专栏首页FreeBuf2018最新款渗透测试框架 | Fsociety搞定各种姿势脚本

2018最新款渗透测试框架 | Fsociety搞定各种姿势脚本

Fsociety是一款最新的渗透测试框架,可以帮助各位兄弟在安全测试过程中拥有变身成黑客所需要的各种姿势脚本。

这个工具刚刚出现,目前大概分为以下9类,后续还会更新其他几类(Shell Checker,POET,Weeman)

(一) 菜单

信息收集 密码攻击 无线测试 渗透工具 嗅探和欺骗 Web Hacking Private Web Hacking 后期开发 安装和更新

(二) 信息收集

NMAP Setoolkit Host To IP WPScan CMS扫描仪 XSStrike Dork - Google Dorks被动漏洞审计

(三) 密码攻击

Cupp Ncrack

(四) 无线测试

Reaver Pixiewps Bluetooth蜜罐

(五) 渗透工具

ATSCAN sqlmap Shellnoob commix FTP Auto Bypass JBoss Autopwn

(六) 嗅探和欺骗

Setoolkit SSLtrip pyPISHER SMTP邮件程序

(七) 网络黑客

Drupal Hacking Inurlbr Wordpress和Joomla扫描 Gravity Form Scanner 文件上传检查工具 WordPress利用扫描工具 Wordpress插件扫描工具 Shell and Directory Finder Joomla!1.5 - 3.4.5远程代码执行 Vbulletin 5.X远程代码执行 BruteX - Automatically brute force all services running on a target Arachni - Web应用程序安全扫描程序框架

(八) Private Web Hacking

获取所有网站 获取joomla网站 获取WordPress的网站 Control Panel Finder Zip Files Finder Upload File Finder Get server users SQli Scanner Ports Scan (range of ports) ports Scan (common ports) Get server Info Bypass Cloudflare

(九) 后期开发

Shell Checker POET Weeman

下面介绍一下具体使用的方式方法,。

由于此款安全测试框架暂时为beta版本,初次使用会存在一此小问题,本人已经做了小白鼠,给大家把坑趟了一遍,为各位兄弟减少一些试错成本,有不完善的地方还请多多包涵。

https://github.com/thehappydinoa/fsociety //直接下载略过

root@2cats:~/fsociety# ./install.sh //安装

提示安装失败,经检查发现安装源文件网址有误,如下图。

第一个坑,后期顺利完成安装。

直接fsociety启动框架程序。

下面我们选择2个功能简单测试一下,是否好用。

以Nmap为例,Pentest前期大家经常用到的工具。

我们测试一下Nmap简单扫描功能(选择1)

输入要扫描的目标IP地址,子网,网段,主机。

注意:

第二个坑,nmap自动生成的日志文件nmap-2018-01-15_03:19:31不能写入,初步判断应该是没有logs目录,果断在当前目录下创建个logs文件夹(mkdir logs)。

解决办法:

再次执行可以正常打印并输出端口信息,收集信息如下图。

下面我再测试一个模块,XSStrike相信有很多人应该也会用到,就是各种xss扫描。初次使用会直接下载安装此模块。

下面测试具体使用情况。

我们随便找个web站点测试一下xsstrike,是否可以正常使用。

测试结果正常,可以xss的模糊测试,发现3个反射xss漏洞。

好了,这次就分享就到此了。

Fsociety毕竟还是一个beta版本,此框架中的部分模块还会存在一些各种各样的小BUG,在后面的使用过程中可能会陆续出现,但总体来说还是非常不错,使用起来很方便。给大家抛砖引玉一下,有兴趣的小伙伴可以继续研究,有了新发现一起分享。

本文分享自微信公众号 - FreeBuf(freebuf),作者:2cat

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 从“小白”到“白帽子黑客”的实用指南

    在安全的江湖之中,有一群武功高强、行侠仗义的英雄叫做: “白帽子黑客” 他们热衷于研究网络与计算机, 善于发现安全漏洞, 但他们并不会做坏事, 而是将漏洞及时...

    FB客服
  • MassDNS:一款功能强大的高性能DNS子域名查询枚举侦察工具

    MassDNS是一款功能强大的高性能DNS stub解析工具,它可以帮助研究人员解析数百万甚至上亿个域名。在没有特殊配置的情况下,MassDNS可以利用公共可用...

    FB客服
  • Hacking Tools搜罗大集合

    各种各样的黑客工具浩如天上繁星,这也让许多刚刚入门安全技术圈的童鞋感到眼花缭乱,本文整理了常用的安全技术工具,希望能够给你带来帮助。以下大部分工具可以在 Git...

    FB客服
  • 2018最新款渗透测试框架,Fsociety搞定各种姿势脚本

    Fsociety是一款最新的渗透测试框架,可以帮助各位兄弟在安全测试过程中拥有变身成黑客所需要的各种姿势脚本。(仅供专业人士安全测试。切勿干违法的事情。)

    周俊辉
  • salesforce零基础学习(九十)项目中的零碎知识点小总结(三)

    本次的内容其实大部分人都遇到过,也知道解决方案。但是因为没有牢记于心,导致问题再次出现还是花费了一点时间去排查了原因。在此记录下来,好记性不如烂笔头,争取下次发...

    用户1169343
  • Python可以减少代码量?我不信

    突然看到好几篇文章,内容基本上是什么用Java需要100行,用PHP只需要30行,用Python只需要10行(数字记不清了)。简单说一下我的看法。

    烟草的香味
  • 文本与二进制方式打开文件的区别[转载]

    Windows平台下 如果以“文本”方式打开文件,当读取文件的时候,系统会将所有的”/r/n”转换成”/n”;当写入文件的时候,系统会将”/n”转换成”/r/...

    用户2353021
  • 人力资源数据分析模型

    反映用户在网页上的关注点在哪里,尤其对于官网首页来说,信息密度极高,用户究竟是如何点击,如何浏览的效果图

    王佩军
  • 泛函编程(25)-泛函数据类型-Monad-Applicative

        上两期我们讨论了Monad。我们说Monad是个最有概括性(抽象性)的泛函数据类型,它可以覆盖绝大多数数据类型。任何数据类型只要能实现flatMap+u...

    用户1150956
  • 提取用户对象及系统权限DDL

          在工作中难免碰到需要提取用户权限或是不同数据库用户权限的同步问题。我们知道,Oracle数据库的任意一个用户,必须有相应的权限才可以登录以及操纵数据...

    Leshami

扫码关注云+社区

领取腾讯云代金券