前些日子说在建造自己的指纹库,忙着文档和各种比赛事宜,大概两周左右,看遍了目前网上的主流指纹扫描工具,终于写出了这款工具- Hxscan
CMS指纹采取json方式读取,分header,body,faviconhash三种种类,其中faviconhash采用的是mmh32hash,body分title和body两种
中间件指纹接的是wapplyzer的接口
title获取采用了dom节点树和关键词获取法(dom节点老是很难获取成功)
很多网页采用了js自动跳转,这里采用正则截取跳转,并拼接url进行访问
favicon同样采取dom节点提取和正则匹配获取
开发环境
go version go1.21.6 windows/amd64
测试环境
go version go1.21.6 windows/amd64
若为了方便处理站点,进行后续的poc测试和去重,可采用以下语法
./Hxscan.exe sitescan -f 1.txt -o 2.txt --no-color
目前只支持sitescan站点扫描,后续版本会增设更多功能
最后,感谢以下项目的贡献者
https://github.com/projectdiscovery/naabu
https://github.com/EdgeSecurityTeam/EHole/
关注公众号 剑客古月的安全屋
回复 Hxscan 或找到原文 https://mp.weixin.qq.com/s/wkGZdwLCp8Uwh2unYuVgEw
获取工具链接
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。