一款集成了JS接口提取漏洞扫描及内网渗透的工具
一款集成了JS接口提取漏洞扫描及内网渗透的工具
0x7eTeam 系统安全运维 2024-03-09 08:56
0x01 工具介绍
该工具就是作者练习javafx的产物,并没有高深莫测的功能,给自己的礼物。
0x02 功能简介基本内容
设置 代理—–推荐socksAPI配置基本工具 常用命令(爆破、文件上传、RDP相关、防火墙相关、Linux应急) 编码转换(Base64、Unicode、url编码、字符串反转、ASCII、rot13、摩斯) 反弹shell 字典生成 杀软识别DNSLOG(命令执行场景、SQL注入场景、XXE场景、其余中间件场景)空间测绘FoFa 鹰图Quake360漏洞检测与利用 调用py脚本,可以导入url,也可以从空间测绘send过来内网渗透 横向移动(impacket-0.11.0的聚合)PTT 密码喷洒数据库MYSQLORACLEJS接口 实现从网址导出js,从js导出接口,接口的存活探测辅助网站 一些常用的渗透辅助站点收集0x03更新介绍0x7eTeamTools V1.1 2024年1月12日1、修复了反弹shell命令生成功能bug2、修复了某些页面鼠标滚轮功能bug3、新增了js接口的一些处理逻辑3.1针对型如../xx.js、./xx.js、//xx.js等js爬取做了修复3.2针对型如../func、./func、/func等接口处理做了修复0x04 使用介绍功能比较简单,只介绍漏洞检测和JS接口漏洞检测第一步:先配置各种API第二步:选择一个空间测绘第三步:选择自己的脚本,检测即可脚本编写要求【可以参考模板】1、要求只从控制台获取一个参数,内容是url2、检测的结果请输出之控制台3、代理需要自己加到py里面内网横向py调用的impacket-0.11.0JS接口第一步:输入网址 获取js第二步,挑选一个感觉有接口的js这里的js不能有参数第三步:(可选),观察结果,如果有特定的目录,可以添加在前面第四步:选择请求方式,然后点击获取接口状态即可结果工具下载
https://github.com/0x7eTeam/0x7eTeamTools/releases
如有侵权,请联系删除
好文推荐
关注我,学习网络安全不迷路