01工具介绍 (下载地址见最后)
在日常工作的渗透测试过程中,经常会碰到渗透测试项目,而Web渗透测试通常是渗透项目的重点或者切入口。通常拿到正规项目授权后,会给你一个IP资产列表和对应的Web资产地址,这时候就需要我们进行快速存活验证。如项目给了一万多个IP,并列出了对应的Web资产地址,这个时候就需要快速验证资产存活。网上找了一圈,都没什么好用的工具。于是,就写了这个Web资产存活检测小工具:Web-SurvivalScan
02安装Python依赖库
pip3 install -r requirements.txt03工具使用
首先,需要将目标Web资产批量复制到TXT内,并将该TXT放到本脚本同目录,。
注:本脚本能智能识别目标地址 (example.com 和http://example.com:8080 以及http://example.com 都不会报错)
# python3 Web-SurvivalScan.py╦ ╦┌─┐┌┐║║║├┤ ├┴┐╚╩╝└─┘└─┘╔═╗┬ ┬┬─┐┬ ┬┬┬ ┬┌─┐┬ ╔═╗┌─┐┌─┐┌┐┌╚═╗│ │├┬┘└┐┌┘│└┐┌┘├─┤│ ╚═╗│ ├─┤│││╚═╝└─┘┴└─ └┘ ┴ └┘ ┴ ┴┴─┘╚═╝└─┘┴ ┴┘└┘Version: 1.11Author: 曾哥(@AabyssZG) && jingyuexingWhoami: https://github.com/AabyssZG请输入目标TXT文件名FileName >>> 【TXT文件名】请输入需要访问的路径(无则回车)DirName >>> 【需要批量访问的路径】请输入代理IP和端口(无则回车)Proxy >>> 【HTTP认证账号:HTTP认证密码@代理IP:端口】Proxy >>> 【代理IP:端口(没有HTTP认证的情况下)】
跑完后,即可拿到导出的两个文件:output.txt 和 outerror.txtoutput.txt:导出验证存活成功(状态码200)的Web资产outerror.txt:导出其他状态码的Web资产,方便后期排查遗漏和寻找其他脆弱点.data/report.json:所有资产的运行数据,按JSON格式导出,方便处理report.html:将所有资产进行HTML可视化导出,方便整理
工具作者:曾哥(AabyssZG) && jingyuexing 项目地址:
https://github.com/AabyssZG/Web-SurvivalScan