easy233 / finger Goto Github PK
View Code? Open in Web Editor NEW一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具
一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具
1
为什么这个表的IP段就是CDN呢?怎么判断的,想了解一下
比如python Finger.py -u http://www.baidu.com
会扫不到任何东西,只会提示指纹库更新
config里没有做特别的改动,只是添加了fofa和quake的api
https://cdn.jsdelivr.net/npm/[email protected]/dist/echarts.min.js
这个js好像是国外的,打开起来太慢了,可以找个国内的加速地址。
检测更新的时候有加速地址就好了,也会让程序更快运行。
建议加入是否跟随跳转功能
HW期间每天会大量使用这个程序,建议每天只有第一次启动时检查更新,使用体验会更好些
-if 这个没开放这个参数吗
python3.10没法运行吗?
rt 师傅提供一下 hash算法的代码 谢谢
具体在lib\checkenv.py的第23行
if self.pyVersion < "3.6":
logging.error("此Python版本 ('{0}') 不兼容,成功运行程序你必须使用版本 >= 3.6 (访问 ‘https://www.python.org/downloads/".format(self.pyVersion))
当python版本为3.10时,3.10<3.6为True,而实际上3.10是更大的版本号,故判断错误
报错信息
添加一个代理的config会不会好一些呢?
感谢大佬开发如此趁手的工具,但是有一个问题,就是我在win使用正常,但是在mac和centos7上到[09:21:38] [+] 是否开启了MD5指纹识别:False就卡死不动了
默认安装会报错,默认安装后运行会报错,因为config里缺少一个被api.py import的字段,可如下修改:
[root@beian Finger]# vi config/config.py
#……
# 设置Fofa key信息
Fofa_email = ""
Fofa_key = ""
# 普通会员API查询数据是前100,高级会员是前10000条根据自已的实际情况进行调整。
Fofa_Size= "" #追加此字段
每次使用都会更新指纹库,如果想要使用自己搜集的指纹就没法用了
例如URL baidu.com 使用-s 参数匹配指纹库会在url后自动添加/seeyon/index.jsp 来匹配相关指纹
已经安装Visual studio professional 2019(2) 和 Visual studio 生成工具2019 为什么还是在安装pip3 install mmh3时报错呢? 大概意思就是这个模块安装失败 。。。
外层多组规则 ”或“ 的关系,内层 多个 条件 “与“ 的关系
参考:https://github.com/x1hy9/Go-cms-scan/blob/main/cmd/fofa.json
json格式输出时,如果title中包含特殊字符会导致结果文件格式异常,如
{"url":"https://xxxx.xxx.com","cms":"","title":"{"error_no":"404","error_info":"Route failed or no such api","error_extinfo":"request uri /"}","status":404,"Server":"hsiar","size":93,"iscdn":0,"ip":"127.0.0.1","address":"**,广东","isp":"电信"}
后续使用其他工具解析json文件时,就会解析失败
建议:可以考虑下,在写入json文件时,对字符串做特殊字符转义
经测试,一个1k以上的站点的需探活列表任务存在大量探活失败的情况(成功数量大概在100-200之间),剩余的站点就算存在并且可访问,依然会显示站点不存活,无法获取到任何信息,主要包含以下三种情况:
HTTPSConnectionPool(host='gxt.sckrdcredit.cn', port=443): Max retries exceeded with url: / (Caused by SSLError(SSLError("bad handshake: Error([('SSL routines', '', 'unexpected eof while reading')])")))
HTTPConnectionPool(host='127.0.0.1', port=7890): Max retries exceeded with url: http://bmerchant.esgcc.com.cn/ (Caused by ProxyError('Cannot connect to proxy.', RemoteDisconnected('Remote end closed connection without response')))
HTTPSConnectionPool(host='analytics.rmt.sc.sgcc.com.cn', port=443): Read timed out. (read timeout=10)
未成功跳转
第一次访问目标网页返回状态码200和如下内容:
<script type='text/javascript'>try{top.location.href='/login/Login.jsp';}catch(e){window.location.href='/login/Login.jsp';}</script>测试工具 最后并未跳转到/login/Login.jsp,导致后续组件无法识别。
大佬好,针对400 The plain HTTP request was sent to HTTPS port加个强判断,如果title是这个直接忽略掉会不会好点
能安排个多线程吗
今天发现里面没有pbootcms的指纹,自己加进去的话每次已更新就没了,不更新的话又难以保持最新指纹库,只有师傅你这里帮忙加到库里去了
{
"cms": "pbootCms",
"method": "keyword",
"location": "body",
"keyword": ["!-- 幻灯片 --", "!--占位导航栏--"]
}
A declarative, efficient, and flexible JavaScript library for building user interfaces.
🖖 Vue.js is a progressive, incrementally-adoptable JavaScript framework for building UI on the web.
TypeScript is a superset of JavaScript that compiles to clean JavaScript output.
An Open Source Machine Learning Framework for Everyone
The Web framework for perfectionists with deadlines.
A PHP framework for web artisans
Bring data to life with SVG, Canvas and HTML. 📊📈🎉
JavaScript (JS) is a lightweight interpreted programming language with first-class functions.
Some thing interesting about web. New door for the world.
A server is a program made to process requests and deliver data to clients.
Machine learning is a way of modeling and interpreting data that allows a piece of software to respond intelligently.
Some thing interesting about visualization, use data art
Some thing interesting about game, make everyone happy.
We are working to build community through open source technology. NB: members must have two-factor auth.
Open source projects and samples from Microsoft.
Google ❤️ Open Source for everyone.
Alibaba Open Source for everyone
Data-Driven Documents codes.
China tencent open source team.