EyeJo是一款自动化资产风险评估平台,可以协助甲方安全人员或乙方安全人员对授权的资产中进行排查,快速发现存在的薄弱点和攻击面。免责声明本平台集成了大量的互联网公开工具,主要是方便安全人员整理、排查资产、安全测试等,切勿用于非法用途。使用者存在危害网络安全等任何非法行为,后果自负,作者不承担任何法律责任。功能说明功能说明输入目标支持域名、IP段、IP范围。注
EyeJo是一款自动化资产风险评估平台,可以协助甲方安全人员或乙方安全人员对授权的资产中进行排查,快速发现存在的薄弱点和攻击面。
本平台集成了大量的互联网公开工具,主要是方便安全人员整理、排查资产、安全测试等,切勿用于非法用途。使用者存在危害网络安全等任何非法行为,后果自负,作者不承担任何法律责任。
功能 | 说明 |
---|---|
输入目标 | 支持域名、IP段、IP范围。注:输入的域名会作为主域名,除了www |
子域名收集 | 使用Oneforall收集子域名 |
Shodan和FOFA查询 | 使用Shodan API和Fofa API收集域名 |
端口扫描 | 使用naabu+nmap快速精准扫描端口服务 |
请求站点、截图 | 收集站点的网页截图、Title、icons、证书等 |
指纹识别 | 使用wappalyzer进行指纹识别(默认集成wappalyzer指纹库外加几十个常见应用指纹) |
登录识别 | 会调用爬虫进行识别。请求站点、截图功能默认会通过指纹去识别 |
FUZZ | 使用ffuf进行目录爆破 |
POC检测 | 使用pocsuite3进行poc检测(默认集成少量POC) |
漏洞检测 | crawlergo爬虫+xray的被动扫描(平台默认关闭了xray的poc检测) |
服务爆破 | 使用hydra进行相应服务的爆破(默认集成服务字典) |
结果导出 | 导出收集的资产 |
获取镜像
## 重新构建
## docker build -t mirchdocker/eyejo:latest -f docker/Dockerfile .
## 拉取最新
docker pull mirchdocker/eyejo
一键部署
cd docker
docker-compose up -d
http://127.0.0.1:6103 密码: admin/eyejo@666 数据库MySQL账号密码:root/eyejo@pass
删除user1用户并新增用户admin/password
docker exec -it eyejo_mariadb mysql -u root -p
## 输入密码eyejo@pass
use EyeJo;
delete from auth_user where username='user1';
docker exec -it eyejo_ubuntu bash
python3 manage.py initadmin --user admin --password password --email admin@example.com
可更新指纹库 eyejo/plugin/fingermap/data/wappalyzer.json 可更新POC eyejo/plugin/pocsuite3/pocs/,模板参考
https://github.com/TophantTechnology/ARL https://github.com/chaitin/xray https://github.com/ffuf/ffuf https://github.com/projectdiscovery/naabu https://github.com/knownsec/pocsuite3 https://github.com/shmilylty/OneForAll https://github.com/0Kee-Team/crawlergo https://github.com/rverton/webanalyze
项目地址:https://github.com/ice-doom/EyeJo