Vxscan 是一个 Python 3 编写的综合扫描工具,主要用来敏感文件探测(目录扫描与js泄露接口),WAF/CDN识别,端口扫描,指纹/服务识别,操作系统识别,弱口令探测,POC扫描,SQL注入,绕过CDN,查询旁站等功能,主要用来甲方自测或乙方授权测试,请勿用来搞破坏。
功能特性:
- 使用笛卡尔乘积方式生成字典列表,支持自定义字典列表
- 随机的UserAgent、XFF、X-Real-IP
- 自定义404页面识别,访问随机页面然后通过difflib对比相似度,识别自定义302跳转
- 扫描目录时先探测http端口,将一个主机多个http端口加入到扫描目标中
- 过滤无效Content-Type,无效状态吗
- WAF/CDN探测
- 使用socket发包探测常见端口,发送不同payload探测端口服务指纹
- 遇到全端口开放的主机(portspoof)自动跳过
- 调用wappalyzer.json与WebEye判断网站指纹
- 检测到CDN或者WAF网站自动跳过
- 调用nmap识别操作系统指纹
- 根据端口开放调用弱口令探测脚本(FTP/SSH/TELNET/Mysql/MSSQL...)
- 根据指纹识别或者端口调用POC扫描,或将IP开放的WEB端口上打一遍
- 分析js文件里面的敏感资产信息(域名、邮箱、apikey、password等)
- 抓取网站连接,测试SQL注入,LFI等
- 调用一些在线接口获取信息例如VT、www.yougetsignal.com等网站,通过VT pdns判断真实IP,通过www.yougetsignal.com、api.hackertarget.com查询网站旁站
扫描结果:
以下是AWVS扫描器测试网站结果
使用方法:
python3 Vxscan.py -h
optional arguments:
-h, --help show this help message and exit
-u URL, --url URL Start scanning this url -u xxx.com
-i INET, --inet INET cidr eg. 1.1.1.1 or 1.1.1.0/24
-f FILE, --file FILE read the url from the file
-t THREADS, --threads THREADS
Set scan thread, default 150
-e EXT, --ext EXT Set scan suffix, -e php,asp
-w WORD, --word WORD Read the dict from the file
1. 扫描一个网站python3 vxscan.py -u http://www.xxx.com/
2. 从文件列表里扫描网站python3 vxscan.py -f hosts.txt
3. 扫描一个C段python3 vxscan.py -i 127.0.0.0/24
4. 设置线程100,组合只用php后缀,使用自定义字典python3 vxscan.py -u http://www.xxx.com -e php -t 100 -w ../dict.txt
-
Vxscan是用python3写的综合扫描工具,主要用来敏感文件探测(目录扫描与js泄露),WAF/CDN识别,端口扫描,指纹/服务识别,操作系统识别,弱口令探测,POC扫描,SQL注入,绕过CDN,查询旁站等功能。 安装说明 要求Python版本大于3.6: git clone https://github.com/al0ne/Vxscan cd Vxscan apt install l
-
目录 何时学习 Redux ? 何时使用 Redux ? Redux 只能搭配 React 使用? Redux 需要特殊的编译工具支持吗? 综合 何时学习 Redux? 对于 Javascript 开发者来说,学什么是一个很大的问题。因为每次在你学习一项技术或着手于工作中遇到的问题时,你所学的会帮助你缩小可选择的范围。Redux 是一个管理应用状态的模式。如果你没有遇到应用状态管理方面的问题,你就
-
本文向大家介绍python 实现端口扫描工具,包括了python 实现端口扫描工具的使用技巧和注意事项,需要的朋友参考一下 以上就是python 实现端口扫描工具的详细内容,更多关于python 端口扫描工具的资料请关注呐喊教程其它相关文章!
-
我试图扫描BLE设备与 (我知道它在新版本中已经过时了,但我只是想看看它是否能与我的手机配合使用[4.4],我正在使用它)。因此,它开始扫描,然后继续,没有给出错误,但没有检测到设备。也会触发OnLEScan事件,但其中的设备参数为null。我的LE设备就在那里并已连接。 在Google上,我发现如果BluetoothAdapter没有UUID,就会发生这种情况。如何设置UUID?何时调用/启动O
-
我有一个程序,允许用户输入一个数字的学生数量,他们希望分配一个等级。然后,它打印出哪一个学生在总数中(例如6个中的1个),然后提示用户输入他们的名字和分数。 我的分数工作正确,但当最后的消息显示,我不能得到最大名称和第二个最大名称显示任何东西。
-
在上一章中,Nexpose已成功安装。让我们看看如何运行它以及该工具的功能。Nexpose使用自己的数据库,所以我们要做的第一件事是关闭Kali Linux的数据库。如果两个数据库都在同一个端口上运行,它们就会相互冲突。现在,我们停止postgresql服务。应该记住,在运行Nexpose之前,需要关闭数据库。停止数据库的命令如下: 现在,我们进入到安装Nexpose的位置。除非在安装过程中更改了
-
在这一章节中,我们将使用在安装工具时设置的用户名和密码登录。在上面的屏幕截图中显示了Metasploit社区的Web界面: 登录后,我们可以访问该帐户并转到用户设置或注销。还可以检查软件更新。 当我们第一次登录时,它会要求我们输入激活密钥。激活密钥将发送到下载工具时输入的电子邮件地址。我们应该确保在下载工具时输入有效的电子邮件地址。 接下来开始创建扫描,我们将点击Project | New Pro