1工具介绍

afrog 是一款性能卓越、快速稳定、PoC 可定制的漏洞扫描工具，PoC 包含 CVE、CNVD、默认口令、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等多种漏洞类型，帮助网络安全从业者快速验证并及时修复漏洞。

本次更新版本为 Release 2.2.2

特点

• 开源

• 快速、稳定、误报低

• 详细的 html 漏洞报告

• PoC 可定制化、稳定更新

• 活跃的社区 交流群

• 长期维护

2更新内容

修复：

• 修复 afrog html 报告 XSS 漏洞

优化：

• 简化 URL 黑名单机制
• 优化 http/s 检测功能
• 优化 文件上传 (所有) PoC
• 优化 RCE (所有) PoC

删除：

• 去掉 Fingerprint 指纹识别及命令参数 (替代工具 pyxis)
• 去掉不常用命令参数

PoC:

• 新增 52 PoC
• 验证和优化 n 多个 PoC
• 删除 PoC csz-cms-multiple-blind-sql-injection
• 删除 PoC phpstudy-nginx-wrong-resolve
• 内置几个 private PoC

3示例

基本用法

# 扫描一个目标
afrog -t http://127.0.0.1
# 扫描多个目标
afrog -T urls.txt
# 指定漏扫报告文件
afrog -t http://127.0.0.1 -o result.html

高级用法

# 测试 PoC 
afrog -t http://127.0.0.1 -P ./test/ 
afrog -t http://127.0.0.1 -P ./test/demo.yaml 
# 按 PoC 关键字扫描 
afrog -t http://127.0.0.1 -s tomcat,springboot,shiro 
# 按 Poc 漏洞等级扫描 
afrog -t http://127.0.0.1 -S high,critical 
# 在线更新 afrog-pocs 
afrog --up 
# 禁用指纹识别，直接漏扫 
afrog -t http://127.0.0.1 --nf

截图

控制台

html 报告

4项目使用

• 项目是在Linux下开发的，请在Linux环境下使用。

• rad扫描器是基于Chrome浏览器的，请先安装Chrome浏览器(若使用的时候报Chrome相关错误，打开Chrome的文件注释掉最后一行即可)。

• 接着将自己的Oneforall、Xray工具放入Tools中对应的文件夹(文件夹已经创建，将文件放入即可，不要套娃)

• 安装Oneforall所需Python库

• 配置文件在lib下的config.py,填入自己的server酱的key，其他相关配置也可做相应的更改。

安装方法：

方法1：二进制安装（推荐） ① 下载压缩包

② 解压压缩包

③ cd 解压目录

④ 启动

linux 启动

./afrog_linux_amd64 -t example.com -o r.html

windows 启动

afrog_windows_amd64.exe -t example.com -o r.html

macos 启动

./afrog_darwin_amd64 -t example.com -o r.html