Статья XAttacker Tool - Website Vulnerability Scanner & Auto Exploiter

Привет Codeby! В этой статье, я хочу познакомить Вас с довольно полезным инструментом, достойным занять свое место ящике инструментов пентестера.

Xattacker – это инструмент, для обнаружения и эксплуатации уязвимостей, на веб ресурсах.
Его основные функции, Get Shells | Sends | Deface | cPanels | Databases.
Установка:

git clone https://github.com/Moham3dRiahi/XAttacker
cd /XAttacker
chmod +x XAttacker.pl

Функциональные модули:

• Auto Cms Detect

1. WordPress :

• Adblock Blocker
• WP All Import
• Blaze
• Catpro
• Cherry Plugin
• Download Manager
• Formcraft
• levoslideshow
• Power Zoomer
• Gravity Forms
• Revslider Upload Shell
• Revslider Dafece Ajax
• Revslider Get Config
• Showbiz
• Simple Ads Manager
• Slide Show Pro
• WP Mobile Detector
• Wysija
• InBoundio Marketing
• dzs-zoomsounds
• Reflex Gallery
• Creative Contact Form
• Work The Flow File Upload
• WP Job Manger
• PHP Event Calendar
• Synoptic
• Wp Shop
• Content Injection

2. Joomla:

• Com Jce
• Com Media
• Com Jdownloads
• Com Fabrik
• Com Jdownloads Index
• Com Foxcontact
• Com Ads Manager
• Com Blog
• Com Users
• Com Weblinks
• mod_simplefileupload

3. DruPal:

• Add Admin

4. PrestaShop

• columnadverts
• soopamobile
• soopabanners
• Vtermslideshow
• simpleslideshow
• productpageadverts
• homepageadvertise
• homepageadvertise2
• jro_homepageadvertise
• attributewizardpro
• 1attributewizardpro
• AttributewizardproOLD
• attributewizardpro_x
• advancedslider
• cartabandonmentpro
• cartabandonmentproOld
• videostab
• wg24themeadministration
• fieldvmegamenu
• wdoptionpanel
• pk_flexmenu
• pk_vertflexmenu
• nvn_export_orders
• megamenu
• tdpsthemeoptionpanel
• psmodthemeoptionpanel
• masseditproduct

5. Lokomedia

• SQL injection

Запуск:

perl XAttacker.py

Если у Вас, есть список потенциально уязвимых ресурсов, то команда может выглядеть так:

perl XAttacker.pl -l list.txt

Далее, следуя подсказкам, формируем тип сканирования (инструмент поддерживает поиск по доркам, спискам сайтов и ip-адресов):

По его результатам принимаем решение о дальнейших действиях.
Вот здесь подробный фильм от разработчика на примере уязвимых сайтов, рассматриваются основные векторы атак.
Страница разработчика на Github, для тех, у кого еще остались вопросы. На этом, пожалуй, все, спасибо за внимание.

 

[prox00]

Окей. Вечером попробую, отпишу в лс

а каким образом обнова? --update ? но там же нет такого.. очень зантересовало, есть зомби бот, по утверждению продавана там собрано воедино все наработки в том числе и хаттакер, давайте посмотрим его совместно?

 

[italianez]

а каким образом обнова? --update ? но там же нет такого.. очень зантересовало, есть зомби бот, по утверждению продавана там собрано воедино все наработки в том числе и хаттакер, давайте посмотрим его совместно?

поделись линком на зомбибота, найти никак не могу

 

[Squ0nk]

а каким образом обнова? --update ? но там же нет такого.. очень зантересовало, есть зомби бот, по утверждению продавана там собрано воедино все наработки в том числе и хаттакер, давайте посмотрим его совместно?

тг g3r01n

 

[prox00]

поделись линком на зомбибота, найти никак не могу

его нет в репозитариях он чистая продажа, контакты автора выкладывали на борде

 

[i3wm]

интересный инструмент. осталось только новые дорки соберать

 

[SalavatUlaev]

странный инструмент - на первый взгляд все отлично - видос от создателя вообще зачетный
но при использовании начинаются непонятки:
- значительная часть сайтов где он находит уязвимости в WP вообще сделаны не на WP а на других CMS
- все сайты где он тиа нашел уязвимость и залил картинку при попытке перехода на эту картинку по ссылке что в лог записана выдают что нет такого файта
получается что софт результат красивый рисует, а по факту как начинаешь проверять то результат нулевой
или я что то не понимаю - кто знает в чем может быть у меня трабл - подскажите пожалуйста - поделюсь в благодарочку линками на сайты которые этот софт нашел

 

[zero009]

аналогичный вопрос.

тоже сталкнулся с этой проблемой

 

[sever0ever]

Кто читает в 2019г. тулза неактуальна. Чекайте коммиты на гитхабе. Автор с конца июня продвигает платную версию, но судя по тому каким был Хатакер в свое время,брать никому этот мусор не рекомендую.

 

[MentoS128]

одна маленькая поправка:
Запуск:

Код:
perl XAttacker.py

может .pl? Просто что бы удобнее было.

 

[lomini]

зомби бот это тоже такой же кал как и xattacker 2.5
незнаю насчет 5 версии но мне кажется если у кого то есть инструмент который может делать по 10к шеллов неделю врят ли вам его кто то продаст если можно эти шеллы оптом продавать за огромные деньги.

+ в зомбиботе везде проставлено отправление ваших результатов на мыло автора .

 

[SrjoMarikis]

Кто снимал уязвимость [COM USER] Как дырку вскрыть?

 

[adamabakumov]

Есть где взять платную версию? И как запустить во много потоков?

 

[McNamara]

Есть где взять платную версию? И как запустить во много потоков?

Думаю, об этом тебе стоит узнать у самого автора.

 

[stmilproto]

Всем привет, есть ли актуальные аналоги? Желательно работая со списком proxy and website link.
(ну и отрабатывала панельки вроде cpanel)