hahaSec / XPOC

java UI 插件化漏洞扫描工具

Geek Repo:Geek Repo

Github PK Tool:Github PK Tool

XPOC V1.0

XPOC为自己写的一个基于JAVA 的图形化插件漏洞扫描工具

用途:

主要用于批量插件验证,可移植性,方便性 比起上一个web扫描器好多了,上一个web扫描器是基于python flask的,使用mongdb进行缓存数据,其也有不少自己加进去的一些想法。
  此次的java的图形化工具,比较方便,不用起web服务和数据库,适合渗透测试,应急响应等可变环境下使用。目前功能比较简单,可以打包为jar包。
  主要可以更新插件,方便加入新插件,支持多线程的批量扫描。

原理:

核心使用java的反射机制,动态加载POC和外部依赖库,插件开发者只需要按照规则开发插件,将依赖包和插件放在指定位置,工具会自动识别。 扫描工具添加线程控制和插件检查。

介绍:

​ ext存放辅助工具,代码,字典等。

​ lib存放POC的jar包

​ 支持HTTP扫描和socket,http扫描和HOST:PORT扫描主要考http协议区分,不是https,http协议默认为HOST:PORT模式。

​ 目前存在的问题,反射载入jar包时,默认将lib下的所有jar包都加载,可能影响效率。

​ POC编写主要为java,编写后直接编译为.class就可以,存放在vuln中,POC需要用的jar包直接复制到lib中,其他辅助文件放在ext中。

​ 目前项目比较简单,大概600行代码左右。支持多线程。

About

java UI 插件化漏洞扫描工具


Languages

Language:Java 99.5%Language:HTML 0.5%