Старый 01.02.2014, 09:44   #1
h0rsekiller
 
Аватар для h0rsekiller
 
Регистрация: 21.12.2010
Сообщений: 7
Репутация: 2
По умолчанию [vuln checker] MultiThreadingByIpWithBalckJackAndHookers

Добрый день, друзья.


В связи с переходом на белую сторону силы.
Выкладываю многопоточный чекер уязвимостей.

Написан на Java, будет работать как на Windows так и на Linux.

Суть работы:
На вход подается список ip адресов, указываем количество потоков - на выходе получаем файл со списком уязвимостей.
Ищет уязвимости на сайтах находящихся на данном ip адресе.
Количество потоков зависит от вашего железа и канала - определяем экспериментальным путем, в среднем я ставил от 5 до 25 потоков.



Возможности:
Код:
Sql-injection (с выводом ошибки) + определение типа бд
Sql-injection Logic (без вывода ошибки, сравниваются слепки страниц (ex.and 1=1 and 1=0)) 
Sql-injection в X-Forwarded-For
Sql-injection в User Agent
PHP Include
PHP Exec
PHP Eval
Аттач не работает, залил на sendspace: MultiThreadingByIpWithBalckJackAndHookers

Запускаем так
Код:
java -jar MultiThreadingByIpWithBalckJackAndHookers.jar ips.txt 15
В файле Vulned.txt будет результат.


p.s.
Позже выложу исходники.
Специально для rdot.org.
__________________
Каждый мнит себя стратегом, видя бой со стороны. Шота Руставели.
h0rsekiller вне форума   Ответить с цитированием
Старый 01.02.2014, 14:30   #2
Faaax
 
Аватар для Faaax
 
Регистрация: 03.04.2012
Сообщений: 94
Репутация: 6
По умолчанию

можно сказать всё пропускает.
И в vuln записывает неверно найденное
Faaax вне форума   Ответить с цитированием
Старый 02.02.2014, 07:44   #3
h0rsekiller
 
Аватар для h0rsekiller
 
Регистрация: 21.12.2010
Сообщений: 7
Репутация: 2
По умолчанию

Цитата:
Сообщение от Faaax Посмотреть сообщение
можно сказать всё пропускает.
Сканер смотрит сайты на сервере через bing.com, если сайт не проиндексирован бингом, то его прочекать не получиться.
Если в индексе бинга есть сайт, но все равно пропустил, нужно уменьшить количество потоков.

Цитата:
Сообщение от Faaax Посмотреть сообщение
И в vuln записывает неверно найденное
Ошибаться может только при проверке Sql-injection без вывода ошибки, т.е. если на странице много динамических элементов, то возможно ложное срабатывание.
__________________
Каждый мнит себя стратегом, видя бой со стороны. Шота Руставели.
h0rsekiller вне форума   Ответить с цитированием
Старый 20.04.2015, 17:21   #4
Bahamut
Banned
 
Регистрация: 28.02.2012
Сообщений: 17
Репутация: -2
По умолчанию

перезалейте плиз
Bahamut вне форума   Ответить с цитированием
Старый 21.04.2015, 02:11   #5
devv
 
Регистрация: 08.10.2012
Сообщений: 27
Репутация: -4
По умолчанию

поддерживаю, залейте кому не жалк
devv вне форума   Ответить с цитированием
Старый 24.07.2015, 08:59   #6
h0rsekiller
 
Аватар для h0rsekiller
 
Регистрация: 21.12.2010
Сообщений: 7
Репутация: 2
По умолчанию

Перезалил http://www.megafileupload.com/92mL/M...AndHookers.zip
__________________
Каждый мнит себя стратегом, видя бой со стороны. Шота Руставели.
h0rsekiller вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot