XiuScan
不完善,正在开发中
介绍
一个纯Golang编写基于命令行的Java框架漏洞扫描工具
致力于参考xray打造一款高效方便的漏扫神器
计划支持Fastjson、Shiro、Struts2、Spring、WebLogic等框架
PS: 取名为XiuScan因为带我入安全的大哥是修君
特点
-
类似xray,直接提供一个可执行文件(例如exe)无需配置环境或下载依赖
-
使用ceye.io平台做无回显漏洞验证,提供api和token即可自动化检测
-
参考xray完成RMI反连平台,用于检测Fastjson等无回显漏洞
-
动态生成Payload不依赖ysoserial和java环境,参考:https://github.com/EmYiQing/Gososerial
Start
Shiro
Shiro一把梭检测,无害化命令,使用命令shiro
使用ceye.io:./xiuscan shiro -ci xxxxxx.ceye.io -ct your_ceye_token -t http://www.xxx.com
不借助ceye,直接检测密钥并进行TomcatEcho回显检测:./xiuscan shiro -t http://www.xxx.com
Fastjson
Fastjson扫描支持dnslog和反连平台,使用命令fastjson
使用ceye.io:./xiuscan fastjson -ci xxxxxx.ceye.io -ct your_ceye_token -t http://www.xxx.com
使用反连平台:./xiuscan fastjson -rh 192.168.222.1 -rp 60006 -t http://192.168.222.132:8090
说明:
- 靶机是虚拟机,ip为192.168.222.132,本机是192.168.222.1,不能写127.0.0.1或0.0.0.0
- 如果靶机跑在本地,ip为127.0.0.1,那么rh参数可以是127.0.0.1
- 如果XiuScan跑在公网,那么rh参数应该设置为公网ip,并且rp参数对应的端口应开放安全组
Struts2
Struts2系列漏洞扫描,无害化命令检测,使用命令struts2
查看已支持模块:./xiuscan struts2 --list
目前还不能扫描,只完成了所有测试用例,预计下月完善扫描逻辑
免责申明
未经授权许可使用XiuScan攻击目标是非法的
本程序应仅用于授权的安全测试与研究目的