关于AcuAutomate
AcuAutomate是一款基于Acunetix的大规模自动化渗透测试与漏洞扫描工具,该工具旨在辅助研究人员执行大规模的渗透测试任务。
在大规模的安全测试活动中,AcuAutomate可以帮助我们同时启动或停止多个Acunetix扫描任务。除此之外,我们还可以将其功能无缝集成到枚举封装器或One-Liner中,并通过管道功能实现更高效的控制。
工具安装
由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3.x环境。接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
代码语言:javascript复制git clone https://github.com/danialhalo/AcuAutomate.git(右滑查看更多)
然后切换到项目目录中,使用pip工具和项目提供的requirements.txt文件安装该工具所需的其他依赖组件:
代码语言:javascript复制cd AcuAutomate
pip install -r requirements.txt给工具脚本提供可执行权限后即可开始使用AcuAutomate:
代码语言:javascript复制chmod x AcuAutomate.py工具配置(config.json)
在使用AcuAutomate之前,我们还需要根据实际情况修改AcuAutomate目录下的config.json配置文件:
代码语言:javascript复制{
"url": "https://localhost",
"port": 3443,
"api_key": "API_KEY"
}其中,URL和PORT参数设置为了默认的Acunetix配置数据,但也可以根据实际情况进行修改。然后将其中的“API_KEY”替换为你自己的Acunetix API密钥,可以访问下列地址从用户配置中获取该数据:
代码语言:javascript复制https://localhost:3443/#/profile工具使用
工具帮助
使用-h参数可以查看该工具的详细帮助信息:
代码语言:javascript复制
__ _ ___
____ ________ ______ ___ / /_(_) __ _____/ (_)
/ __ `/ ___/ / / / __ / _ / __/ / |/_/_____/ ___/ / /
/ /_/ / /__/ /_/ / / / / __/ /_/ /> </_____/ /__/ / /
__,_/___/__,_/_/ /_/___/__/_/_/|_| ___/_/_/
-: By Danial Halo :-
usage: AcuAutomate.py [-h] {scan,stop} ...
Launch or stop a scan using Acunetix API
positional arguments:
{scan,stop} 要执行的任务
scan 启动一个扫描任务
stop 终止一个扫描任务
options:
-h, --help 显示工具帮助信息和退出(右滑查看更多)
扫描任务
扫描任务帮助信息查看:
代码语言:javascript复制xubuntu:~/AcuAutomate$ ./AcuAutomate.py scan -h
usage: AcuAutomate.py scan [-h] [-p] [-d DOMAIN] [-f FILE]
[-t {full,high,weak,crawl,xss,sql}]
options:
-h, --help 显示工具帮助信息和退出
-p, --pipe 从管道读取数据
-d DOMAIN, --domain DOMAIN
要扫描的目标域名
-f FILE, --file FILE 包含待扫描目标URL的文件地址
-t {full,high,weak,crawl,xss,sql}, --type {full,high,weak,crawl,xss,sql}
高危漏洞扫描、弱密码扫描、爬虫功能、XSS扫描、SQL注入扫描、完整扫描(默认)(右滑查看更多)
使用-d参数指定单个要扫描的域名:
代码语言:javascript复制./AcuAutomate.py scan -d https://www.google.com(右滑查看更多)
使用-p参数可以从管道读取输入数据:
代码语言:javascript复制cat domain.txt | ./AcuAutomate.py scan -p(右滑查看更多)
使用subfinder或httpx等工具将输出结果通过管道发送至AcuAutomate并利用Acunetix执行大规模扫描:
代码语言:javascript复制subfinder -silent -d google.com | httpx -silent | ./AcuAutomate.py scan -p(右滑查看更多)
-t参数可以用来定义工具的扫描类型,比如说,下列命令将只检测SQL注入漏洞:
代码语言:javascript复制./AcuAutomate.py scan -d https://www.google.com -t sql(右滑查看更多)
终止扫描任务
代码语言:javascript复制xubuntu:~/AcuAutomate$ ./AcuAutomate.py stop -h
__ _ ___
____ ________ ______ ___ / /_(_) __ _____/ (_)
/ __ `/ ___/ / / / __ / _ / __/ / |/_/_____/ ___/ / /
/ /_/ / /__/ /_/ / / / / __/ /_/ /> </_____/ /__/ / /
__,_/___/__,_/_/ /_/___/__/_/_/|_| ___/_/_/
-: By Danial Halo :-
usage: AcuAutomate.py stop [-h] [-d DOMAIN] [-a]
options:
-h, --help 显示工具帮助信息和退出
-d DOMAIN, --domain DOMAIN
单独指定要终止扫描的域名
-a, --all 终止所有正在运行的扫描任务(右滑查看更多)
注意事项
AcuAutomate仅支持https://或http://开头的域名。
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可证协议。
项目地址
AcuAutomate:
https://github.com/danialhalo/AcuAutomate
