WebCopilot:一款功能强大的子域名枚举和安全漏洞扫描工具

关于WebCopilot

WebCopilot是一款功能强大的子域名枚举和安全漏洞扫描工具,该工具能够枚举目标域名下的子域名,并使用不同的开源工具检测目标存在的安全漏洞。

工具运行机制

WebCopilot首先会使用assetsfinder、submaster、subfinder、accumt、finddomain、hackertarget、riddler和crt来枚举给定目标域名的所有子域名,然后使用gobuster执行主动子域名枚举。接下来,WebCopilot使用dnsx过滤掉所有活动子域,然后使用httpx提取子子域名的标题,并使用subjack扫描子域名接管漏洞。然后,该工具会使用gauplus和waybackurls来提取给定子域名下的所有终端节点,并使用gf从该给定子域中过滤出xss、lfi、ssrf、sqli、open redirect和rce参数,然后使用不同的开源工具(如kxss、dalfox、openredirex、nucles等)扫描子域名上的安全漏洞。最后,WebCopilot会将扫描结果打印出来,并将所有输出保存到指定的目录中。

功能介绍

1、使用assetfinder、sublist3r、subfinder、amass和findomain等工具执行子域名枚举;

2、使用gobuster和amass执行主动子域名枚举;

3、使用aquatone和httpx提取活跃子域名标题和截图快照;

4、使用waybackurls和gauplus爬取子域名的全部终端节点,并使用gf过滤xss、lfi、ssrf、sqli等参数;

5、使用不同的开源工具(例如dalfox、nuclei和sqlmap等)扫描这些参数中的安全漏洞,并将输出结果存储到目录中;

工具下载

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/h4r5h1t/webcopilot.git

然后切换到项目目录下,给工具安装脚本提供可执行权限,并以root权限安装webcopilot:

cd webcopilot/

chmod +x webcopilot install.sh

mv webcopilot /usr/bin/

./install.sh

工具帮助

g!2m0:~ webcopilot -h

工具使用

下列命令即可对目标域名执行扫描任务:

g!2m0:~ webcopilot -d bugcrowd.com

使用-o命令可以指定输出结果的存储目录:

g!2m0:~ webcopilot -d bugcrowd.com -o bugcrowd

使用-s命令可以仅执行子域名枚举:

g!2m0:~ webcopilot -d bugcrowd.com -o bugcrowd -s

使用-b命令可以扫描XSS盲注,我们可以通过xsshunter或interact获取服务器:

g!2m0:~ webcopilot -d bugcrowd.com -o bugcrowd -t 333 -b testServer.xss

使用-x命令可以排除不需要扫描的域名范围:

g!2m0:~ echo out.bugcrowd.com > excludeDomain.txt

g!2m0:~ webcopilot -d bugcrowd.com -o bugcrowd -t 333 -x excludeDomain.txt -b testServer.xss

工具使用样例

g!2m0:~ webcopilot -d bugcrowd.com - bugcrowd

许可证协议

本项目的开发与发布遵循MIT开源许可证协议。

项目地址

WebCopilot:【GitHub传送门】

参考资料

https://github.com/tomnomnom/assetfinder

https://github.com/aboul3la/Sublist3r

https://github.com/projectdiscovery/subfinder

https://github.com/OWASP/Amass

https://github.com/Findomain/Findomain

https://github.com/OJ/gobuster

https://github.com/OWASP/Amass

https://github.com/danielmiessler/SecLists/tree/master/Discovery/DNS

https://github.com/michenriksen/aquatone

https://github.com/projectdiscovery/httpx

https://github.com/tomnomnom/waybackurls

https://github.com/bp0lr/gauplus

https://github.com/tomnomnom/gf

https://github.com/hahwul/dalfox

https://github.com/projectdiscovery/nuclei

https://github.com/sqlmapproject/sqlmap

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/500197.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

layui laydate日期初始化的一些坑

layui laydate日期初始化的一些坑

layui laydate日期初始化的一些坑 背景坑一:利用class属性初始化时间控件失败坑二:后加载页面时间控件初始化失败坑三:结束时间需要默认追加23:59:59 背景 在日常开发中,总是会不可避免的用到日期插件,不同的日期插件…
阅读更多...
IoT网关在智能制造工厂生产线监控与管理中的应用-天拓四方

IoT网关在智能制造工厂生产线监控与管理中的应用-天拓四方

随着工业4.0时代的到来,智能制造已成为工业发展的重要方向。IoT网关在智能制造工厂中扮演着关键角色,它能够实现设备间的互联互通、数据的实时采集与处理,以及生产线的智能监控与管理。本案例将详细介绍IoT网关在智能制造工厂生产线监控与管理…
阅读更多...
100 个 Kotlin 面试问题及答案(其二)

100 个 Kotlin 面试问题及答案(其二)

尤其是在Android开发中,Kotlin已经成为一种流行的编程语言。为了帮助您在 Kotlin 面试中取得成功,我们为您简化了 100 个最常见的面试问题。本指南涵盖了广泛的主题,包括基本语言概念和高级功能。每个问题都附有简单的答案和实际示例&#xf…
阅读更多...
Spring原理

Spring原理

这次我们来研究Bean的相关知识和spring boot自动配置的相关流程 1.Bean的作用域 1概念 在SpringIoC&DI阶段,我们学习了Spring是如何帮助我们管理对象的. 1. 通过 Controller ,Service , Repository , Component , Configuration , Bean 来声明…
阅读更多...
Android R 广播注册与发送流程分析

Android R 广播注册与发送流程分析

静态广播注册时序图 动态广播注册时序图 发送广播时序图 前言 广播接收器可以分为动态和静态,静态广播接收器就是在 AndroidManifest.xml 中注册的,而动态的广播接收器是在代码中通过 Context#registerReceiver() 注册的。 这里先从静态广播的流程开始…
阅读更多...
Pygame基础6-旋转

Pygame基础6-旋转

6-旋转 当我们想要旋转一个图片的时候, 我们可以使用pygame.transform.rotozoom获得旋转后的图片: kitten pygame.transform.rotozoom(kitten, angle, 1)问题是,每次旋转都会降低图片的质量。如果旋转很多次后,图片的质量会变得…
阅读更多...
农村集中式生活污水分质处理及循环利用技术指南

农村集中式生活污水分质处理及循环利用技术指南

立项单位:生态环境部土壤与农业农村生态环境监管技术中心、山东文远环保科技股份有限公司、北京易境创联环保有限公司、中国环境科学研究院、广东省环境科学研究院、中铁第五勘察设计院集团有限公司、中华环保联合会水环境治理专业委员会 本文件规定了集中式村镇生活…
阅读更多...
【动手学深度学习-pytorch】9.2长短期记忆网络(LSTM)

【动手学深度学习-pytorch】9.2长短期记忆网络(LSTM)

长期以来,隐变量模型存在着长期信息保存和短期输入缺失的问题。 解决这一问题的最早方法之一是长短期存储器(long short-term memory,LSTM) (Hochreiter and Schmidhuber, 1997)。 它有许多与门控循环单元( 9.1节&…
阅读更多...
婚恋交友APP小程序H5源码交付-支持二开!实名制交友,可服务器审核,亦可后台自己审核!同城交友,多人语音!

婚恋交友APP小程序H5源码交付-支持二开!实名制交友,可服务器审核,亦可后台自己审核!同城交友,多人语音!

一、需求分析 在征婚交友网站开发初期,需求分析是至关重要的环节。这需要深入了解目标用户的需求和期望,包括他们的年龄、职业、兴趣爱好、交友条件等方面。通过收集和分析这些信息,开发团队可以明确网站的目标用户,并为他们提供…
阅读更多...
东特科技现已加入2024第13届国际生物发酵产品与技术装备展

东特科技现已加入2024第13届国际生物发酵产品与技术装备展

参展企业介绍 温州东特科技有限公司是一家集设计、生产、销售及服务为一体的卫生级流体设备企业。专业从事各种乳食品、制药、化工、啤酒设备、不锈钢卫生级阀门,管件,视镜,及非标配件定制等产品的销售与服务。先进的设计理念专业的技术优势一…
阅读更多...
深度思考:雪花算法snowflake分布式id生成原理详解

深度思考:雪花算法snowflake分布式id生成原理详解

雪花算法snowflake是一种优秀的分布式ID生成方案,其优点突出:它能生成全局唯一且递增的ID,确保了数据的一致性和准确性;同时,该算法灵活性强,可自定义各部分bit位,满足不同业务场景的需求&#…
阅读更多...
使用html实现图片相册展示设计

使用html实现图片相册展示设计

<!DOCTYPE html> <html lang"en"> <head><meta charset"UTF-8"><title>图片&#xff08;相册&#xff09;展示设计</title><link rel"stylesheet" href"./style.css"> </head> <b…
阅读更多...
SQL--报错注入(join无列名注入)

SQL--报错注入(join无列名注入)

SQL报错注入 平时在做SQL题时&#xff0c;如果发生语法的错误时&#xff0c;就会产生报错&#xff0c;报错的信息就会显示在前端 报错注入大多是利用函数会报错的特性&#xff0c;将需要的信息通过报错信息回显出来 报错注入函数&#xff08;后面主要的还有一个floor函数暂时…
阅读更多...
虚拟机 centos 安装后与主机 ip保持一致

虚拟机 centos 安装后与主机 ip保持一致

1、安装时 网络模式 悬着自动检测 &#xff08;桥接&#xff09; 2、打开网络 这里如果没有打开 就去 编辑 该文件。把ONBOOTno 改为yes 后 vim /etc/sysconfig/network-scripts/ifcfg-ens160 刷新配置 systemctl restart network 再查看addr 与本机 192.168.31.xx 在同…
阅读更多...
Python Flask Web框架初步入门

Python Flask Web框架初步入门

前言 flask基础 搭建flask服务器 定义html 使用templates模板定义页面的html html页面编写 render_template传参变量 定义图片 创建static目录&#xff0c;存入图片 html编写 flask入门 网站多域名 网站之间超链接跳转 入门案例 将centos的rpm包下载链接集成到自…
阅读更多...
13-API风格(下):RPCAPI介绍

13-API风格(下):RPCAPI介绍

RPC在Go项目开发中用得也非常多&#xff0c;需要我们认真掌握。 RPC介绍 根据维基百科的定义&#xff0c;RPC&#xff08;Remote Procedure Call&#xff09;&#xff0c;即远程过程调用&#xff0c;是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机…
阅读更多...
发光二极管限流电阻对电路性能有哪些影响?

发光二极管限流电阻对电路性能有哪些影响?

目录 1.控制电流 2.稳定电压&#xff08;亮度控制&#xff09; 3.功耗控制&#xff08;保护元件&#xff09; 4.节能控制 发光二极管&#xff08;LED&#xff09;限流电阻在电路中对电路性能主要有以下几个影响&#xff1a; 1.控制电流 限流电阻通过限制电流&#xff0c;使LED工…
阅读更多...
WebGIS开发

WebGIS开发

1.准备工作 高德开发API注册账号&#xff0c;创建项目拿到key和密钥 高德key 2.通过JS API引入高德API <html><head><meta charset"utf-8" /><meta http-equiv"X-UA-Compatible" content"IEedge" /><metaname&quo…
阅读更多...
pdf在浏览器上无法正常加载的问题

pdf在浏览器上无法正常加载的问题

一、背景 觉得很有意思给大家分享一下。事情是这样的&#xff0c;开发给我反馈说&#xff0c;线上环境接口请求展示pdf异常&#xff0c;此时碰巧我前不久正好在ingress前加了一层nginx&#xff0c;恰逢此时内心五谷杂陈&#xff0c;思路第一时间便放在了改动项。捣鼓了好久无果…
阅读更多...
上位机图像处理和嵌入式模块部署(qmacvisual非opencv算法编写)

上位机图像处理和嵌入式模块部署(qmacvisual非opencv算法编写)

【 声明&#xff1a;版权所有&#xff0c;欢迎转载&#xff0c;请勿用于商业用途。 联系信箱&#xff1a;feixiaoxing 163.com】 我们都知道&#xff0c;qmacvisual本身依赖于qtopencv的实现。大部分的界面都是依赖于qt的实现。图像算法部分&#xff0c;也是大部分都依赖于open…
阅读更多...
最新文章

Copyright @ 2022~2023