首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >xray和360爬虫以及server酱联动形成自动化挖洞以及报警

xray和360爬虫以及server酱联动形成自动化挖洞以及报警

作者头像
用户8478399
发布于 2022-09-01 07:26:18
发布于 2022-09-01 07:26:18
81900
代码可运行
举报
文章被收录于专栏:White OWLWhite OWL
运行总次数:0
代码可运行

以下文章来源于Vulnerability L0ading ,作者L0ading

0X00前言

上一篇我们写了xray和360爬虫形成自动化挖洞,但是这需要我们有事没事就去看一眼挖到洞没,很是繁琐,因此我们利用server酱来实现漏洞得自动推送。

0X01server酱简介

「Server酱」,英文名「ServerChan」,是一款「程序员」和「服务器」之间的通信软件。说人话?就是从服务器推报警和日志到手机的工具。官网http://sc.ftqq.com/3.version

0X02程序搭建

基本上原理如图所示。

上一篇中我们已经搭建好了自动化挖洞,因此我们只需要和server酱联动起来即可。

首先需要创建一个server账号。

开通并使用上它,只需要一分钟:

登入:用GitHub账号登入网站,就能获得一个SCKEY(在「发送消息」页面)

绑定:点击「微信推送」,扫码关注同时即可完成绑定

发消息:往 http://sc.ftqq.com/SCKEY.send 发GET请求,就可以在微信里收到消息啦

要实现自动推送,我们必须先利用flask在本地搭建一个webhook服务

主要代码为:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
from flask import Flask, request
import requests
import datetime
import logging
 
app = Flask(__name__)
 
 
def push_ftqq(content):
   resp = requests.post("https://sc.ftqq.com/{sckey}.send",
                  data={"text":"xray vuln alarm", "desp": content})
   if resp.json()["errno"] != 0:
       raise ValueError("push ftqq failed, %s" % resp.text)
 
@app.route('/webhook', methods=['POST'])
def xray_webhook():
   vuln = request.json
    #因为还会收到 https://chaitin.github.io/xray/#/api/statistic 的数据
   if "vuln_class" not in vuln:
       return "ok"
   content = """##爸爸 xray 发现了新漏洞
 
url: {url}
 
插件: {plugin}
 
漏洞类型: {vuln_class}
 
发现时间: {create_time}
 
请及时查看和处理
""".format(url=vuln["target"]["url"],plugin=vuln["plugin"],
          vuln_class=vuln["vuln_class"] or "Default",
          create_time=str(datetime.datetime.fromtimestamp(vuln["create_time"]/ 1000)))
   try:
       push_ftqq(content)
   except Exception as e:
       logging.exception(e)
   return 'ok'
 
 
if __name__ == '__main__':
app.run()

将代码中得{sckey}替换为你自己的SCKEY

将该代码保存为py文件在本地执行,可以看到在本地成功开启了服务。

使用xray被动扫描命令监听端口并将结果发送到本地的webhook服务

命令为:.\xray_windows_amd64.exewebscan --listen 127.0.0.1:7777 --webhook-output http://127.0.0.1:5000/webhook

仔细命令可以查看xray文档

值得一提的是,我既想把结果存为html文档,又想让他推送给server酱,便尝试了该命令:

.\xray_windows_amd64.exewebscan --listen 127.0.0.1:7777 --html-output proxy.html --webhook-output http://127.0.0.1:5000/webhook

当都监听好以后将需要扫的域名放到traget.txt中启动爬虫即可。

附结果图俩张:

0X03参考链接

sc.ftqq.com

https://github.com/ox01024/Xray_and_crwlergo_in_server

https://docs.xray.cool/#/

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-07-03,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 White OWL 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
AUTOEARN - SRC自动化辅助框架
在平时的漏洞挖掘过程中经常会有些Fuzz的需要,而自动化工具一直是各大SRC榜首师傅的利器,会凭借的经验与工具集合形成一套自己行之有效的漏洞探测方法,也看到了各位师傅类似于Watchdog的自动化工具,其中有很多思想碰撞的地方,自己也试着写了一版基于Django的分布式节点的工具,但是还是感觉差强人意,其中有很多问题,例如写出来东西耦合度太高,每个人的信息收集方式方法不同,利用的工具框架也有差别,而且当自己框架中的组件发生更新或者替换时感觉有些繁琐,因此就简单的构建了这么一个算是流程框架的工具,提供标准的接口与流程,大家可以自行按照个人喜好进行工具的更新与替换,可以结合自己的需求对代码进行相应的变更,编写过程中更多的是以某个工具为例,因为优秀的工具实在是太多了,比如就被动扫描器来说,Xray与w13scan分别具有自身的优点与长处,个人就是站在巨人的肩膀上窥探了一下各位师傅对于相关内容的见解,开发文档之后也会整理成一篇从零写一个自动化漏洞猎人的文档,权当是Debug笔记,文档地址:从零写一个自动化漏洞猎人(https://gitee.com/echocipher/AUTO-EARN/blob/master/从零写一个自动化漏洞猎人.md)
黑伞安全
2020/05/26
2.2K0
Xray和360爬虫联动形成自动化挖洞
好兄弟一直让我写一篇关于自动化扫描漏洞的文章,由于在公司实习没时间写一些文章,这段时间离职闲下来后,准备写一下教程。PS:已经有很多大佬写过了,我这里只是更简单的写一下,以及记录一下我曾经踩过的坑。
用户8478399
2022/09/22
5690
Xray和360爬虫联动形成自动化挖洞
通过Server酱服务来实现WordPress评论自动通知博主功能
通过一段代码来实现WordPress评论自动通知功能,本来呢其他地方也有类似的教程,不过都不太完整,今天小酷猫就来给大家整理一下
叮当叮
2020/04/20
7280
通过Server酱服务来实现WordPress评论自动通知博主功能
Server酱详细部署教程
有网友一再要求写一篇关于Server酱详细的部署教程,以便对接《Server酱微信评论提醒1.2》 其实Server酱的部署都很简单的,包括接口及文档都写的非常的易懂,而且使用方便 话不多
Youngxj
2018/06/06
4.3K0
使用树莓派部署分布式扫描器 实现漏洞及时通知
· Linux Kali系统镜像 https://www.offensive-security.com/kali-linux-arm-images/#1493408272250-e17e9049-9ce8
洛米唯熊
2020/04/26
1.4K0
使用树莓派部署分布式扫描器 实现漏洞及时通知
Cobalt Strike 上线微信提醒
[Server酱]英文名[ServerChan],是一款"程序员"和"服务器"之间的通信软件.
洛米唯熊
2020/04/26
8430
Cobalt Strike 上线微信提醒
通过server酱实现定时推送天气情况,再不用担心你的糊涂蛋女友忘带伞了~~
昨天菜鸟小白给大家留了一个课后作业,如何实现天气的定时推送。有没有小伙伴做出来答案呢?今天菜鸟小白给大家分享我的实现方式吧。这个是我今天整的程序流程图,昨天我们还只是实现了中间的通过和风天气API获取天气情况,今天我们需要实现其它部分。
菜鸟小白的学习分享
2020/07/14
1.4K0
通过server酱实现定时推送天气情况,再不用担心你的糊涂蛋女友忘带伞了~~
为什么很多开源项目都用到了Server酱?
发现很多开源项目的配置文件都有「Server酱」的配置,尤其是爬虫项目,配置文件也很简单,只要配置一个 secret,不禁好奇,这个「Server酱」是个什么鬼?好用么?怎么用?
somenzz
2021/01/22
11.5K1
Cobalt Strike 上线微信提醒
或者百度云下载:https://pan.baidu.com/s/15LPGaTLkdWWgVZW8A1E82g 提取码:nm1y
物联网安全小编
2020/04/26
1.1K0
Server 酱签到提醒
Server 酱发送消息非常简单,只需要向以下 URL 发一个GET或者POST请求:
AWF
2020/04/25
1.4K0
WordPress实现微信推送评论消息
用Wordpress建站的朋友都知道文章有评论回复是可以邮件提醒的,主机mail()函数或SMTP的方式都可以。但是能不能评论留言了也有微信推送提醒呢,其实也可以!当然这里有个局限性就是仅仅提醒管理员(也就是Po主自己),需要准备的就是一个Github和一个微信号。
爱游博客
2019/08/07
1.7K0
WordPress实现微信推送评论消息
多种语言调用Server酱推送微信模板消息
最近使用了一个 Python 的自动签到脚本,进行自动签到,但是每天签到完白天还需要看日志或者访问网站查看是否成功
沈唁
2019/05/22
2.3K0
Xray扫描器使用联动 burp,以及结合 fofa 批量自动化挖洞「建议收藏」
xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
全栈程序员站长
2022/08/23
3.3K0
Xray扫描器使用联动 burp,以及结合 fofa 批量自动化挖洞「建议收藏」
【干货】自动化批量挖洞流程 之 四工具联动
自己脚本小子一个,辣鸡中的战斗机。但幸运的是,我依然在坚持挖洞,每段时间仍能吸收很多新鲜的知识。现在使用工具多了,斗胆有点自己的经验和想法,其实主要是想跟大家多学习一下。本文谈不上交流,谈不上参考,更谈不上指导。
释然IT杂谈
2021/11/16
2.3K0
【干货】自动化批量挖洞流程 之 四工具联动
【玩转腾讯云】WordPress Typecho Hexo 实现消息的及时 QQ 微信 推送
WordPress 在有新评论的时候,可以有邮件推送,但是长老平时也不是时时刻刻都会打开邮箱看着,所以希望能够将新评论及时地推送到自己的 QQ 或者微信,以便及时查看、及时回复。下面长老将分享如何简单、快速地将消息推送到自己的 QQ 和 微信。
凝神长老
2020/04/20
2K0
获取Github最新CVE
请注意,本文编写于 460 天前,最后修改于 117 天前,其中某些信息可能已经过时。
Naraku
2021/07/28
1.3K0
获取Github最新CVE
优秀工具 | Xray:一款功能强大的Web安全评估工具
近几日,上线了一款功能强大的Web安全评估工具 - Xray,据说很多小伙伴都拿它挖到了漏洞,这几天我也试试了,确实不错,至于漏洞嘛,也是扫到了几个。还在继续深入研究,这次分享仅针对这款工具吧,也刚刚上手没有什么太大的心得,如果日后有了,再做分享。
Power7089
2019/09/23
9.9K0
XRAY 扫描器
XRAY扫描器之前是一位朋友介绍给我用的,说是对挖掘漏洞有很大的帮助,后来我也认真深入做了一番了解,在网上搜集了一些学习的文章资料,主要参考学习了XRAY官方文档以及国光-xray Web扫描器学习记录 ,发现这XRAY扫描器确实不错,功能很多,扩展性也非常强大,尤其是可以配合第三方扫描器联动,对漏洞检测真是如虎添翼。
LuckySec
2022/11/02
2.6K0
XRAY 扫描器
Cobalt Strike 上线微信提
或者百度云下载:https://pan.baidu.com/s/15LPGaTLkdWWgVZW8A1E82g 提取码:nm1y
HACK学习
2020/04/27
8440
crawlergo_x_XRAY实现自动化挖洞,实现躺着挖洞美梦
360 0Kee-Team 的 crawlergo动态爬虫 结合 长亭XRAY扫描器的被动扫描功能 (其它被动扫描器同理)
Power7089
2020/04/10
3.3K0
crawlergo_x_XRAY实现自动化挖洞,实现躺着挖洞美梦
推荐阅读
相关推荐
AUTOEARN - SRC自动化辅助框架
更多 >
LV.1
这个人很懒,什么都没有留下~
交个朋友
加入HAI高性能应用服务器交流群
探索HAI应用新境界 共享实践心得
加入架构与运维学习入门群
系统架构设计入门 运维体系构建指南
加入架构与运维工作实战群
高并发系统设计 运维自动化实践
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档
本文部分代码块支持一键运行,欢迎体验
本文部分代码块支持一键运行,欢迎体验