【arch linux】更高效地筛选渗透工具

写在前面

blackspider是我为blackarch临时编写的爬虫工具,仅作为方便查找网页关键词的轻量级工具存在,使用时若出现bug可以直接向我反馈,爬虫作为容易扰乱互联网秩序的工具之一,希望大家在使用前先了解网络安全方面的知识

blackarch系统与工具简单介绍

blackarch与arch的关系大概可以参考经典渗透机kali与debian,arch与debian属于linux的发行版,blackarch是基于arch的渗透系统,所以arch可以通过调试pacman以安装blackarch的渗透工具(最近沉迷ctf,调试方式以后写),对比直装超过工具超过2k的blackarch,从arch安装渗透工具的方式更加符合arch邪教党对自定义的追求,当然,如果只想体验一波渗透快感的话也可以直接装blackarch,当然前提得注意好自己的内存。

blackspider——来愉快地爬取工具吧!

选择过blackarch工具的人大概都知道海底捞针的痛苦,明明一堆工具摆在那里,就是找不到自己需要的东西。 于是这不就巧了嘛,刚好我了解那么一点点python,于是简单写了一个工具方便针对性查找所需要的东西,以下是blackspider的链接,写这段文字时github已经更新到0.2版本,除了爬取blackarch工具以外也能满足一些基本需求,感兴趣的话可以稍微读一读readme.md文件。 按照readme.md文件配置好以后开始进行搜索,这里使用的是win10的powershell,因为arch内存不是很足,cmd切换盘的时候需要多进行一步C: \User\Admin>D: 的操作,linux用户不过多介绍,终端play是linux的主场。

cd ../blacksprider #具体填blacksprider文件夹所在位置
py blacksprider --url 'https://www.blackarch.org/tools.html' --file_name 'blackarch_tools.html' --tag 'tr' --attrname 'text' --keyword [关键词]
#且勿重复调用该网页,完成过一次后应当改用文件调用方式

注意,py 为python安装包中用于代替不够便利的环境变量所使用的launcher工具,py 相比于python 更便于切换不同python版本,印象中linux用户无法使用py调用python,只需要改成python blacksprider …… 就好。 来试试寻找一下xss攻击的辅助工具,

py blacksprider --url 'https://www.blackarch.org/tools.html' --file_name 'blackarch_tools.html' --tag 'tr' --attrname 'text' --keyword 'xss','web','tool' 

按道理大概能得到如下结果:

[True] 获取源代码成功
[True] 已创建blackarch_tools.html文档
[True] 已打印至blackarch_tools.html文档
[True] 已从原文档中获取
[True] 查询到以下tag文本:
xsscon
45.ce91fd6
Simple XSS Scanner tool.
 blackarch-webapp

xsser
1.8
A penetration testing tool for detecting and exploiting XSS vulnerabilites.
 blackarch-webapp

xssscan
17.7f1ea90
Command line tool for detection of XSS attacks in URLs. Based on ModSecurity rules from OWASP CRS.
 blackarch-webapp

xsssniper
79.02b59af
An automatic XSS discovery tool
 blackarch-webapp

简单解释一组工具的意思:存在名为xsscon 的工具,版本号为45.ce91fd6Simple XSS Scanner tool. 为工具注释,blackarch-webapp 为基本组blackarch中的webapp软件包,详细可以在blackarch官网下载指南进行阅读,官方贴心地准备了中文文本,虽然还没补全,但是我看过英文版同样在敬请期待(笑) 调用过一次网页后会自动保存在blackspider文件夹中,以后搜索工具时不用再使用网站爬虫方式,我们用文本搜索方式试着查询一下自动化sql注入工具:

py blacksprider --file 'blackarch_tools.html' --tag 'tr' --attrname 'text' --keyword 'auto','web','tool'

可以得到如下结果:

[True] 文件打开成功
[True] 已从原文档中获取
[True] 查询到以下tag文本:
nosqlmap
238.ae0b461
Automated Mongo database and NoSQL web application exploitation tool
 blackarch-webapp

sqlmap
1.6.8
Automatic SQL injection and database takeover tool
 blackarch-webapp

themole
0.3
Automatic SQL injection exploitation tool.
 blackarch-webapp

看到老熟人了,sqlmap 是一款非常强大的工具,甚至在Termux中也可以安装来练手哦: 还有之前在xss靶场联系时我曾尝试过用xsscon 进行扫描: 感兴趣的话可以自己尝试来配置一波属于自己的渗透系统,一起加入万恶的ctf比赛吧。

Comments
登录后评论
Sign In