easy233 / finger Goto Github PK

没输出报告，挂掉了

如果不这样更改则会出现下面的情况：

1

每次使用都会检查指纹库更新，但是不出意外的都失败了

修改代码显示更新错误信息

连接错误🤔，我一看链接果然是 jsdelivr 在国内已经无法正常访问了 科学手段除外

修复方法：第一种，作者停止使用jsdelivr。第二种，使用代理访问。我这使用的是第二种添加本机代理端口

修改 lib\checkenv.py 52行处 添加代理 并在56行处使用代理 即可解决问题🎉

希望作者有空动动小手修复一下😊

为什么这个表的IP段就是CDN呢？怎么判断的，想了解一下

修改了config,py里面的fofa配置参数

运行显示还是100

代码中没看到有使用readline这个库为啥要导入,导致报错 取消导入反而能正常运行

api\fofa & api\quake

配置文件中缺少Fofa_Size变量

其他配置变量都保留了为啥单独少了Fofa_Size🥲
虽然文档里有但是修改的时候没有这个变量真的不会注意到要自己加 (可能是我太懒了😶

取消两处文件的readline导入并配置Fofa_Size变量后可正常运行

比如python Finger.py -u http://www.baidu.com
会扫不到任何东西，只会提示指纹库更新
config里没有做特别的改动，只是添加了fofa和quake的api

https://cdn.jsdelivr.net/npm/[email protected]/dist/echarts.min.js
这个js好像是国外的，打开起来太慢了，可以找个国内的加速地址。
检测更新的时候有加速地址就好了，也会让程序更快运行。

建议加入是否跟随跳转功能

HW期间每天会大量使用这个程序，建议每天只有第一次启动时检查更新，使用体验会更好些

-if 这个没开放这个参数吗

python3.10没法运行吗？

rt 师傅提供一下 hash算法的代码 谢谢

具体在lib\checkenv.py的第23行

if self.pyVersion < "3.6":
    logging.error("此Python版本 ('{0}') 不兼容,成功运行程序你必须使用版本 >= 3.6 (访问 ‘https://www.python.org/downloads/".format(self.pyVersion))

当python版本为3.10时，3.10<3.6为True，而实际上3.10是更大的版本号，故判断错误

报错信息

添加一个代理的config会不会好一些呢？

感谢大佬开发如此趁手的工具，但是有一个问题，就是我在win使用正常，但是在mac和centos7上到[09:21:38] [+] 是否开启了MD5指纹识别:False就卡死不动了

默认安装会报错，默认安装后运行会报错，因为config里缺少一个被api.py import的字段，可如下修改：

[root@beian Finger]# vi config/config.py 
#……
# 设置Fofa key信息
Fofa_email = ""
Fofa_key = ""
# 普通会员API查询数据是前100，高级会员是前10000条根据自已的实际情况进行调整。
Fofa_Size= ""                                   #追加此字段

每次使用都会更新指纹库，如果想要使用自己搜集的指纹就没法用了

为何无法去搜集 直接退出来了

现在在targets.txt中填入一个IP:端口，会默认用http进行扫描，如果有返回就不会进行https扫描。

我认为可以对400 The plain HTTP request was sent to HTTPS port进行特征识别，然后对匹配到的进行HTTPS扫描识别。

例如URL baidu.com 使用-s 参数匹配指纹库会在url后自动添加/seeyon/index.jsp 来匹配相关指纹

已经安装Visual studio professional 2019(2) 和 Visual studio 生成工具2019 为什么还是在安装pip3 install mmh3时报错呢？ 大概意思就是这个模块安装失败 。。。

外层多组规则 ”或“ 的关系，内层 多个 条件 “与“ 的关系

参考：https://github.com/x1hy9/Go-cms-scan/blob/main/cmd/fofa.json

提示fofa配置问题，我API都是OK的呀，别的工具也能调用，不知道这里为啥出问题了

我扫描的命令是 python Finger.py -f 1.txt -o xlsx
1.txt里面有10000个url
扫描没有任何提示：

输出的xlsx文件的Title都是报错信息：

json格式输出时，如果title中包含特殊字符会导致结果文件格式异常，如

{"url":"https://xxxx.xxx.com","cms":"","title":"{"error_no":"404","error_info":"Route failed or no such api","error_extinfo":"request uri /"}","status":404,"Server":"hsiar","size":93,"iscdn":0,"ip":"127.0.0.1","address":"**,广东","isp":"电信"}

后续使用其他工具解析json文件时，就会解析失败

建议：可以考虑下，在写入json文件时，对字符串做特殊字符转义

经测试，一个1k以上的站点的需探活列表任务存在大量探活失败的情况（成功数量大概在100-200之间），剩余的站点就算存在并且可访问，依然会显示站点不存活，无法获取到任何信息，主要包含以下三种情况：
HTTPSConnectionPool(host='gxt.sckrdcredit.cn', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', '', 'unexpected eof while reading')])")))

HTTPConnectionPool(host='127.0.0.1', port=7890): Max retries exceeded with url: http://bmerchant.esgcc.com.cn/ (Caused by ProxyError('Cannot connect to proxy.', RemoteDisconnected('Remote end closed connection without response')))

HTTPSConnectionPool(host='analytics.rmt.sc.sgcc.com.cn', port=443): Read timed out. (read timeout=10)

未成功跳转

第一次访问目标网页返回状态码200和如下内容：

测试工具 最后并未跳转到/login/Login.jsp，导致后续组件无法识别。

大佬好，针对400 The plain HTTP request was sent to HTTPS port加个强判断，如果title是这个直接忽略掉会不会好点

能安排个多线程吗

今天发现里面没有pbootcms的指纹，自己加进去的话每次已更新就没了，不更新的话又难以保持最新指纹库，只有师傅你这里帮忙加到库里去了
{
"cms": "pbootCms",
"method": "keyword",
"location": "body",
"keyword": ["!-- 幻灯片 --", "!--占位导航栏--"]
}