歡迎搜索我的公眾號(hào):小道黑客
每天分享更多黑客技能,工具及體系化視頻教程
這里最近參與CIS大會(huì),看到一款自動(dòng)化滲透工具 Ary,特點(diǎn)是匯聚了各種可以調(diào)用的工具。
介紹工具地址 https://github.com/TeraSecTeam/ary
POC收集 https://github.com/TeraSecTeam/poc-collection
Ary是一個(gè)集各種滲透工具于一體的工具,不過(guò)看起來(lái)還是一個(gè)開(kāi)發(fā)中的版本,試用了一遍,感覺(jué)還不錯(cuò)。
注意需要使用centos,好像ubuntu會(huì)報(bào)一些錯(cuò)誤。
文件結(jié)構(gòu)介紹├── ary #二進(jìn)制文件
├── configs #配置文件夾
├── input
├── log #日志記錄
├── output #輸出目錄
├── pocs #poc文件夾,可以用自己的POC或者網(wǎng)上的poc
├── README.md 使用說(shuō)明
└── streams #執(zhí)行流所在文件夾,自己定義組合
核心功能介紹信息收集
空間搜索引擎收集爬蟲類工具收集爬蟲類+存儲(chǔ)類收集工具聯(lián)動(dòng)
爬蟲類+掃描類工具(Poc驗(yàn)證)存儲(chǔ)類+掃描類(Poc驗(yàn)證)工具聯(lián)動(dòng)自定義+自動(dòng)化安裝1.安裝所有的工具引擎,執(zhí)行命令后,將會(huì)自動(dòng)下載第三方的滲透工具,如xray。也可以預(yù)先不下載,在執(zhí)行命令的時(shí)候如果缺少某個(gè)第三方工具會(huì)自動(dòng)下載。
./ary --vulnscan --engine all --update -v
./ary --asrtscan --engine all --update -v
2.chrome 的安裝(爬蟲需要)
配置yum谷歌的源:
vi /etc/yum.repos.d/google.repo
將下面這段粘貼進(jìn)文件
[google]name=Google-x86_64baurl=http://dl.google.com/linux/rpm/stable/x86_64enabled=1gpgcheck=0gpgkey=https://dl-ssl.google.com/linux/linux_signing_key.pub
配置完之后,執(zhí)行以下bash命令,安裝google-chrome
yum update
yum install google-chrome-stable
google-chrome --version
配置文件默認(rèn)加載配置為帶有ttings.ini的文件configs/example.ttings.ini文件為配置示例,可以修改其內(nèi)容,如加入網(wǎng)絡(luò)搜索引擎的token
1.目錄設(shè)置
可以設(shè)置各輸入和輸出目錄
2.第三方工具來(lái)源
xray下載地址及下載輸出位置
3.信息收集來(lái)源
包含rad,crawlergo,gospider等信息收集工具
4.空間搜索引擎配置
主要是配置fofa,shodan,censys的token或API key
使用體驗(yàn)1.網(wǎng)絡(luò)空間搜索
支持shodan、fofa、censys等空間搜索引擎,使用相關(guān)搜索需要在配置文件configs/example.ttings.ini中配置相應(yīng)的token。
相關(guān)命令
./ary --netarch --engine shodan --keyword dedecms -v --limit 10
./ary --netarch --engine shodan --keyword "tomcat country:"US"" -v --limit 10
./ary --netarch --engine fofa --keyword redis -v --limit 10
./ary --netarch --engine fofa --keyword "protocol=socks4 && banner="0x5a"" -v --limit 10
./ary --netarch --engine censys --keyword redis -v --limit 1000
如使用shodan進(jìn)行搜索
配置token(需要自己注冊(cè)shodan的賬號(hào),獲取token)
cd configs[root@centos configs]# vim example.ttings.ini
搜索dedecms框架, 限制10條
[root@centos kk]# ./ary --netarch --engine shodan --keyword dedecms -v --limit 10
結(jié)果如下
搜索結(jié)果默認(rèn)保存在sqlite中,在配置文件中配置,公開(kāi)版默認(rèn)配置sqlite
使用sqlite3工具 SQLiteStudio查看,可看到結(jié)果已保存到本地data.db中
采用shodan語(yǔ)法搜索, 搜索國(guó)家為美國(guó)的tomcat
[root@centos kk]# ./ary --netarch --engine shodan --keyword "tomcat country:"US"" -v --limit 10
使用fofa基本語(yǔ)法搜索
[root@centos kk]# ./ary --netarch --engine fofa --keyword redis -v --limit 10
根據(jù)特征搜索sock4代理,關(guān)鍵詞為
protocol=socks4 && banner="0x5a"
./ary --netarch --engine fofa --keyword "protocol=socks4 && banner="0x5a"" -v --limit 10
結(jié)果
評(píng)論
censys的結(jié)果不精確,沒(méi)有相應(yīng)的端口
推薦shodan和fofa
2.資產(chǎn)掃描
基于在線靶場(chǎng)測(cè)試http://testhtml5.vulnweb.com
基于ARL資產(chǎn)掃描
ARL是freebuf能力中心開(kāi)源的一套資產(chǎn)掃描系統(tǒng)(https://github.com/TophantTechnology/ARL),提供docker版,有前端界面,基于ARL可以方便進(jìn)行資產(chǎn)掃描和可視化
這里采用ARL 資產(chǎn)偵查燈塔系統(tǒng)
(https://hub.docker.com/r/tophant/arl/tags?page=1&ordering=last_updated)
直接使用docker版本的ARL,登錄進(jìn)去后改密碼
在配置文件里配置ARL
ARL token在登錄后可以從cookie獲取
打開(kāi)F12查看cookie
PS: 在啟動(dòng)docker的時(shí)候可以配置固定token,
如果需要一直使用建議進(jìn)行配置 之后在配置文件的[asrtscan]中進(jìn)行相應(yīng)配置
通過(guò)ary調(diào)用ARL進(jìn)行資產(chǎn)掃描
ARL:
./ary --asrtscan --engine arl --input指定文件
./ary --asrtscan --engine arl --url指定url,可指定多個(gè)url,url之間用逗號(hào)隔開(kāi)
資產(chǎn)掃描相關(guān)命令
# 啟動(dòng)一個(gè)任務(wù)
# 查找子域名
./ary --asrtscan --engine arl --url www.aaa.com -v --condition subdomain
./ary --asrtscan --engine arl --url www.aaa.com,www.bbb.com -v --condition subdomain
# 查找子域名 指定文件
./ary --asrtscan --engine arl --input targets.txt -v --condition subdomain
# 查找子域名 指定輸出文件名
./ary --asrtscan --engine arl --url www.aaa.com -v --condition subdomain --output arl.csv
# 查找端口
./ary --asrtscan --engine arl --input targets.txt -v --condition portscan
# 獲取任務(wù)結(jié)果
./ary --asrtscan --engine arl -v --fetch-result --keyword 5fd321f0a4a557000fb2a574
# 獲取任務(wù)結(jié)果 - 加載文件
./ary --asrtscan --engine arl -v --fetch-result --input arl.csv
掃描測(cè)試
./ary --asrtscan --engine arl --url http://testhtml5.vulnweb.com -v --condition subdomain
登錄ARL后臺(tái),x.x.x.x:5003, 輸入賬號(hào)密碼,可以看到在ARL中已經(jīng)啟動(dòng)了任務(wù)
獲取掃描完畢的結(jié)果
[root@centos kk]# ./ary --asrtscan --engine arl -v --fetch-result --keyword 5ff67b77ac258f000ccf4de2
或者直接把文件作為輸入
[root@centos kk]# ./ary --asrtscan --engine arl -v --fetch-result --input output/arl_1_2021-01-07T03:09:43Z.txt.csv
端口掃描
./ary --asrtscan --engine arl --input vulnweb.com -v --condition portscan
端口掃描僅限于top100,不太好用,不能指定端口
3.爬蟲類
./ary --asrtscan --engine rad --url http://testphp.vulnweb.com/ -v
./ary --asrtscan --engine gospider --url http://testphp.vulnweb.com/ -v
./ary --asrtscan --engine crawlergo --url http://testphp.vulnweb.com/ -v
使用rad進(jìn)行爬取
[root@centos kk]# ./ary --asrtscan --engine rad --url http://testphp.vulnweb.com/ -v
如果沒(méi)有rad,會(huì)自動(dòng)下載并開(kāi)始爬取
rad配置文件rad_config.yml在當(dāng)前目錄生成爬取過(guò)程
保存結(jié)果在
output/rad_1_2021-01-07T06:47:23Z.txt
使用gospider進(jìn)行爬取
./ary --asrtscan --engine gospider --url http://testphp.vulnweb.com/ -v
如果沒(méi)有g(shù)ospider,會(huì)自動(dòng)下載并開(kāi)始爬取
結(jié)果保存在output/gospider文件夾下
2021-01-07 06:50:00,846 - [asrtscan#143] - HIGHLIGHT - saved to output/gospider
gospider比rad在參數(shù)上更加詳細(xì)
使用crawlgo進(jìn)行爬取
如果沒(méi)有crawlgo,會(huì)自動(dòng)下載并開(kāi)始爬取
[root@centos kk]# ./ary --asrtscan --engine crawlergo --url http://testphp.vulnweb.com/ -vCrawlgo的也比較詳細(xì),但是速度較gospider和rad慢
結(jié)果保存在output文件夾下
2021-01-07 06:57:40,600 - [asrtscan#165] - HIGHLIGHT - saved to output/crawlergo_1_2021-01-07T06:56:05Z.txt
4.漏洞掃描
# 對(duì)目標(biāo)進(jìn)行掃描
./ary --vulnscan --url http://testphp.vulnweb.com/ --engine xray -v
# 對(duì)目標(biāo)進(jìn)行被動(dòng)掃描(rad+xray)
./ary --vulnscan --engine xray --url http://testphp.vulnweb.com/ -v --passive
# 對(duì)文件中的目標(biāo)進(jìn)行被動(dòng)掃描
./ary --vulnscan --engine xray --input target.txt -v --passive
# 讀取數(shù)據(jù)庫(kù)中的數(shù)據(jù)進(jìn)掃描
./ary --vulnscan --engine xray --keyword tomcat -v
./ary --vulnscan --engine xray --keyword tomcat -v --crawl
直接調(diào)用xray進(jìn)行掃描
./ary --vulnscan --url http://testphp.vulnweb.com/ --engine xray -v
如果沒(méi)有xray,會(huì)自動(dòng)下載并開(kāi)始爬取
xray的配置文件config.yaml默認(rèn)在當(dāng)前文件夾生成
下載完后保存在在thirdpartys文件夾下
xray結(jié)果以json格式保存在output目錄下
調(diào)用xray進(jìn)行被動(dòng)掃描
./ary --vulnscan --engine xray --url http://testphp.vulnweb.com/ -v --passive
效果不好,可能是使用姿勢(shì)不對(duì),待進(jìn)一步探索
xray+gospider分開(kāi)跑
效果不錯(cuò)
在兩個(gè)終端中運(yùn)行程序:
運(yùn)行xray, xray在7778端口監(jiān)聽(tīng),被動(dòng)掃描模式
./ary --vulnscan --engine xray --port 7778 --background -v
運(yùn)行g(shù)ospider,將流量轉(zhuǎn)發(fā)到7778端口給xray進(jìn)行掃描,使用xray對(duì)go spider的內(nèi)容進(jìn)行掃描
./ary --asrtscan --engine gospider --url http://testphp.vulnweb.com/ -v --passive --port 7778
效果如下
xray+rad分開(kāi)跑
運(yùn)行rad,將流量轉(zhuǎn)發(fā)到7778給xray掃描,效果不錯(cuò)
xray+crawelgo分開(kāi)跑
運(yùn)行crawelgo,掃描的數(shù)量多一點(diǎn),但是相對(duì)來(lái)說(shuō)慢一點(diǎn)
5.POC使用
PoC 漏洞驗(yàn)證
POC可自行在POC收集 https://github.com/TeraSecTeam/poc-collection項(xiàng)目中尋找
./ary --pocscan --input redis.txt --poc redis -v
./ary --pocscan --url xx.xx.xx.xx --poc ./pocs/redis -v
./ary --pocscan --poc tomcat --keyword tomcat -v
./ary --pocscan --keyword redis --poc redis -v
./ary --pocscan --keyword redis --poc redis -v --limit 1 --dumppcap redis
./ary --pocscan --keyword thinkphp --poc thinkphp_rce2 -v --limit 20 --dumppcap thinkphp
# 寫到數(shù)據(jù)庫(kù)
./ary --pocscan --url xx.xx.xx.xx --poc redis -v --limit 2 --upload
redis POC 效果
針對(duì)單個(gè)網(wǎng)站打poc
[root@centos kk]# ./ary --pocscan --url 122.xx.xx.xx --poc redis -v
針對(duì)數(shù)據(jù)庫(kù)中的關(guān)鍵詞打POC
[root@centos kk]# ./ary --pocscan --keyword redis --poc redis -v
對(duì)數(shù)據(jù)包詳細(xì)分析
執(zhí)行流嘗試使用錄包功能,錄包之后為pcap格式,可以用wireshark打開(kāi)
6.Stream模塊使用
使用這個(gè)模塊可以自定義過(guò)程。
使用steam進(jìn)行POC驗(yàn)證
自定義過(guò)程的配置在./streams/streams.yaml
./ary -v --stream --input streams.yaml --keyword "redis 未授權(quán)訪問(wèn)漏洞"
可以看到名稱為redis 未授權(quán)訪問(wèn)漏洞,故在命令行中輸入該關(guān)鍵詞`--keyword "redis 未授權(quán)訪問(wèn)漏洞"`
將會(huì)使用shodan進(jìn)行redis搜集,并且使用pocs目錄下的redis.py POC進(jìn)行利用嘗試
效果如下
使用stream進(jìn)行漏洞挖掘
也可以進(jìn)行漏洞掃描,指定xray引擎,非passive方式掃描,
關(guān)鍵詞為test testphp.vulnweb.com
./ary -v --stream --input streams.yaml --keyword "test testphp.vulnweb.com"
即可進(jìn)行xray掃描
效果 如下
Trouble shooting1、API報(bào)錯(cuò)
2021-01-07 02:28:23,382 - [netarch#217] - DEBUG - fofa mail : hxxxxxl@163.com, cret : 238ebxxxxxxxxxxxxxxxxxx2440
2021-01-07 02:28:23,387 - [databa#28] - DEBUG - using databa : sqlite
2021-01-07 02:28:23,396 - [netarch#249] - DEBUG - https://fofa.so/api/v1/arch/all?email=hxxxxxl@163.com&key=238ebxxxxxxxxxxxxxxxxxx2440&qba64=aXA9IjguOC144Ljgi&size=1
2021-01-07 02:28:24,597 - [netarch#253] - ERROR - 401 Unauthorized, make sure 1.email and apikey is correct 2.FOFA coin is enough.
解決方法: 注冊(cè)賬號(hào),獲取token,并在配置文件中填入相應(yīng)的token
2、端口被占用
解決方法
[root@centos kk]# ./ary --kill --engine xray --port 7777 -v
總結(jié)- 快速的資產(chǎn)收集和工具聯(lián)動(dòng)操作
- 在獲取某個(gè)POC和框架信息的情況下,可以快速聚合所需要的網(wǎng)站并且調(diào)用需要的工具進(jìn)行掃描
- 適用于平時(shí)進(jìn)行漏洞挖掘
- 數(shù)據(jù)庫(kù)的使用可以發(fā)揮更多的想象力,其他版本在數(shù)據(jù)方面應(yīng)該會(huì)更友好
- 體驗(yàn)下來(lái),公開(kāi)版適用于滲透測(cè)試前中期的自動(dòng)化工作,輔助在測(cè)試中更快地尋找到突破點(diǎn)
作者:掙扎的小小
來(lái)源:https://www.freebuf.com/ctool/260698.html
本文發(fā)布于:2023-02-28 20:59:00,感謝您對(duì)本站的認(rèn)可!
本文鏈接:http://www.newhan.cn/zhishi/a/167771448795889.html
版權(quán)聲明:本站內(nèi)容均來(lái)自互聯(lián)網(wǎng),僅供演示用,請(qǐng)勿用于商業(yè)和其他非法用途。如果侵犯了您的權(quán)益請(qǐng)與我們聯(lián)系,我們將在24小時(shí)內(nèi)刪除。
本文word下載地址:socks4(socks4與socks5區(qū)別).doc
本文 PDF 下載地址:socks4(socks4與socks5區(qū)別).pdf
| 留言與評(píng)論(共有 0 條評(píng)論) |
