WebCopilot：一款功能强大的子域名枚举和安全漏洞扫描工具

FreeBuf_

1463人浏览 · 2024-03-29 20:48:14

FreeBuf_ · 2024-03-29 20:48:14 发布

关于WebCopilot

WebCopilot是一款功能强大的子域名枚举和安全漏洞扫描工具，该工具能够枚举目标域名下的子域名，并使用不同的开源工具检测目标存在的安全漏洞。

工具运行机制

WebCopilot首先会使用assetsfinder、submaster、subfinder、accumt、finddomain、hackertarget、riddler和crt来枚举给定目标域名的所有子域名，然后使用gobuster执行主动子域名枚举。接下来，WebCopilot使用dnsx过滤掉所有活动子域，然后使用httpx提取子子域名的标题，并使用subjack扫描子域名接管漏洞。然后，该工具会使用gauplus和waybackurls来提取给定子域名下的所有终端节点，并使用gf从该给定子域中过滤出xss、lfi、ssrf、sqli、open redirect和rce参数，然后使用不同的开源工具（如kxss、dalfox、openredirex、nucles等）扫描子域名上的安全漏洞。最后，WebCopilot会将扫描结果打印出来，并将所有输出保存到指定的目录中。

功能介绍

1、使用assetfinder、sublist3r、subfinder、amass和findomain等工具执行子域名枚举；

2、使用gobuster和amass执行主动子域名枚举；

3、使用aquatone和httpx提取活跃子域名标题和截图快照；

4、使用waybackurls和gauplus爬取子域名的全部终端节点，并使用gf过滤xss、lfi、ssrf、sqli等参数；

5、使用不同的开源工具（例如dalfox、nuclei和sqlmap等）扫描这些参数中的安全漏洞，并将输出结果存储到目录中；

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/h4r5h1t/webcopilot.git

然后切换到项目目录下，给工具安装脚本提供可执行权限，并以root权限安装webcopilot：

cd webcopilot/

chmod +x webcopilot install.sh

mv webcopilot /usr/bin/

./install.sh

工具帮助

g!2m0:~ webcopilot -h

工具使用

下列命令即可对目标域名执行扫描任务：

g!2m0:~ webcopilot -d bugcrowd.com

使用-o命令可以指定输出结果的存储目录：

g!2m0:~ webcopilot -d bugcrowd.com -o bugcrowd

使用-s命令可以仅执行子域名枚举：

g!2m0:~ webcopilot -d bugcrowd.com -o bugcrowd -s

使用-b命令可以扫描XSS盲注，我们可以通过xsshunter或interact获取服务器：

g!2m0:~ webcopilot -d bugcrowd.com -o bugcrowd -t 333 -b testServer.xss

使用-x命令可以排除不需要扫描的域名范围：

g!2m0:~ echo out.bugcrowd.com > excludeDomain.txt

g!2m0:~ webcopilot -d bugcrowd.com -o bugcrowd -t 333 -x excludeDomain.txt -b testServer.xss

工具使用样例

g!2m0:~ webcopilot -d bugcrowd.com - bugcrowd

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

WebCopilot：【GitHub传送门】

参考资料

https://github.com/tomnomnom/assetfinder

https://github.com/aboul3la/Sublist3r

https://github.com/projectdiscovery/subfinder

https://github.com/OWASP/Amass

https://github.com/Findomain/Findomain

https://github.com/OJ/gobuster

https://github.com/OWASP/Amass

https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS

https://github.com/michenriksen/aquatone

https://github.com/projectdiscovery/httpx

https://github.com/tomnomnom/waybackurls

https://github.com/bp0lr/gauplus

https://github.com/tomnomnom/gf

https://github.com/hahwul/dalfox

https://github.com/projectdiscovery/nuclei

https://github.com/sqlmapproject/sqlmap

GitCode 开源社区

旨在为数千万中国开发者提供一个无缝且高效的云端环境，以支持学习、使用和贡献开源项目。

更多推荐

[转载]在Windows环境下安装GNU Radio

转自：在Windows环境下安装GNURadio_恐弱智_新浪博客GNU Radio是用Python开发的，大部分开源的工程能够在Linux环境下运行良好，而Windows下却运行的很勉强，而且安装配置都很复杂。GNU Radio算是个例外了，不光提供了Windows的二进制安装，还有比较详细的说明。我是Python小白，所以折腾了好久才弄好，特意记录下来，免得以后再装还折腾。GNU Radio的

GitCode 开源社区

centOS 8 使用dnf安装Docker

DNF是什么？CentOS 8使用YUM软件包管理器版本v4.0.4。现在，该版本使用DNF(已删除YUM)。DNF是软件包管理器。它会在Linux发行版上安装，执行更新并删除软件包。使用DNF安装Docker跳过具有损坏依赖性的程序包一个有效的解决方案是使您的CentOS 8系统使用以下--nobest命令安装最符合条件的版本：sudo dnf install docker...

GitCode 开源社区

定时同步数据库表(mysql+linux+crontab)

sync.sh里面的参数需要改变，ip/username/password/database/tablesync.sh#!/bin/sh# Please change the IP and password of the data source db.# Then change the table name.filename=/home/nington/db/$(date +%Y-%m