ReconFTW是一个简单且功能强大的脚本,ReconFTW能够通过各种技术实现子域名枚举的自动化,并进一步扫描其中可能存在的安全漏洞。扫描完成之后,ReconFTW将给广大研究人员报告潜在的安全漏洞。
Google Dorks(degoogle_hunter);
多子域枚举技术;
被动扫描(subfinder、assetfinder、amass、findomain、crobat、waybackurls);
暴力破解(shuffledns);
子域名 *** 爬取( *** Finder);
Sub TKO;
*** 探测器(httpx);
*** 截图(webscreenshot);
端口扫描器(naabu);
模板扫描(nuclei)
Url提取(waybackurls、gau、gospider、github-endpoints);
模式搜索(gf和gf-patterns);
参数发现(paramspider和arjun);
XSS(XSStrike);
开放重定向(Openredirex);
SSRF(py);
CRLF(crlfuzz);
Github(git-hound);
Javascript分析(LinkFinder, *** FScan脚本);
模糊测试(ffuf);
SSL测试(testssl);
多线程支持(Interlace);
自定义输出文件夹(默认为Recon/target.tld/);
更新工具脚本;
Docker支持;
CMS扫描(CMSeek);
首先,我们需要在本地主机上安装好Go语言环境,要求Golang > v1.14,并且在.bashrc和.zshrc中正确设置PATH路径参数:$GOPATH和$GOROOT。
export GOROOT=/usr/local/go export GOPATH=$HOME/go export PATH=$GOPATH/bin:$GOROOT/bin:$PATH
wget https://golang.org/dl/go1.15.7.linux-amd64.tar.gz tar -C /usr/local -xzf go1.15.7.linux-amd64.tar.gz
或者说,广大研究人员也可以在本地主机上运行下列命令将该项目源码克隆至本地,并通过install.sh安装脚本完成ReconFTW的安装与配置:
git clone https://github.com/six2dez/reconftw cd reconftw chmod +x *.sh https://www.freebuf.com/articles/web/install.sh https://www.freebuf.com/articles/web/reconftw.sh -d target.com -a
我们建议广大研究人员在某些场景下设置好你的API密钥或env环境变量:
amass (~/.config/amass/config.ini)
subfinder (~/.config/subfinder/config.yaml)
git-hound (~/.githound/config.yml)
github-endpoints.py (GITHUB_TOKEN env var)
favup (shodan init <SHODANPAIDAPIKEY>)
SSRF Server (COLLAB_SERVER环境变量)
Blind XSS Server (XSS_SERVER环境变量)
构建镜像:
docker build -t reconftw/reconftw .
docker run --rm reconftw/reconftw -h
docker run --rm reconftw/reconftw -d target.tld -a
或
docker run -it --rm -v $PWD/targets.txt:/app/targets.txt reconftw/reconftw -l /app/targets.txt -a ?Pages 1 Find a Page… Home Clone this wiki locally
TARGET OPTIONS -d DOMAIN ?指定目标域名 -l list.txt 目标列表,每个占一行 -x oos.txt ?需要排除的子域名列表 MODE OPTIONS -a ?执行所有检测 -s ?完整的子域名扫描 -g ?Google Dork搜索 -w 执行Web检测 -t ?检测子域名接管 -i ?检测所有需要的工具 -v 调式/Verbose模式 -h 显示帮助信息 ? SUBDOMAIN OPTIONS --sp 被动子域名扫描 -- *** 爆破子域名 --sr 子域名组合与解析 --ss 子域名爬取扫描 OUTPUT OPTIONS -o output/path 定义输出目录
ReconFTW:【GitHub传送门】
11月3日,“中国银行杯”2020年荆州市乒乓球锦标赛在荆州体育中心落下帷幕,比赛吸引了来自全市各行业、各县市区的20支代表队、200余名选手参加。比赛由荆州市体育局、中共荆州市委直属机关工作委员会、...
黑客初级入门(黑客初级教学)(tiechemo.com)一直致力于黑客(HACK)技术、黑客QQ群、信息安全、web安全、渗透运维、黑客工具、找黑客、黑客联系方式、24小时在线网络黑客、黑客业务、黑客...
编辑导读:现如今,网络产物已经遍布糊口的方方面面。人们越来越明明地感受到留意力不绝被分手,这种延伸出来的影响力是实现互联网安详和全球化成长必需要思量的问题。本文将从四个方面,对这个问题展开阐明,但愿对...
找黑客盗微信多少钱相关问题 黑客军团翻拍相关问题 黑客通过微信能做什么 一个人关注了你所有社交账号(一个人多个支付宝账号)...
美国第35任总统肯尼迪。 总统遇刺瞬间。刺客射中了肯尼迪的头部,致其当场死亡,图片镜头肯尼迪妻子杰奎琳跨出汽车,一种说法指出她是去捡肯尼迪被射飞的头盖骨,另一种说法,她是被刺杀吓得逃跑,直至今日...
每一年的新iPhone发售后,许多剖析组织都是会第一时间从出该设备的出厂价。现阶段有投资分析师估计出了16GB版iPhone 6s Plus的出厂价,包含原材料元器件231.五美元、生产制造测试4.五...