官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
大家好,我是地图大师returnwrong。最近,我在与多位新手白帽子接触后发现,环境配置常常成为他们面临的一大难题。无论是灯塔、oneforall、水泽,还是subfinder等信息收集工具,许多白帽子在安装和配置这些工具时都会遇到各种困扰。针对这一问题,我不禁思考:如果能找到一种方法,从根本上解决环境配置的难题,那该多好。
基于这个想法,我们团队开发了一系列工具,旨在简化挖洞的基础流程,提高挖掘效率。
首先,我们推出了地图os-u和地图os-w两款集成环境,大大简化了工具配置的过程。传统的信息收集和渗透测试需要逐一安装和配置多个工具,费时且繁琐。地图os-u将各种信息收集工具整合在一个环境中,而地图os-w则提供了一个完整的渗透测试虚拟机,省去了繁琐的配置步骤,让你可以专注于实际的漏洞挖掘。
接下来,我们推出了几款原创的BurpSuite插件,包括captchados、Smart URL Parameter Modifier、Url-Path-Extractor和url路径批量处理工具。这些插件针对不同的漏洞挖掘挑战而设计。captchados专门解决破解图片验证码的问题;Smart URL Parameter Modifier帮助发现SSRF、XSS等漏洞;Url-Path-Extractor和url路径批量处理工具则使路径数据的处理和整理更加得心应手,从而识别出更多潜在的攻击面。
这些工具不仅提升了漏洞挖掘的效率,还简化了配置和处理步骤,帮助你更专注于挖掘真正的漏洞。每一款工具都是我们团队的精心之作,旨在使你的挖掘工作更加高效。
工具的简单介绍
两款集成环境
1. 地图os-u
一站式信息收集工具包,集成改装过的灯塔、subfinder、projectdiscover全部工具、水泽、oneforall等,无需繁琐配置,直接使用。
再也不用为了信息收集搭建繁杂的环境,不愁没有资产挖。
2. 地图os-w
一站式挖洞环境,渗透测试专用Windows虚拟机,集成了BurpSuite改装、多种常用渗透字典、多种渗透测试环境,简化配置。
几款原创Burpsuite插件
3. captchados
彻底解决图片验证码dos漏洞挖掘难题,半自动化拼接参数。
指哪打哪,让天下没有难挖的验证码dos漏洞。
4. Smart URL Parameter Modifier
被动拼接payload,让url跳转ssrf、xss等漏洞无处遁形。
没有固定的漏洞类型,你挖洞经验越丰富,能用他自定义挖掘的漏洞就更多。
5. Url-Path-Extractor
原创BurpSuite插件,多种场景下路径收集工具,将流量日志中多个路径去重递归拆分。
不同的路径代表不同的攻击面,作为白帽的你,我想已经理解了。没错,能扩展更多挖洞攻击面。
6. url路径批量处理工具
结合Url-Path-Extractor使用,去除无用文件,还原真实接口。
做到一键路径处理,快速处理路径数据,提升工作效率。
7. xxx工具——具体功能先保密,将于直播间亮相,师傅们敬请期待!
除了这些好用的原创工具外,我们还将分享自制的Hae挖洞规则、Burp杂包过滤脚本、灯塔本地拉取版本等等,以及其他好用的工具及挖洞经验总结。
此外,我们还有地图大师专属群组——根据组员需求定制化开发插件,进行长期更新。每一个工具都是多次迭代的经验总结。
为了让师傅们更了解我们的工具,我将在8月14号(下周三)晚上20点,在知识大陆上进行一场直播,详细介绍这些工具并逐一演示使用操作。
更多内容——明天(周三)晚上8点,来直播间,包讲明白的
直播预约可扫码↓↓↓
直播嘉宾:地图大师returnwrong
Day1安全团队核心成员
2023年智联招聘SRC第5
2023年银联SRC第10
2023年知识星球SRC第4
2022年猎聘SRC第8
2022年BOSS直聘SRC第7
2024年HackingClub议题嘉宾
2024年平安SRC漏洞挖掘经验分享嘉宾
进入联合国、欧盟等网络安全名人堂,收到Nasa漏洞报送感谢信等
6款工具已发布于帮会中
目前仅需:
180元/永久
PS:这个月月底帮会将涨价
点击链接即可永久买断:https://wiki.freebuf.com/societyDetail?society_id=194
或者扫描下方二维码↓↓↓
免费的挖洞实战插件包等你拿
进交流群,免费领取多个好用的挖洞实战插件
扫下方二维码,vivi拉你进群
PS:加好友请备注【大师】
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022