Foxscan：一款基于SQLMAP的主动和被动资源发现扫描工具

"Fox-scan

Fox-scan Is a initiative little passive SQL Injection vulnerable Test tools. use For penetration testing!

Foxscan 是1个款应用场景SQLMAP的积极和普攻資源发觉的漏洞扫描工具,在设定电脑浏览器代理商后浏览总体目标网址只能获得电脑浏览器浏览的连接,而且开展简易的网络爬虫获得连接,除去某些静态数据文档和第三方平台网址后，放进sqlmap中开展检验。

INSTALl

Environment

sqlmap

python 2.6 

Flask

multiprocessing

tornado

requests

BeautifulSoup 4.2.0

Settings

配备新项目主目录下config.xml

<root>

    <host>127.0.0.1" data-wps文档='host' class="" >host>

    root

    123480

    <port>3306" data-wps文档='port' class="" >port>

    foxscan

    utf8

<sqlmap>

    .com://127.0.0.1:8775 

" data-wps文档='sqlmap' class="" >sqlmap>

    .Python,.asp,.aspx,.jsp,.jspx

      .ico,.flv,.Js,.css样式,.jpg,.png,.jpeg,.gif,.pdf,.ss3,.txt,.rar,.zip,.avi,.mp4,.swf,.wmi,.exe,.mpeg

" data-wps文档='root' class="use" >root>

sqlmap标识让你的sqlmap详细地址,typelist种类设定为信用黑名单和白名单设定,用以网络爬虫用。默认设置能够无需改。

DATABASE

CREATE DATABASE `foxscan` DEFAULT CHARACTER get utf8 COLLATE utf8_general_ci;

source foxscan.sql 

Run

1. 最先运作sqlmapapi.py

 python sqlmapapi.py -s 

2 .运作本程序流程WEB页面

 python views.py 

3 .打开网页键入控制面板提醒的浏览详细地址(这儿是.com://127.0.0.1:8775) 这里配备你的总体目标网址,sqlmap的详细地址,网络爬虫的过虑种类及其代理地址。

    a.这儿的Domain，即意味着网络爬虫的那时候不容易获得这一根网站域名以外的网页链接,相同時刻只有加上多次总体目标

    b.必须变更总体目标得话必须再次进到这一页面配备,可是会删掉以前的全部在跑的每日任务

11. 在配备完每日任务信息内容后,能够进到到libs文件目录中,运作

python proxy.py 8081

4.起动当地服务器代理,随后再配备电脑浏览器代理商，只能超过普攻扫描仪的实际效果 比如：

6.写了1个非常简单的POST登陆框。 控制面板輸出那样的个性字体后意味着添加序列扫描仪

11.如果不是,表明是第三方平台网址或是浏览的是静态数据文档資源,则不容易添加到扫描仪序列中！

8.配备进行以后点一下FUCK it互联网按键,就会提醒你取得成功加上1个总体目标,进到到每日任务宝贝详情。 这儿会显示信息说有在跑的每日任务,应用AJAXpost请求每3秒更新多次。

要是有取得成功的总体目标,就会显示信息为鲜红色

可以看我们刚刚的POST引入早已扫描仪进行。

点一下LOG按键能够查询扫描仪系统日志。 

0.程序流程会全自动有个异步非堵塞跟踪进程,要是发觉有取得成功的总体目标,就会把总体目标和payload防到successlist 表格中

TODO

基础能够应用,可是還是有某些Bug。

Bug:

1.AJAX更新有时不可以恰当即时展现。(fixed)

2.代理商作用有时在数据库查询不兼容长连接的状况下能出错(fixed)

3.也有某些作用无法建立

FEATURE:

1.点一下LOG,能够查询扫描仪系统日志 (done)

2.加上PAYLOAD选择项,能够查询到PAYLOAD