一款强大的自动化漏洞发现与验证工具 | 抽奖送《黑神话悟空》

老谢 H4ll0 H4ck3r 2024-08-27 21:35

声明: 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，H4ll0 H4ck3r及文章作者不为此承担任何责任。
H4ll0 H4ck3r拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经H4ll0 H4ck3r允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

在上次FreeBuf知识大陆的直播中，我介绍了《玫瑰家族》v1.0和v2.0版本的各种功能，并
亲自演示了使用方法
。直播结束后，很多师傅
都给了《玫瑰家族》极高的评价，让我备受鼓舞。看着大家对《玫瑰家族》的喜爱，我的干劲也更足了，下定决心要将工具优化到让师傅们都用着顺手。

现在有个好消息
，
经过不断调试开发后，
我将《玫瑰家族》进行了全面升级，把它的功能提升到了一个新level。同时，大家都知道之前《玫瑰家族》是分为3个单独的插件，这次我做了一个整合，将它们合并为一个插件中，因此我重新命名为——《玫瑰🌹》。

首先，我优先解决了用户最关心的两大问题——

●

完成了
XSS漏洞测试功能测试
，
不再会
因为漏洞触发而打开
大量标签
，现在
直接在日志面板
上
显示
结果，方便又直观
。

●

还完成了
三大测试漏洞模块
的开发，让大家的测试体验更上一层楼
。

《玫瑰🌹》v3.0功能简单介绍

首先要提的是，之前的玫瑰系列工具是分成三个独立插件的，现在v3.0版本里，我们直接把这三个插件整合成了一个插件，功能划分为五大块：

1.  域名提取——高效域名管理与子域名发现

在渗透测试或漏洞挖掘中，手动提取和遍历目标站点的域名及其子域名是繁琐且耗时的工作，容易遗漏关键子域名，导致测试不完整。

这次域名提取功能与v2.0版本保持一致，可以快速提取站点的所有内外部链接。

新增的域名遍历功能
是一个亮点
：只要输入一个域名后，插件就能在内置字典/商业字典中进行遍历，迅速跑出它的子域名，让大家轻松掌握目标站点的全貌。

主要功能：

●

域名遍历

●

并发数控制

2.  参数提取——快速漏洞验证，减少误报

在实际工作中，白帽子常需要针对站点进行多种漏洞检测，如XSS、SQL注入等。但这些检测可能会触发大量无效请求或误报，影响效率。

根据这个问题，我在之前版本的基础上（原本只有发现隐藏的参数并提取参数值这个功能），进一步增加了3个快速验证漏洞的功能：

●

XSS检测

●

SQL注入漏洞

●

文
件读取

同时，还优化了解决师傅们
反馈
的“
打开大量标签导致效果不
佳”的问题，现在效果更稳定，用户体验更友好。

3.  信息提取——敏感信息提取

师傅们常常需要快速定位和提取站点中的敏感信息，而手动编写和调试正则表达式既费时又容易出错，且存在信息泄露风险。

这一模块与之前版本基本一致，依旧专注于敏感信息的定位与提取。

不同的是，
对正则表达式进行了增强，同时为了保证工具的独特性，正则表达式不再公开。通过对接服务器快速匹配，并且支持正则提交，让师傅们可以根据需求灵活使用。

主要功能：

●

增强正则

●

正则不再公开

●

对接服务器快速匹配

●

正则提交系统

4.  API提取——自动化API提取与测试

API在现代应用中非常普遍，但对API的手动检测和提取往往需要大量时间，且容易遗漏关键点。

因此，v3.0版本开发了一个全新功能——API提取，通过
自动遍历站点所有API以及相关文件，能够提取出路径和文件信息。对于做渗透测试的师傅们，这绝对是个利器！

●

API提取

●

文件提取（包含常见文件后缀）

●

API请求（支持GET/POST）

●

响应查看

5.  一个小预告——待开发功能

●

玫瑰靶场
——
综合性靶场
，
更倾向
于
SRC
漏洞挖掘场景

●

个人中心
（
玫瑰社区
）

●

正则提交系统
——
正则不公开
，
payload除了内置
，
后续
会
根据大家想提交的正则以及payload进行审核
，
审核通过后
，你提交的
正则或者payload会
成为你
默认
的
使用
规则

往期版本使用好评

直播预告

光看文章可能不太清楚，来直播间，我给大家讲个明白。

不想看直播,想直接获得工具的师傅,看这里

正巧FreeBuf知识大陆2周年庆，帮会有
限时
价

原价
288
元/年卡会员

现 在 188元 享 永 久 会 员！

当然也可以选择
99/年卡
加入

后面随着
版本的不断迭代
，
帮会价格会不断上
涨

现在永久加入的师傅，
不需要额外付费

即可
买断
工具及后面的迭代版本

还可以加入帮会群，为你定制化工具需求

当然帮会内部资源知识真材实料-为你在SRC以及网安中保驾护航~

加入方式，可以进入帮会链接：

https://wiki.freebuf.com/societyDetail?society_id=199

也可以扫下图二维码加入：

最后马喽抽奖拉

只需要在开奖前满足3个条件：

①转发本文章到朋友圈，并保留至开奖。

（朋友圈不设置屏蔽）

②付费加入至少一个帮会。

③扫码加vivi好友↓↓

抽奖小tips：
– 以上3个条件需在开奖前同时满足，否则无效。

• 每个用户只有一次获奖机会。

• 获奖用户请于48小时内联系vivi，逾期视为放弃奖励。

• 3周抽奖，怕错过的师傅可以关注知识大陆公众号/vivi的朋友圈。