Web SurvivalScan

Por Aabysszg && jingyuxing

Durante o processo de teste de penetração do trabalho diário, os projetos de teste de penetração são frequentemente encontrados e os testes de penetração na Web geralmente são o foco ou o ponto de entrada dos projetos de penetração.

Geralmente, após a obtenção da autorização formal do projeto, você receberá uma lista de ativos IP e o endereço de ativo da Web correspondente. Neste momento, precisamos realizar uma verificação rápida de sobrevivência.

Como mostrado na figura, este projeto fornece mais de 10.000 IPs e lista os endereços de ativos da Web correspondentes. Neste momento, é necessário verificar rapidamente a sobrevivência do ativo.

Eu procurei on -line e descobri que não havia ferramentas fáceis. Então, eu escrevi este gadget de detecção de sobrevivência de ativos na web: web-survivalscan

Se esta ferramenta o ajudar, por favor me dê uma estrela ~ haha

• Corrigido o bug em que o título da página da web está vazio e causou um erro
• Apoie o acesso em lote a caminhos fixos (muito eficazes ao verificar vulnerabilidades simples)
• Suporta a exibição de títulos na interface HTML de exportação, tornando mais conveniente confirmar informações de ativos
• Verificação de suporte do proxy HTTP para verificar a disponibilidade de proxy
• Suporta o uso de http/https para proxy todo o tráfego e pode usar a autenticação HTTP
• Suporta o reconhecimento automático de :443 para https://
• Suporta a leitura do TXT em vários formatos de codificação (suporte ANSI e UTF-8)
• Suporta a exportação de arquivos HTML, facilita a organização visual de ativos
• Digitalização multithread, 10.000 ativos da Web foram testados em cerca de 20 minutos
• O cabeçalho de solicitação de agente de usuário aleatório é usado quando a verificação da sobrevivência
• Resolva o problema do certificado SSL de destino (altere o certificado autoassinado http:// ))
• Identifique de forma inteligente o endereço de destino (nenhum erro será relatado por example.com , http://example.com:8080 e http://example.com )

 pip3 install -r requirements.txt

Primeiro, você precisa copiar os ativos da Web de destino para o TXT em lotes e colocar o txt no mesmo diretório que a figura a seguir:

Nota: Este script pode identificar de maneira inteligente o endereço de destino (qualquer example.com , http://example.com:8080 e http://example.com relatam erros)

 # python3 Web-SurvivalScan.py

              ╦ ╦┌─┐┌┐
              ║║║├┤ ├┴┐
              ╚╩╝└─┘└─┘
╔═╗┬ ┬┬─┐┬  ┬┬┬  ┬┌─┐┬  ╔═╗┌─┐┌─┐┌┐┌
╚═╗│ │├┬┘└┐┌┘│└┐┌┘├─┤│  ╚═╗│  ├─┤│││
╚═╝└─┘┴└─ └┘ ┴ └┘ ┴ ┴┴─┘╚═╝└─┘┴ ┴┘└┘
             Version: 1.11
Author: 曾哥(@AabyssZG) && jingyuexing
 Whoami: https://github.com/AabyssZG

请输入目标TXT文件名
FileName >>> 【TXT文件名】
请输入需要访问的路径（无则回车）
DirName >>> 【需要批量访问的路径】
请输入代理IP和端口（无则回车）
Proxy >>> 【HTTP认证账号:HTTP认证密码@代理IP:端口】
Proxy >>> 【代理IP:端口（没有HTTP认证的情况下）】

Após a execução, você pode obter os dois arquivos exportados: output.txt e outerror.txt

• output.txt : Exportar os ativos da Web que sobreviveram com sucesso (código de status 200)
• outerror.txt : Exportar ativos da web com outros códigos de status para facilitar omissões posteriores e encontrando outros pontos frágeis
• .data/report.json : Os dados em execução de todos os ativos são exportados no formato JSON para fácil processamento
• report.html : Exportar visualmente todos os ativos para HTML para fácil organização