前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >hackerone资产获取,并接入扫描器做自动化监控

hackerone资产获取,并接入扫描器做自动化监控

作者头像
天钧
发布2022-09-03 09:26:53
8760
发布2022-09-03 09:26:53
举报
文章被收录于专栏:渗透云笔记

昨天突发奇想,要不找个从projectdiscovery.io往下拖 资产的脚本

然后设置定时任务接入扫描器 如red+xray ,nuclei,发现新资产直接梭哈,不不就OK了吗?(有利有弊,所有的扫描流量好像一直不小)

然后从https://github.com/PhotonBolt/chaospy,找到了这个脚本

安装好后

使用

--download-hackerone

下载了hackerone的赏金目标

那么是不是有根据,赏金目标来写的sh脚本来实现自动化扫描呢

来看GitHub这个项目

https://github.com/iamthefrogy/nerdbug

其中它使用了,我们并不能使用的一款产品来做信息通知,但是它使用的脚本里调用了notify作为通知组件(主要是写的简单,然后想要的都包含了,熟悉点Linux 就可以直接改了它)

在notify的GITHUB库里,我们可以发现

https://github.com/projectdiscovery/notify

可以使用邮箱来代替,通知手段

拿163邮箱来举例

代码语言:javascript
复制
smtp:
- id: email
smtp_server: smtp.163.com
smtp_username: 你的邮箱
smtp_password: 这里不是你的邮箱密码,而是授权密码,如何获取看下面
from_address: 
smtp_cc:
- 
smtp_format: "{{data}}"

点进去后

在这里新增授权

将配置更新进$HOME/.config/notify/provider-config.yaml

更改脚本

删除红框里的代码

运行一次看看?可以看见已经推送过来了

我运行了一下,虽然找到了几个,但是重复率很高,建议可以从他的这个脚本里去替换工具,专一 一个 漏洞查找

比如XSS这种 或者重复率低的,累死了

其实可以在调试的过程中,加入了自己想加入的工具来组合发现漏洞,或者抛弃 nuclei 作为核心的扫描器而用其他的专用扫描器来代替效果可能更好

但是脚本也有个缺陷,只依靠了一个被动源,来获取资产,有点单一,可以通过脚本来集成一些自己写的其他资产获取脚本,然后统一集合,去重。

还在研究,兄弟们等你们赚大钱了,带带我啊

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-05-31,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 渗透云笔记 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档