2018最新款渗透测试框架 | Fsociety搞定各种姿势脚本

Fsociety是一款最新的渗透测试框架,可以帮助各位兄弟在安全测试过程中拥有变身成黑客所需要的各种姿势脚本。

这个工具刚刚出现,目前大概分为以下9类,后续还会更新其他几类(Shell Checker,POET,Weeman)

(一) 菜单

信息收集 密码攻击 无线测试 渗透工具 嗅探和欺骗 Web Hacking Private Web Hacking 后期开发 安装和更新

(二) 信息收集

NMAP Setoolkit Host To IP WPScan CMS扫描仪 XSStrike Dork - Google Dorks被动漏洞审计

(三) 密码攻击

Cupp Ncrack

(四) 无线测试

Reaver Pixiewps Bluetooth蜜罐

(五) 渗透工具

ATSCAN sqlmap Shellnoob commix FTP Auto Bypass JBoss Autopwn

(六) 嗅探和欺骗

Setoolkit SSLtrip pyPISHER SMTP邮件程序

(七) 网络黑客

Drupal Hacking Inurlbr Wordpress和Joomla扫描 Gravity Form Scanner 文件上传检查工具 WordPress利用扫描工具 Wordpress插件扫描工具 Shell and Directory Finder Joomla!1.5 - 3.4.5远程代码执行 Vbulletin 5.X远程代码执行 BruteX - Automatically brute force all services running on a target Arachni - Web应用程序安全扫描程序框架

(八) Private Web Hacking

获取所有网站 获取joomla网站 获取WordPress的网站 Control Panel Finder Zip Files Finder Upload File Finder Get server users SQli Scanner Ports Scan (range of ports) ports Scan (common ports) Get server Info Bypass Cloudflare

(九) 后期开发

Shell Checker POET Weeman

下面介绍一下具体使用的方式方法,。

由于此款安全测试框架暂时为beta版本,初次使用会存在一此小问题,本人已经做了小白鼠,给大家把坑趟了一遍,为各位兄弟减少一些试错成本,有不完善的地方还请多多包涵。

https://github.com/thehappydinoa/fsociety //直接下载略过

root@2cats:~/fsociety# ./install.sh //安装

提示安装失败,经检查发现安装源文件网址有误,如下图。

第一个坑,后期顺利完成安装。

直接fsociety启动框架程序。

下面我们选择2个功能简单测试一下,是否好用。

以Nmap为例,Pentest前期大家经常用到的工具。

我们测试一下Nmap简单扫描功能(选择1)

输入要扫描的目标IP地址,子网,网段,主机。

注意:

第二个坑,nmap自动生成的日志文件nmap-2018-01-15_03:19:31不能写入,初步判断应该是没有logs目录,果断在当前目录下创建个logs文件夹(mkdir logs)。

解决办法:

再次执行可以正常打印并输出端口信息,收集信息如下图。

下面我再测试一个模块,XSStrike相信有很多人应该也会用到,就是各种xss扫描。初次使用会直接下载安装此模块。

下面测试具体使用情况。

我们随便找个web站点测试一下xsstrike,是否可以正常使用。

测试结果正常,可以xss的模糊测试,发现3个反射xss漏洞。

好了,这次就分享就到此了。

Fsociety毕竟还是一个beta版本,此框架中的部分模块还会存在一些各种各样的小BUG,在后面的使用过程中可能会陆续出现,但总体来说还是非常不错,使用起来很方便。给大家抛砖引玉一下,有兴趣的小伙伴可以继续研究,有了新发现一起分享。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏玄魂工作室

Hacker基础之Linux篇:基础Linux命令十六

今天我们来学习几个小知识,不一定是Linux的命令,都是用于查看Linux的系统信息的

1503
来自专栏黄日成的专栏

浅析 P2P 穿越 NAT 的原理、技术、方法 (上)

在 NAT 环境下,实现 P2P 通信的完整解决方案包括几个部分呢?相关的原理、方法、技术有哪些?

1.9K1
来自专栏FreeBuf

新手指南:DVWA-1.9全级别教程(完结篇,附实例)之XSS

* 本文原创作者:lonehand,转载请注明来自FreeBuf.COM 目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk...

1K5
来自专栏菩提树下的杨过

spring-boot 速成(1) helloworld

一、mac上安装 $ brew tap pivotal/tap $ brew install springboot 安装成功后,可在终端查看命令行 ➜  ~ s...

2168
来自专栏程序猿DD

Spring Cloud构建微服务架构:Hystrix监控面板【Dalston版】

前言 在上一篇《服务容错保护(hystrix断路器)》的介绍中,我们提到断路器是根据一段时间窗内的请求情况来判断并操作断路器的打开和关闭状态的。而这些请求情况的...

2067
来自专栏owent

注册表常用键值意义

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel]

1422
来自专栏FreeBuf

深入解析新型加密货币挖矿恶意软件ZombieBoy

延续了2018年加密货币挖矿恶意软件的趋势,我发现了另一种类似于5月初发现的“MassMine”的挖矿恶意软件。我把这个家族称为ZombieBoy,因为它使用了...

1002
来自专栏Gaussic

使用IntelliJ IDEA开发SpringMVC网站(四)用户管理 顶

访问GitHub下载最新源码:https://github.com/gaussic/SpringMVCDemo

1712
来自专栏三杯水

ELKB5.2.2集群环境部署配置优化终极文档

3,logstash filter 加入urldecode支持url、reffer、agent中文显示

3172
来自专栏nimomeng的自我进阶

基于Jenkins的CocoaPods化iOS项目构建+蒲公英/FIR系统发布

本文以本地和Git为例,结合CocoaPods,简单介绍了如何用jenkins来进行CI编译并上传蒲公英和Fir生成相应二维码的流程。

1513

扫码关注云+社区