承影 - 一款安全工具箱

luozhenni

​
承影 - 一款安全工具箱
原文链接：承影 - 一款安全工具箱
yhy0 [url=]WIN哥学安全[/url] 2023-05-28 18:40 发表于天津
免责声明
请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测。
工具介绍
承影，一款安全工具箱,集成了目录扫描、JWT、Swagger 测试、编/解码、轻量级 BurpSuite、杀软辅助功能

​

辑
已有功能
1、目录扫描
提取 dirsearch 的字典规则进行扫描，目前只会进行一层目录扫描，后期考虑根据找到的目录，进行多层目录遍历 bbscan 规则扫描

2、Swagger 测试
对 swagger api 进行未授权、ssrf、注入等测试

​

编辑
3、403 bypass
Swagger 会自动进行 403 bypass
https://github.com/devploit/dontgo403https://infosecwriteups.com/403- ... ft-com-db2778458c33
4、JWT

•         JWT token 解析，jwt.io 样式显示
•         JWT 秘钥爆破
  

5、BurpSuite
使用 go-mitmproxy 项目实现 BurpSuite 的 功能
证书安装:
启动后HTTP代理地址默认设置为9080端口
第一次启动后需要安装证书来解析HTTPS流量。证书会在第一次启动命令后自动生成，保存在~/.mitmproxy/mitmproxy-ca-cert.pem. 安装步骤可以在 Python mitmproxy 文档中找到：关于证书。

•         Proxy 模块
•         Repeater 模块
•         Intruder 模块
  

​

编辑

6、字典可配置
用到的各种字典文件, 第一次运行会将内置字典释放到用户目录的.config/ChYing目录下，后续每次运行都会先读取一遍
7、编码、解码
Unicode 、URL、Hex、Base64 编/解码 MD5 加密

​

编辑

8、杀软识别
https://github.com/gh0stkey/avList/blob/master/avlist.js
Tips:

文章来源：GitHub
下载地址：公众号回复“承影”获取项目地址

扫码回复“进群”加入交流群

​