介绍一款基于Acunetix的渗透测试与漏洞扫描工具

发表于：2024-2-22 09:28

字体：大中小 | 上一篇 | 下一篇 | 我要投稿

作者：Alpha_h4ck 来源：FreeBuf

软件测试

渗透测试工具

测试工具

　　关于AcuAutomate

　　AcuAutomate是一款基于Acunetix的大规模自动化渗透测试与漏洞扫描工具，该工具旨在辅助研究人员执行大规模的渗透测试任务。

　　在大规模的安全测试活动中，AcuAutomate可以帮助我们同时启动或停止多个Acunetix扫描任务。除此之外，我们还可以将其功能无缝集成到枚举封装器或One-Liner中，并通过管道功能实现更高效的控制。

　　工具安装

　　由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

　　git clone https://github.com/danialhalo/AcuAutomate.git

　　然后切换到项目目录中，使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件：

　　cd AcuAutomate

　　pip install -r requirements.txt

　　给工具脚本提供可执行权限后即可开始使用AcuAutomate：

　　chmod +x AcuAutomate.py

　　工具配置（config.json）

　　在使用AcuAutomate之前，我们还需要根据实际情况修改AcuAutomate目录下的config.json配置文件：

　　{

　　 "url": "https://localhost",

　　 "port": 3443,

　　 "api_key": "API_KEY"

　　}

　　其中，URL和PORT参数设置为了默认的Acunetix配置数据，但也可以根据实际情况进行修改。然后将其中的“API_KEY”替换为你自己的Acunetix API密钥，可以访问下列地址从用户配置中获取该数据：

　　https://localhost:3443/#/profile

　　工具使用

　　工具帮助

　　使用-h参数可以查看该工具的详细帮助信息：

　　 __ _ ___

　　 ____ ________ ______ ___ / /_(_) __ _____/ (_)

　　 / __ `/ ___/ / / / __ \/ _ \/ __/ / |/_/_____/ ___/ / /

　　 / /_/ / /__/ /_/ / / / / __/ /_/ /> </_____/ /__/ / /

　　 \__,_/\___/\__,_/_/ /_/\___/\__/_/_/|_| \___/_/_/

　　 -: By Danial Halo :-

　　usage: AcuAutomate.py [-h] {scan,stop} ...

　　Launch or stop a scan using Acunetix API

　　positional arguments:

　　 {scan,stop} 要执行的任务

　　 scan 启动一个扫描任务

　　 stop 终止一个扫描任务

　　options:

　　 -h, --help 显示工具帮助信息和退出

　　扫描任务

　　扫描任务帮助信息查看：

　　xubuntu:~/AcuAutomate$ ./AcuAutomate.py scan -h

　　usage: AcuAutomate.py scan [-h] [-p] [-d DOMAIN] [-f FILE]

　　 [-t {full,high,weak,crawl,xss,sql}]

　　options:

　　 -h, --help 显示工具帮助信息和退出

　　 -p, --pipe 从管道读取数据

　　 -d DOMAIN, --domain DOMAIN

　　要扫描的目标域名

　　 -f FILE, --file FILE 包含待扫描目标URL的文件地址

　　 -t {full,high,weak,crawl,xss,sql}, --type {full,high,weak,crawl,xss,sql}

　　高危漏洞扫描、弱密码扫描、爬虫功能、XSS扫描、SQL注入扫描、完整扫描（默认）

　　使用-d参数指定单个要扫描的域名：

　　./AcuAutomate.py scan -d https://www.google.com

　　使用-p参数可以从管道读取输入数据：

　　cat domain.txt | ./AcuAutomate.py scan -p

　　使用subfinder或httpx等工具将输出结果通过管道发送至AcuAutomate并利用Acunetix执行大规模扫描：

　　subfinder -silent -d google.com | httpx -silent | ./AcuAutomate.py scan -p

　　-t参数可以用来定义工具的扫描类型，比如说，下列命令将只检测SQL注入漏洞：

　　./AcuAutomate.py scan -d https://www.google.com -t sql

　　终止扫描任务

　　xubuntu:~/AcuAutomate$ ./AcuAutomate.py stop -h

　　 __ _ ___

　　 ____ ________ ______ ___ / /_(_) __ _____/ (_)

　　 / __ `/ ___/ / / / __ \/ _ \/ __/ / |/_/_____/ ___/ / /

　　 / /_/ / /__/ /_/ / / / / __/ /_/ /> </_____/ /__/ / /

　　 \__,_/\___/\__,_/_/ /_/\___/\__/_/_/|_| \___/_/_/

　　 -: By Danial Halo :-

　　usage: AcuAutomate.py stop [-h] [-d DOMAIN] [-a]

　　options:

　　 -h, --help 显示工具帮助信息和退出

　　 -d DOMAIN, --domain DOMAIN

　　单独指定要终止扫描的域名

　　 -a, --all 终止所有正在运行的扫描任务

　　注意事项

　　AcuAutomate仅支持https://或http://开头的域名。

　　许可证协议

　　本项目的开发与发布遵循GPL-3.0开源许可证协议。

　　本文内容不用于商业目的，如涉及知识产权问题，请权利人联系51Testing小编(021-64471599-8017)，我们将立即处理

《2023软件测试行业现状调查报告》独家发布~

搜索风云榜

测试技术了解

2023测试行业调查报告

挣点稿费

AI与软件测试

文章资料精选