安全工具的无限联动——真香系列来啦~

简介: 安全工具的无限联动——真香系列来啦~

0x01 描述信息:

因为纯属瞎玩,所以没有考虑其他的效率,隐匿什么的,仅仅图一个套娃的乐。

现在有很多工具支持被动代理监听扫描的同时还可以在配置一个代理,其实就算工具自己没有这些功能也可以借助其他第三方工具如proxifier等进行套娃,下面分享一个6连套娃。

其实是可以无限连动的,本文章只是做一个示例。

0x02 开始套娃:

鲨鱼,awvs.......其他可以设置代理的工具(综合扫描,爬虫,扫目录等等)作为第一个接触流量的工具,然后剩下的四个流程为=>appscan => yakit => burp => xray。

下面进行保姆级演示:

第一个工具我选择了大鲨鱼(因为awvs没安装破解成功0.0)

剩下的套娃工具已经准备好了

开始套娃!

首先进入appscan,点击进入web api

然后选择其他本地客户机,然后可以点击编辑自己配置一些东西

记得勾选“我需要配置其他连接设置”再点下一步

代理配置为yakit工具的劫持监听地址

对比一下是否一样,然后yakit的下游地址选择burp的监听地址,然后插件全选劫持启动

接着来到我们的burp,确认监听地址是否为yakit设置的下游地址

这里burp可以选择火力全开

然后配置顶级代理设置为xray的被动监听地址

检查一下,然后来到appscan点下一步

描述文件为可选,这里我们先跳过,剩下的自行按情况配置

然后开始记录,这里从appscan到xray的4连就设置好了

然后来到大鲨鱼,选择配置代理,这里配置为appscan的被动监听地址  

一切准备就绪,选择选个靶标试一下看看流量传输有没有5连起来,先把burp和yakit的中间人代理设置为手动

然后输入一个目标(记得授权什么的,这里是加入的团队的一个官网,经过了他们的同意)

开始扫描

Appscan显示了流量的经过与1个客户机已连接,说明appscan没问题

下面到了yakit,已经拦截到了靶标,现在可以选择自动放行了,在传入下一个

Burp也正常收到了,可以将intercept关掉了,然后流量传入顶级代理,也就是xray

Xray也没有问题,开始进行实时扫描了,5连开始了

经过检查各扫描器都在运作,开头选择的第一个传入流量的不太推荐大鲨鱼,本来想选择awvs,但是本地windows下载破解版没有破解成功,随便选了个其他的工具选到了大鲨鱼,感觉有点不太流畅,不太顺滑,可以选择其他的爬虫工具或者漏扫等等,后面我试了试goby也有吃坑的地方,或者我一般第一个都是浏览器,然后靶标里点一点,想综合批量可以选择第一个工具为爬虫工具,比如rad然后在联动剩下的综合扫描,poc验证什么的感觉还是不错的。appscan那里它的webapi好像只是确认目标,后面得需要自己筛选目标然后点击确认它在进行主动扫描,不过在确认阶段流量还是会联动下面的,小问题,后面选完后它在主动扫描的时候流量还是会往下传,进行二次联动扫描。

后来发现w13scan也支持被动扫描了,然后自带一个代理,我本地下载使用python的pip环境有些问题,后面在看,但是这个w13scan满足直接套娃的条件,套娃喜加一(6连)

Github项目地址:


https://github.com/w-digital-scanner/w13scan

然后代理隐匿方面的话说一下,因为这里套娃上下联动都是依靠http,经过测试可以使用Proxifier配置socket的全局代理,然后添加规则里把套娃的工具都扔进去就可以达到6连的同时确保流量是挂了代理的。(实验的时候忘截图了,代理规则在这里添加)

这里还有个小坑,记得把下面这个显示关掉(在屏幕日子-仅仅显示错误),不然线程没有控制好下面会疯狂刷新你所有的连接,机子是要冒烟的,然后这个全局工具容易卡或者未响应了,会影响流量或者不能确保是经过代理的。

0x03 后记

文章随手写完的,没有经过二次检查什么的,如果有一些建议或者错误等地方,需要删除的地方请联系,沟通处理。

目录
打赏
0
0
0
0
6
分享
相关文章
低代码时代下的传统爬虫反击
本文探讨了传统爬虫技术与低代码平台在数据采集中的角色。尽管低代码工具在简单任务中表现出色,但在应对复杂反爬机制(如TikTok的动态加载和JS渲染)时,传统编程仍具不可替代的优势。通过Python代码示例展示了如何使用代理IP、设置请求头等技术手段,成功爬取TikTok视频简介和评论。未来,两者将融合共存,低代码负责快速构建基础爬虫,而复杂问题则依赖传统编程解决。
低代码时代下的传统爬虫反击
移动应用与系统:探索现代科技的无限可能
在数字化时代,移动应用和操作系统已成为我们日常生活的重要组成部分。本文将深入探讨移动应用开发的过程、挑战以及未来趋势,同时也会分析主流移动操作系统的特点和发展方向。通过这篇文章,读者将了解到移动应用和系统如何塑造我们的数字生活,并对未来科技发展有所预见。
从桌面跃升至云端的华丽转身:深入解析如何运用WinForms与Azure的强大组合,解锁传统应用向现代化分布式系统演变的秘密,实现性能与安全性的双重飞跃——你不可不知的开发新模式
【8月更文挑战第31天】在数字化转型浪潮中,传统桌面应用面临新挑战。本文探讨如何融合Windows Forms(WinForms)与Microsoft Azure,助力应用向云端转型。通过Azure的虚拟机、容器及无服务器计算,可轻松解决性能瓶颈,满足全球用户需求。文中还提供了连接Azure数据库的示例代码,并介绍了集成Azure Storage和Functions的方法。尽管存在安全性、网络延迟及成本等问题,但合理设计架构可有效应对,帮助开发者构建高效可靠的现代应用。
91 0
在可视会议系统工程中,系统工程方法可以帮助我们系统地规划、设计和实现一个高效、可靠的可视会议系统。
在可视会议系统工程中,系统工程方法可以帮助我们系统地规划、设计和实现一个高效、可靠的可视会议系统。
CRM软件功能大揭秘:商业利器的多面功效与应用
CRM软件是用于企业管理和优化与客户在销售、营销及服务互动的工具,旨在吸引新客户、保留旧客户并提高市场。它包括客户管理、销售管理、售后管理和数据分析功能,帮助企业理解客户需求,提升销售效率,提供个性化服务,增强客户满意度和企业竞争力。CRM软件通过自动化和数据分析简化工作流程,支持精准营销,提供业绩提升和决策支持。例如,Zoho CRM是一款全面的系统,可助企业有效管理客户关系和制定营销策略。
104 1
转:图像识别算法在电脑屏幕监控软件中的优势与实用性
在电脑屏幕监控软件中,图像识别算法就像是一个电脑版的侦探,用着最先进的计算机视觉技术,自动监视和分析屏幕上的图像内容。图像识别算法可以轻松地识别出屏幕上的物体、文字、图案等等,不管它们是多么复杂或是隐蔽。无论你是在监控系统里还是在视频编辑软件中使用它,都会让你感觉到“嗯,这真的是太强大了!”下面就为大家简单的介绍一下图像识别算法在电脑屏幕监控软件中优势与实用性。
187 1
用自动化优先与人机协同破解企业内卷,RPA成为重要杀器
内卷化无处不在的当下,企业如何用RPA破解内卷迷局? 用自动化优先与人机协同应对企业内卷,RPA成为重要杀器 自动化优先,人机协同,简单原则,三个方式化解企业内卷化
219 0
用自动化优先与人机协同破解企业内卷,RPA成为重要杀器
陪玩源码如何优化用户体验?功能和技术缺一不可
陪玩源码如何优化用户体验?功能和技术缺一不可
安卓应用安全指南 六、困难问题
六、困难问题 原书:Android Application Secure Design/Secure Coding Guidebook 译者:飞龙 协议:CC BY-NC-SA 4.0 在 Android 中,由于 Android 操作系统规范或 Android 操作系统提供的功能,难以确保应用实现的安全性。
1302 0
AI助理

你好,我是AI助理

可以解答问题、推荐解决方案等