推荐一款src资产管理系统

推荐一款src资产管理系统
2023-6-8 00:0:31 Author: 橘猫学安全(查看原文) 阅读量:32 收藏

一、工具介绍

Watchdog整合多款安全工具并以web形式展现，它辅助渗透测试人员对IT资产进行资产管理。功能有：

1、子域名扫描：oneforall

2、端口服务扫描：shodan+异步socket+nmap（ip数据库、CDN判断）

3、URL可用探测

4、驱动浏览器爬虫采集数据：crawlergo

5、被动漏洞扫描：xray

二、安装与使用

1、安装python3环境,这里推荐使用minicoda方式安装：

wget https://repo.anaconda.com/miniconda/Miniconda3-latest-Linux-x86_64.shsh Miniconda3-latest-Linux-x86_64.sh  # 根据提示进行安装

2、默认miniconda环境为python3.7，这里新创建一个python3.8环境

conda create --name python python=3.8  # 创创建环境conda activate python   # 激活环境，现在你应该在python3.8环境中

3、apt安装必备环境

apt-get updateapt install build-essential libssl-dev libffi-dev python3-dev  # python相关环境apt install nmap  # 安装nmapsudo apt-get install chromium-browser  # 安装chromium浏览器

4、安装相关Python模块

git clone https://github.com/CTF-MissFeng/Watchdog.gitcd Watchdogpip install -r requirements.txt

5、安装并设置postgres数据库

apt install postgresql postgresql-contrib  # 安装postgres数据库sudo -u postgres psql  # 进入psql命令行\password postgres  # 设置postgres用户密码

6、设置postgresql数据库允许远程访问

参考：http://lazybios.com/2016/11/how-to-make-postgreSQL-can-be-accessed-from-remote-client/ 修改postgresql.conf 修改pg_hba.conf现在使用数据库管理工具连接postgresql数据库，应该可以连接成功。在创建一个空的src数据库

7、修改项目配置文件

vim Watchdog/web/config.py  # 修改数据库连接配置vim Watchdog/client/database.py  # 修改数据库连接配置

8、运行Watchdog

cd Watchdogexport FLASK_APP=app.py:APP  # 配置flaskAPPflask --help  # 现在你应该可以Commands看到有3个自定义命令flask createdb  # 创建数据库flask createuser  # 创建测试账户，root/[email protected]flask run -p 80 -h 0.0.0.0  # 启动后，打开该服务器外网ip，访问http://外网ip 是否可以成功访问并登录web环境ontrol + C 结束flask运行，使用后台运行nohup flask run -p 80 -h 0.0.0.0 > web.log 2>&1 &

9、配置并启动各工具模块：子域名扫描、端口扫描、URL探测、xray扫描

vim client/subdomain/oneforall/config.py # 必须配置shodan api，其他参数自己选填

# 启动子域名扫描cd client/subdomain/oneforallnohup python -u sbudomain_run.py > dns.log 2>&1 &cat dns.log  # 查看日志是否正常

# 启动端口扫描cd client/portscannohup python -u portscan_run.py > port.log 2>&1 &  cat port.log  # 查看日志是否正常

# 启动url扫描cd client/urlscan/url_probe  nohup python -u urlscan_run.py > url.log 2>&1 & cat url.log # 查看日志是否正常

# 启动xraycd client/urlscan/xraynohup python -u xray_run.py > xray.log 2>&1 &cat xray.log # 查看日志是否正常

三、工具下载

https://github.com/CTF-MissFeng/Watchdog

如有侵权，请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「超详细 | 分享」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具｜无状态子域名爆破工具（1秒扫160万个子域）

查看更多精彩内容，还请关注橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“再看”

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247508119&idx=1&sn=ce7c93908026be3ecde17ff73a327f64&chksm=c04d27a9f73aaebf99867567a14b9e4c25294d0117032bb704689b99579777082cc71e4e9492#rd
如有侵权请联系:admin#unsafe.sh