src资产管理系统 -- Watchdog
2022-9-16 08:10:39 Author: 系统安全运维(查看原文) 阅读量:23 收藏
一、工具介绍

Watchdog整合多款安全工具并以web形式展现,它辅助渗透测试人员对IT资产进行资产管理。功能有:

1、子域名扫描:oneforall

2、端口服务扫描:shodan+异步socket+nmap(ip数据库、CDN判断)

3、URL可用探测

4、驱动浏览器爬虫采集数据:crawlergo

5、被动漏洞扫描:xray

二、安装与使用
1、安装python3环境,这里推荐使用minicoda方式安装:
wget https://repo.anaconda.com/miniconda/Miniconda3-latest-Linux-x86_64.shsh Miniconda3-latest-Linux-x86_64.sh  # 根据提示进行安装
2、默认miniconda环境为python3.7,这里新创建一个python3.8环境
conda create --name python python=3.8  # 创创建环境conda activate python   # 激活环境,现在你应该在python3.8环境中
3、apt安装必备环境
apt-get updateapt install build-essential libssl-dev libffi-dev python3-dev  # python相关环境apt install nmap  # 安装nmapsudo apt-get install chromium-browser  # 安装chromium浏览器
4、安装相关Python模块
git clone https://github.com/CTF-MissFeng/Watchdog.gitcd Watchdogpip install -r requirements.txt
5、安装并设置postgres数据库
apt install postgresql postgresql-contrib  # 安装postgres数据库sudo -u postgres psql  # 进入psql命令行\password postgres  # 设置postgres用户密码
 6、设置postgresql数据库允许远程访问
参考:http://lazybios.com/2016/11/how-to-make-postgreSQL-can-be-accessed-from-remote-client/ 修改postgresql.conf 修改pg_hba.conf现在使用数据库管理工具连接postgresql数据库,应该可以连接成功。在创建一个空的src数据库
7、修改项目配置文件
vim Watchdog/web/config.py  # 修改数据库连接配置vim Watchdog/client/database.py  # 修改数据库连接配置
8、运行Watchdog
cd Watchdogexport FLASK_APP=app.py:APP  # 配置flaskAPPflask --help  # 现在你应该可以Commands看到有3个自定义命令flask createdb  # 创建数据库flask createuser  # 创建测试账户,root/[email protected]flask run -p 80 -h 0.0.0.0  # 启动后,打开该服务器外网ip,访问http://外网ip 是否可以成功访问并登录web环境ontrol + C 结束flask运行,使用后台运行nohup flask run -p 80 -h 0.0.0.0 > web.log 2>&1 &
9、配置并启动各工具模块:子域名扫描、端口扫描、URL探测、xray扫描
vim client/subdomain/oneforall/config.py # 必须配置shodan api,其他参数自己选填

# 启动子域名扫描cd client/subdomain/oneforallnohup python -u sbudomain_run.py > dns.log 2>&1 &cat dns.log  # 查看日志是否正常

# 启动端口扫描cd client/portscannohup python -u portscan_run.py > port.log 2>&1 &  cat port.log  # 查看日志是否正常

# 启动url扫描cd client/urlscan/url_probe  nohup python -u urlscan_run.py > url.log 2>&1 & cat url.log # 查看日志是否正常

# 启动xraycd client/urlscan/xraynohup python -u xray_run.py > xray.log 2>&1 &cat xray.log # 查看日志是否正常
三、工具下载

https://github.com/CTF-MissFeng/Watchdog

好文推荐

红队打点评估工具推荐
干货|红队项目日常渗透笔记
实战|后台getshell+提权一把梭
一款漏洞查找器(挖漏洞的有力工具)
神兵利器 | 附下载 · 红队信息搜集扫描打点利器
神兵利器 | 分享 直接上手就用的内存马(附下载)
推荐一款自动向hackerone发送漏洞报告的扫描器
欢迎关注 系统安全运维

文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247510005&idx=1&sn=283d3ee8e8af34857759e99187b63180&chksm=c3087485f47ffd934df87d0dbafc056326525822159f1297807e025f94afd7f03e863445c5b6#rd
如有侵权请联系:admin#unsafe.sh