SBSCAN / 一款专注于 Spring 框架的渗透测试工具

2023-11-09 14:54:29 +08:00
 weareex

📖 前情提要:

日常渗透过程中我们经常会遇到 spring boot 框架,通过资产测绘平台搜索我们也可以知道 spring 框架的资产非常多,最常见的需求就是我想测试是否存在敏感信息泄漏以及是否存在 spring 的相关漏洞,不想东拼西凑找工具,不如写一个吧!

✈️ 工具概述

🏂 Run

# 安装使用, 更新版本之后建议重装依赖,新版本可能会增加三方库的依赖;
$ git clone https://github.com/sule01u/SBSCAN.git
$ cd SBSCAN
$ pip3 install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple   # 以免跟其他包版本冲突,建议创建虚拟环境后安装项目依赖;-i 指定使用国内清华源安装依赖;
$ python3 sbscan.py --help

检测效果图, 使用彩色表格打印更直观显示检测结果

检测前可使用 tail -f logs/sbscan.log 实时查看详细的检测情况

🎡 Options

-u, --url                              对单个 URL 进行扫描
-f, --file                             读取文件中的 url 目标进行扫描
-p, --proxy                            指定 HTTP 代理
-t, --threads                          指定线程数量
-q, --quiet                            启用纯净输出,只输出命中的敏感路径信息
-ff, --fingerprint_filter              启用指纹检测,只扫描命中指纹的站点(可能有漏报,结合实际情况选择是否启用)
-d, --dnslog                           指定 DNSLog 域名,用于检测到无回显漏洞时可接收被攻击主机的 dns 请求
--help                                 显示帮助信息

🎨 Examples

# 指定目标站点 url 进行扫描
$ python3 sbscan.py -u http://test.com
# 指定 url 文件路径扫描,启用指纹检测,未检测到指纹的无需进行路径以及 CVE 扫描
$ python3 sbscan.py -f url.txt --ff
# 指定目标站点 url 、代理、线程数量
$ python3 sbscan.py -u http://test.com -p 1.1.1.1:8888 -t 10
# 指定目标站点 url 、启用纯净输出,只输出命中敏感路径或 cve 的目标、启用指纹检测,只有命中指纹的才继续扫描
$ python3 sbscan.py -u http://test.com --quiet -ff
# 指定 url 文件路径、指定 dnslog 域名、使用 10 个线程进行并发扫描并启用纯净输出
$ python3 sbscan.py -f url.txt -t 4 -d 5pugcrp1.eyes.sh --quiet

项目作者:sule01u
项目地址: https://github.com/sule01u/SBSCAN

1270 次点击
所在节点    信息安全
5 条回复
linuslv
2023-11-09 17:58:01 +08:00
有点意思啊,我学习下试试
weareex
2023-11-09 18:03:15 +08:00
@linuslv 欢迎使用 && 提建议啊
NGGTI
2023-11-10 11:29:04 +08:00
@weareex 大佬写个 bp 插件吧
weareex
2023-11-10 14:30:33 +08:00
@NGGTI 😆也许等一个小长假可以, 欢迎用起来提提建议啊兄弟
cxy2244186975
2023-12-02 06:26:09 +08:00
想什么来什么/师傅有心了..哈哈

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/990265

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX