Bablo - Червяк который нашел несколько XSS в ООН

[grozdniyandy]

Bablo​

Bablo (Бабло) - это инструмент командной строки, написанный на Go, предназначенный для кроулинга (crawl).
Github: https://github.com/grozdniyandy/bablo/

Червяк?​

Потому что работает рекурсивно.

На какой платформе/фреймворке это написано?​

Эта программа написана на языке программирования Go. Он использует стандартную библиотеку для различных операций и полагается на "colly" для скрепинга (scraping).

Для чего он используется?​

Этот инструмент используется для рекурсивного кроулинга данного домена. Я хотел создать XSS-сканер, которому вы просто указываете URL и нажимаете enter, и он выполняет всю работу. Если вы пентестер, вы должны знать, что в BurpSuite есть активный сканер, который может выполнять кроулинг и сканирование на наличие уязвимостей. Так, я решил сделать что-то подобное, но с открытым исходным кодом. Причина, по которой это кроулер, заключается в том, что в будущем его можно будет использовать вместе с другими инструментами и получить отличный результат.

Мусор​

Скорость?
Сами чекните.
Результат?
Продолжайте читать.

Минусы​

Как у каждого инструмента, у этого тоже есть свои минусы:

• После окончания работы, не остановится, так что лучше поставьте таймаут на 1-2 часа.
• Может внезапно перестать кроулить. Это либо из-за лимита на 1.000.000 ссылок, либо что-то не так пошло.

Использование​

Значит так, сижу я думаю, как бы после краулинга сделать это эффективным для находки скажем XSS, вспоминаю инструмент kxss. Но в нём недостатки, так что я отредактил под нашу нужду. (Инструмент конкурса краулер)
Сперва делайте краулинг с какой скоростью хотите:

./bablo -t 10000 https://example.com > domain1

Потом воспользуйтесь отредактированным kxss. Я просто отредактировал его, чтобы он принимал URL-адреса, таким образом ./kxss {URL} - так будет проще автоматизировать сканирование с большим количеством потоков.

cat domain1 | grep '=' | grep -v 'instagram\|facebook\|twitter\|linkedin\|reddit' | xargs -P1000 -I {} ./kxss '{}' > xss1

Как и то что написанно до этого, инструменты которые я пишу предназначены для массивного использования в основном. Скажем вам нужно просканировать большое кол-во доменов/субдоменов. То это для вас, но про таймаут не забываем.

Сорс Код​

https://github.com/grozdniyandy/bablo/

Примеры использования в реальной жизни​

Я хочу напомнить вам, что данное программное обеспечение предназначено только для легального использования.
Нашел уязвимости в ОСНОВНЫХ доменах некоторых мест включая ООН, сообщил им.

Кнопка бабло?​

Выше я привел один простой пример использования, можно использовать этот инструмент с разными инструментами для находки множества уязвимостей SQLi, SDE и тп

Ты утверждаешь что нашел, а результат?​

Я задумался над этим, на данный момент из всего что написано мною, этот может монеты принести как раз.

Пацаны, сделайте такой софт, чтобы туда вжух номер кошелька, кнопку клац, трах-теребох, бац-бац, и тебе монеты сыплют... Очень надо))

Это основные домены, остальные в субдоменах.

​

 

[kkain]

Третий топик в конкурсе, и третий раз восхищение
Намечается победитель)

Толково. Спасибо

 

[dunkel]

Есть же гораздо гораздо более продвинутые акунетикс, и барп баунти

 

[grozdniyandy]

Есть же гораздо гораздо более продвинутые акунетикс, и барп баунти

Если вы пентестер, вы должны знать, что в BurpSuite есть активный сканер, который может выполнять кроулинг и сканирование на наличие уязвимостей. Так, я решил сделать что-то подобное, но с открытым исходным кодом.

Ну по такой логике нет смысла иметь BMW или Мерс, есть же Жигули

 

[dynstr]

Мужик, вот ты уже 3 темы наебенил, но только смысла от этого? Понимаем, что ты супер кодер, но вдумайся "КОНКУРС".Твои статьи конкурсные? Они повседневные. Мне твой софт не полезен, ни грамму, потому что краулить я умею и без твоего софта

 

[grozdniyandy]

Понимаем, что ты супер кодер, но вдумайся "КОНКУРС".Твои статьи конкурсные?

Я не кодер. Это не статьи ,а проекты. И софты полезные мне вот я и делюсь может еще кому то полезно будет. Я не намерен через это 1-ое место забрать это то что я делаю потому что мне приятно учавствовать вот и все. И зачем ты так горячишься, лучше краулером поделись.

Живем дружно.

 

[Jack Silverlight]

Мужик, вот ты уже 3 темы наебенил, но только смысла от этого? Понимаем, что ты супер кодер, но вдумайся "КОНКУРС".Твои статьи конкурсные? Они повседневные. Мне твой софт не полезен, ни грамму, потому что краулить я умею и без твоего софта

кому интересно полезно тебе это или нет? ты себя кем возомнил, лол, жюри что ли?
участники делают то, что им интересно, а не васе прохожему. пусть творит, даже если это примитивно и дичь - не проголосуют и всё.

 

[Peace]

кому интересно полезно тебе это или нет? ты себя кем возомнил, лол, жюри что ли?
участники делают то, что им интересно, а не васе прохожему. пусть творит, даже если это примитивно и дичь - не проголосуют и всё.

Поддерживаю, мне аж плохо стало от его комментария. Какой толк участвовать, когда пишут подобную грязь. Всем же не угодишь)

 

[dynstr]

Довайте все наши скриптики расчихлять в пять строк, а довайте! Конкурс жы

 

[Peace]

Довайте все наши скриптики расчихлять в пять строк, а довайте! Конкурс жы

Покажи как нужно)

 

[Dddc]

Довайте все наши скриптики расчихлять в пять строк, а довайте! Конкурс жы

не совсем с тобой согласен. Так как неважно сколько усилий приложено важно сколько пользы.

 

[Alek74]

Я не кодер

А можно уточнить у вас одну деталь? Является ли софт авторским или вы просто делитесь тем что нашли когда-то/где-то? Я не спорю на счет полезности ваших продуктов. Безусловно для кого-то это может принести пользу. Но в правилах конкурса есть некая строка "Только авторский софт и авторские проекты."

 

[grozdniyandy]

А можно уточнить у вас одну деталь? Является ли софт авторским или вы просто делитесь тем что нашли когда-то/где-то? Я не спорю на счет полезности ваших продуктов. Безусловно для кого-то это может принести пользу. Но в правилах конкурса есть некая строка "Только авторский софт и авторские проекты."

Я не кодер, но софт авторский.

 

[nightcity]

Мужик, вот ты уже 3 темы наебенил, но только смысла от этого? Понимаем, что ты супер кодер, но вдумайся "КОНКУРС".Твои статьи конкурсные? Они повседневные. Мне твой софт не полезен, ни грамму, потому что краулить я умею и без твоего софта

уберите этого типа с форума, люди стараются , ТС красава

 

[xiaocai]

Мужик, вот ты уже 3 темы наебенил, но только смысла от этого? Понимаем, что ты супер кодер, но вдумайся "КОНКУРС".Твои статьи конкурсные? Они повседневные. Мне твой софт не полезен, ни грамму, потому что краулить я умею и без твоего софта

Почему бы тебе не поделиться у тебя есть 'значимым' программным обеспечением?

 

[dynstr]

Почему бы тебе не поделиться у тебя есть 'значимым' программным обеспечением?

Почему бы а ка бы не бы, не хочу, устраивает такой ответ? Почему я должен с кем то здесь делиться? Братан, я уже участвовал в конкурсе на этом форуме и даже призовое взял, но если ник скажу бан полетит молниеносный, там старые счеты. Cейчас я ноунейм и этому рад

Покажи ка может как надо, покажи как русские могут

 

[misterkoala01]

Почему бы а ка бы не бы, не хочу, устраивает такой ответ? Почему я должен с кем то здесь делиться? Братан, я уже участвовал в конкурсе на этом форуме и даже призовое взял, но если ник скажу бан полетит молниеносный, там старые счеты. Cейчас я ноунейм и этому рад

Покажи ка может как надо, покажи как русские могут

"ДО РАБОТЫ ФИЗРУКОМ, В СПЕЦНАЗЕ БЫЛ, 2 ОЛИМПИАДЫ ВЗЯЛ" да?)

 

[bigheadguy]

Братан, я уже участвовал в конкурсе на этом форуме и даже призовое взял, но если ник скажу бан полетит молниеносный, там старые счеты.

мне одному показалось, что это похоже на каминг аут?

 

[m00r]

"ДО РАБОТЫ ФИЗРУКОМ, В СПЕЦНАЗЕ БЫЛ, 2 ОЛИМПИАДЫ ВЗЯЛ" да?)

русский медвежонок

 

[kkain]

Братан, я уже участвовал в конкурсе на этом форуме и даже призовое взял, но если ник скажу бан полетит молниеносный, там старые счеты.

Причина блокировки: Создание мультиаккаунтов на форуме.

допизделся