XiuScan

不完善,正在开发中

介绍

一个纯Golang编写基于命令行的Java框架漏洞扫描工具

致力于参考xray打造一款高效方便的漏扫神器

计划支持Fastjson、Shiro、Struts2、Spring、WebLogic等框架

PS: 取名为XiuScan因为带我入安全的大哥是修君

特点

  • 类似xray,直接提供一个可执行文件(例如exe)无需配置环境或下载依赖

  • 使用ceye.io平台做无回显漏洞验证,提供api和token即可自动化检测

  • 参考xray完成RMI反连平台,用于检测Fastjson等无回显漏洞

  • 动态生成Payload不依赖ysoserial和java环境,参考:https://github.com/EmYiQing/Gososerial

Start

Shiro

Shiro一把梭检测,无害化命令,使用命令shiro

使用ceye.io:./xiuscan shiro -ci xxxxxx.ceye.io -ct your_ceye_token -t http://www.xxx.com

不借助ceye,直接检测密钥并进行TomcatEcho回显检测:./xiuscan shiro -t http://www.xxx.com

Fastjson

Fastjson扫描支持dnslog和反连平台,使用命令fastjson

使用ceye.io:./xiuscan fastjson -ci xxxxxx.ceye.io -ct your_ceye_token -t http://www.xxx.com

使用反连平台:./xiuscan fastjson -rh 192.168.222.1 -rp 60006 -t http://192.168.222.132:8090

说明:

  • 靶机是虚拟机,ip为192.168.222.132,本机是192.168.222.1,不能写127.0.0.1或0.0.0.0
  • 如果靶机跑在本地,ip为127.0.0.1,那么rh参数可以是127.0.0.1
  • 如果XiuScan跑在公网,那么rh参数应该设置为公网ip,并且rp参数对应的端口应开放安全组

Struts2

Struts2系列漏洞扫描,无害化命令检测,使用命令struts2

查看已支持模块:./xiuscan struts2 --list

目前还不能扫描,只完成了所有测试用例,预计下月完善扫描逻辑

免责申明

未经授权许可使用XiuScan攻击目标是非法的

本程序应仅用于授权的安全测试与研究目的

GitHub

https://github.com/EmYiQing/XiuScan