「离线攻击面资产测绘与管理平台」------ 一体化安全测试工具箱
本平台集成渗透测试全链路核心功能,专为离线环境 与授权安全测试设计,助力安全工程师高效完成从信息搜集到漏洞验证的全流程工作。
核心功能概览
核心功能模块
1. 攻击模拟与漏洞利用
-
渗透测试流程支持:提供标准化的测试框架与步骤指引。
-
漏洞扫描:精准识别系统与应用层安全风险。
-
目录扫描:探测敏感目录与文件,发现潜在信息泄露。
-
JS文件分析(JSFinder):自动提取JS文件中的API、路径及子域名,扩大资产范围。
-
漏洞利用与验证:提供安全POC,用于漏洞复现与风险验证。
-
综合信息提取(Dumpall):对目标进行深度信息收集与导出。
2. 智能信息收集
-
企业信息查询:通过企业名称一键关联查询旗下资产。
-
域名信息探测:获取子域名、备案信息、DNS记录等关键数据。
-
互联网敏感信息采集:自动化爬取公开情报源,发现泄露的账号、代码等信息。
3. 空间资产测绘
-
多引擎聚合查询 :集成 FOFA、鹰图、360夸克 等主流测绘平台语法。
-
聚合搜索:一站式查询,跨平台去重比对,提升资产发现效率。
-
代理池集成(S 代理池):保障扫描与查询的隐匿性与稳定性。
4. 辅助与集成工具
-
加解密模块:内置常见编码与加密算法工具,支持自定义处理。
-
即时通讯告警 :支持将关键结果推送至微信/钉钉。
-
环境识别与提权辅助:集成杀软识别、系统补丁查询等提权前导功能。
-
数据库自动取样:自动识别并抽样数据库中的敏感信息(如身份证、手机号)。
-
数据处理专区 :专为Fscan等工具结果设计,提供IP提取、去重、格式转换等批量处理功能。
-
文件夹信息检索:快速检索指定目录下的敏感关键词与配置文件。
-
漏洞扫描 :基于 Nuclei v3 引擎,内置 8500+ 指纹 与 3400+ POC,依托活跃社区持续更新,支持多格式报告导出,高效精准识别风险。
- 目录扫描:兼容 dirsearch 常用参数,集成 supersearchplus 响应包查看功能,自动过滤重复长度响应,结果清晰易读。
- 资产信息收集 :输入企业名称即可自动获取关联 IP、域名 等关键资产,提升溯源与测绘效率。
特色功能模块
🔍 空间测绘集成
无缝对接 FOFA、Hunter、Quake,保留语法检索、收藏与数据可视化功能,新增特色交互区,减少频繁导出操作。
📊 数据库智能取样
自动识别敏感字段(如身份证、手机号、AKSK 等),对数据库内容进行合规匹配与抽样检测。
🔐 加解密便捷调用
支持本地集成 CyberChef 环境,无需切换工具即可快速执行编解码操作。
⚙️ Fscan 及数据处理
一键提取扫描结果中的 IP、去重、密码解密等,优化日常安全运维流程。
🚀 应用启动管理器
统一管理各类脚本与工具,支持自定义启动命令,快捷通过 cmd、java -jar、GUI 等方式启动应用。
📦 获取方式
-
关注相关公众号,私信"Slack"获取最新版本与使用支持。
平台优势
-
全链路覆盖:涵盖渗透测试各阶段,无需在多工具间切换。
-
离线优先:核心功能支持离线使用,满足内网等特殊环境需求。
-
模块化设计:功能清晰独立,可根据实际任务灵活组合使用。
-
效率提升:自动化聚合与处理流程,将工程师从重复劳动中解放。
🔧 适用于:企业安全自检、红蓝对抗演练、渗透测试培训及授权安全评估。
免责声明:请严格遵守《网络安全法》,仅在合法授权的范围内使用本平台进行安全测试。任何未经授权的攻击行为均属违法,使用者须自行承担由此产生的一切法律责任。
⚠️ 免责声明
本工具仅适用于 合法授权 的安全测试与企业安全建设。使用者应确保遵守所在地法律法规,并仅对已授权目标进行检测。
工具所有 POC 均为漏洞理论验证,不包含实际攻击利用代码。任何非法使用行为所产生的后果,由使用者自行承担,作者与项目贡献者不承担任何责任。
使用前请务必充分阅读并理解相关条款,确认同意后方可下载使用。