XPOC V1.0

XPOC为自己写的一个基于JAVA 的图形化插件漏洞扫描工具

用途:

主要用于批量插件验证,可移植性,方便性 比起上一个web扫描器好多了,上一个web扫描器是基于python flask的,使用mongdb进行缓存数据,其也有不少自己加进去的一些想法。

此次的java的图形化工具,比较方便,不用起web服务和数据库,适合渗透测试,应急响应等可变环境下使用。目前功能比较简单,可以打包为jar包。

主要可以更新插件,方便加入新插件,支持多线程的批量扫描。

原理:

核心使用java的类加载器和反射,动态加载POC和外部依赖库,插件开发者只需要按照规则开发插件,将依赖包和插件放在指定位置,工具会自动识别。

扫描工具添加线程控制和插件检查。

介绍:

ext存放辅助工具,代码,字典等。

lib存放POC的第三方工具jar包

支持HTTP扫描和socket,http扫描和HOST:PORT扫描主要考http协议区分,不是https,http协议默认为HOST:PORT模式。

目前存在的问题,反射载入jar包时,默认将lib下的所有jar包都加载,可能影响效率。

POC编写主要为java,编写后直接编译为.class就可以,存放在vuln中,POC需要用的jar包直接复制到lib中,其他辅助文件放在ext中。

目前项目比较简单,大概600行代码左右。支持多线程。

有兴趣的小伙伴可以继续研究使用类加载器和反射来实现的扫描工具