuln.html' 257 | 258 | .\xray.exe webscan --listen 127.0.0.1:7777 --plugins sqldet,brute-force --html-output xray-testphhjp.html 259 | 260 | ``` 261 | 262 | 使用扫描器nuclei扫描安卓漏洞 263 | 264 | ``` 265 | find . -iname "*.apk" -exec apktool d -o {}_out {} \; 266 | echo vph3.apk_out | nuclei -t mobile-nuclei-templates/ 267 | 268 | nuclei -target "android testing"/allapks/ -t /mobile-nuclei-templates/ 269 | 270 | 271 | echo /output_apktool/ | nuclei -t Keys/ 272 | 273 | 使用POC 274 | https://github.com/optiv/mobile-nuclei-templates 275 | ``` 276 | 277 | 文件夹下文件整理 278 | 279 | ``` 280 | dir/b>E:\鱼1.xls" 281 | dir/b>C:\Users\1均\Desktop\HW\HW漏洞列表.xls" 282 | ``` 283 | 284 | BURP不抓火狐的包 285 | 286 | ``` 287 | 火狐地址搜索 288 | 289 | about:config 290 | 291 | network.captive-portal-service 292 | 293 | 把true改成fale 294 | ``` 295 | 296 | index of 打包 297 | 298 | ``` 299 | wget -r --no-pare target.com/dir 300 | ``` 301 | 302 | 渗透测试中的资产获取 303 | 304 | ``` 305 | wget https://raw.githubusercontent.com/modood/Administrative-divisions-of-China/master/dist/pcas.json 306 | cat pcas.json |jq '."北京市"'>out.txt #获取北京市所有辖区、街道信息cat pcas.json |jq '."北京市"."市辖区"'>out.txt 307 | 308 | cat pcas.json |jq '."北京市"."市辖区"."东城区"'>out.txt #获取北京市东城区所有街道信息 309 | 310 | 311 | 312 | ``` 313 | 314 | 315 | 316 | 有时候文件太大,想先确认一下文件结构和部分内容,这时可以使用 remotezip,直接列出远程 zip 文件的内容,而无需完全下载,甚至可以远程解压,仅下载部分内容 317 | 318 | ``` 319 | pip3 install remotezip 320 | remotezip -l "http://site/bigfile.zip"#列出远程zip文件的内容 321 | remotezip "http://site/bigfile.zip""file.txt"#从远程zip⽂件解压出file.txt 322 | ``` 323 | 324 | 325 | 326 | 整理字典时,推荐用linux下的工具快速合并和去重 327 | 328 | ``` 329 | cat file1.txt file2.txt fileN.txt >out.txt 330 | sort out.txt |uniq >out2.txt 331 | ``` 332 | 333 | 334 | 335 | docker 快速安装AWVS扫描器,配合批量添加脚本,在市级HVV上抢占一些高危漏洞点 336 | 337 | ``` 338 | # pull 拉取下载镜像 339 | docker pull secfa/docker-awvs 340 | 341 | # 将Docker的3443端口映射到物理机的 13443端口 342 | docker run -it -d -p 13443:3443 secfa/docker-awvs 343 | 344 | # 容器的相关信息 345 | awvs13 username: admin@admin.com 346 | awvs13 password: Admin123 347 | ``` 348 | 349 | 350 | 351 | --------------------------------------------------------------------------------