Статья XAttacker Tool - Website Vulnerability Scanner & Auto Exploiter

Привет Codeby! В этой статье, я хочу познакомить Вас с довольно полезным инструментом, достойным занять свое место ящике инструментов пентестера.

1515843582887.png


Xattacker – это инструмент, для обнаружения и эксплуатации уязвимостей, на веб ресурсах.
Его основные функции, Get Shells | Sends | Deface | cPanels | Databases.
Установка:

Код: 
git clone https://github.com/Moham3dRiahi/XAttacker
cd /XAttacker
chmod +x XAttacker.pl

1515843898526.png


Функциональные модули:
  • Auto Cms Detect

1. WordPress :
  • Adblock Blocker
  • WP All Import
  • Blaze
  • Catpro
  • Cherry Plugin
  • Download Manager
  • Formcraft
  • levoslideshow
  • Power Zoomer
  • Gravity Forms
  • Revslider Upload Shell
  • Revslider Dafece Ajax
  • Revslider Get Config
  • Showbiz
  • Simple Ads Manager
  • Slide Show Pro
  • WP Mobile Detector
  • Wysija
  • InBoundio Marketing
  • dzs-zoomsounds
  • Reflex Gallery
  • Creative Contact Form
  • Work The Flow File Upload
  • WP Job Manger
  • PHP Event Calendar
  • Synoptic
  • Wp Shop
  • Content Injection
2. Joomla:
  • Com Jce
  • Com Media
  • Com Jdownloads
  • Com Fabrik
  • Com Jdownloads Index
  • Com Foxcontact
  • Com Ads Manager
  • Com Blog
  • Com Users
  • Com Weblinks
  • mod_simplefileupload
3. DruPal:
  • Add Admin
4. PrestaShop
  • columnadverts
  • soopamobile
  • soopabanners
  • Vtermslideshow
  • simpleslideshow
  • productpageadverts
  • homepageadvertise
  • homepageadvertise2
  • jro_homepageadvertise
  • attributewizardpro
  • 1attributewizardpro
  • AttributewizardproOLD
  • attributewizardpro_x
  • advancedslider
  • cartabandonmentpro
  • cartabandonmentproOld
  • videostab
  • wg24themeadministration
  • fieldvmegamenu
  • wdoptionpanel
  • pk_flexmenu
  • pk_vertflexmenu
  • nvn_export_orders
  • megamenu
  • tdpsthemeoptionpanel
  • psmodthemeoptionpanel
  • masseditproduct
5. Lokomedia
  • SQL injection
Запуск:

Код: 
perl XAttacker.py

Если у Вас, есть список потенциально уязвимых ресурсов, то команда может выглядеть так:

Код: 
perl XAttacker.pl -l list.txt

1515844167136.png


Далее, следуя подсказкам, формируем тип сканирования (инструмент поддерживает поиск по доркам, спискам сайтов и ip-адресов):

1515844180101.png


По его результатам принимаем решение о дальнейших действиях.
Вот здесь подробный фильм от разработчика на примере уязвимых сайтов, рассматриваются основные векторы атак.
Страница разработчика на Github, для тех, у кого еще остались вопросы. На этом, пожалуй, все, спасибо за внимание.
 
  • Нравится
Реакции: Денис Пауэр, Crazy Jack, bose-at-binka-dot-me и ещё 15
Нажмите, чтобы раскрыть...
Пока только начинаю во всём разбираться. Спарсил с гугла пару к сайтов и за 5 минут уже нашлась 1 уязвимость. Без понятия пока на сколько она серьёзная))) Пойду в гугл, пока там не забанили
1515951332566.png
 
The ROOT сказал(а):
Пока только начинаю во всём разбираться. Спарсил с гугла пару к сайтов и за 5 минут уже нашлась 1 уязвимость. Без понятия пока на сколько она серьёзная))) Пойду в гугл, пока там не забанили
Посмотреть вложение 14848
Нажмите, чтобы раскрыть...
нельзя так делать чувак, хоть бы таргет закрыл
 
  • Нравится
Реакции: Greaux, alfi0, x1me и ещё 3
шелл он автоматоматически заливает,у меня толь эту картинку залил XAttacker.gif,или ее надо на свой шелл заменить?
 
[-] Can't open the list websites file at XAttacker.pl line 121, <STDIN> line 2.
Не силен в линуксе. Ловлю ошибку. Кто подскажет куда смотреть?
 
в итоге что никто не знает? ребята тема для меня злободневная, смотрел видос, прогнал кучу сайтов... в папке вдруг возник текстовие - shell... КАК БЛИН СВОЕ ТУДА ПОДСТАВИТЬ??? причем в фале индекс куча сайтов где просто гифка появляется при откритиии пути... 1 сайт... вообще чума как на видосе - хакнут этим ссамым автором скрипта - мохамедом... короче аврал. Сам не вывожу, помогите пожалуйста. ось винда и пентест бокс. Заранее всем благодарен.
ПЫСЫ. причем скрипт нормально отрабатывает только на движке ВП. ...если есть аналог подкиньте пожалуйста (типа автозалива шелла).
 
prox00 сказал(а):
в итоге что никто не знает? ребята тема для меня злободневная, смотрел видос, прогнал кучу сайтов... в папке вдруг возник текстовие - shell... КАК БЛИН СВОЕ ТУДА ПОДСТАВИТЬ??? причем в фале индекс куча сайтов где просто гифка появляется при откритиии пути... 1 сайт... вообще чума как на видосе - хакнут этим ссамым автором скрипта - мохамедом... короче аврал. Сам не вывожу, помогите пожалуйста. ось винда и пентест бокс. Заранее всем благодарен.
ПЫСЫ. причем скрипт нормально отрабатывает только на движке ВП. ...если есть аналог подкиньте пожалуйста (типа автозалива шелла).
Нажмите, чтобы раскрыть...
Тоже интересующая тема. гуру помогите!)
 
Ребят, помогите, при попытке запустить пишет ошибку и что мне нужен HTTP::Request module
 
Can't locate HTTP/Request.pm in @Inc (you may need to install the HTTP::Request module) (@Inc contains: /etc/perl /usr/local/lib/x86_64-linux-gnu/perl/5.22.1 /usr/local/share/perl/5.22.1 /usr/lib/x86_64-linux-gnu/perl5/5.22 /usr/share/perl5 /usr/lib/x86_64-linux-gnu/perl/5.22 /usr/share/perl/5.22 /usr/local/lib/site_perl /usr/lib/x86_64-linux-gnu/perl-base .) at XAttacker.pl line 8.

BEGIN failed--compilation aborted at XAttacker.pl line 8.

У меня выдает это при команде: perl XAttacker.pl
 
useralexrc сказал(а):
Can't locate HTTP/Request.pm in @Inc (you may need to install the HTTP::Request module) (@Inc contains: /etc/perl /usr/local/lib/x86_64-linux-gnu/perl/5.22.1 /usr/local/share/perl/5.22.1 /usr/lib/x86_64-linux-gnu/perl5/5.22 /usr/share/perl5 /usr/lib/x86_64-linux-gnu/perl/5.22 /usr/share/perl/5.22 /usr/local/lib/site_perl /usr/lib/x86_64-linux-gnu/perl-base .) at XAttacker.pl line 8.

BEGIN failed--compilation aborted at XAttacker.pl line 8.

У меня выдает это при команде: perl XAttacker.pl
Нажмите, чтобы раскрыть...
Прямо над вашим сообщением ответ
 
  • Нравится
Реакции: Литиум
чет не обновляют ее ( 11 месяцев для эксплоитов это очень большой срок,база пополняется каждый день
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ