HT1001 系列是信安之路推出的黑客工具实战系列课程,完整系列课程需加入信安之路知识星球获取,部分内容需关注信安之路微信公众号查看。
在对一个 web 应用进行渗透测试之前,首先要了解一些基本信息,比如服务器版本、应用运行环境、是否使用模板等等,本文介绍一款 web 应用信息收集工具,运行环境 python3,项目地址:
安装方式:
git clone https://github.com/jekyc/wig && cd wig && python3.8 setup.py install
安装完成之后,查看帮助信息:
python3.8 wig.py -h
简单使用,指定网站 URL(整个扫描过程比较慢,会做一些目录扫描) :
python3.8 wig.py https://www.xazlsec.com
想要了解一个扫描工具都做了哪些操作,边扫描边看 web 日志是个不错的选择,比如下面就是执行程序时的日志:
扫描完成之后的结果:
从结果上看并没有识别出网站使用的应用目标,有一些基本的信息,可能是指纹库里没有收录 tyoecho 相关的原因吧。
其他参数中,如果有个网站需要检测的话,可以将 URL 地址写入一个文件,然后使用 -l 指定文件名,目标 URL 一行一个。
「一键投喂 软糖/蛋糕/布丁/牛奶/冰阔乐!」
信安之路工具站
(๑>ڡ<)☆谢谢老板~
使用微信扫描二维码完成支付
