reconFTW

摘要

reconFTW可以自动化您的整个侦查过程。它在子域名枚举以及各种漏洞检查和获取关于您的目标的最大信息方面都超越了人工操作。

reconFTW使用了许多技术(被动的、暴力的、排列组合的、证书透明度、源代码爬取、分析、DNS记录等)进行子域名枚举,这有助于您获得最多、最有趣的子域名,从而使您领先于竞争对手。

它还执行各种漏洞检查,如XSS、Open Redirects、SSRF、CRLF、LFI、SQLi、SSL测试、SSTI、DNS区域传输等。除此之外,它还执行OSINT技术、目录模糊化、搜索引擎挖掘、端口扫描、截图和对目标进行nuclei扫描。

那么,你还在等什么?出发吧!出发吧!:boom: 这是一个从英语翻译到中文的内容:

动态修改图像的行为和功能
构建你自己的容器
在官方映像之上构建一个Axiom控制器

请参考Docker文档。

c) Terraform + Ansible

是的!reconFTW也可以轻松地使用Terraform和Ansible部署到AWS,如果你想知道怎么做,可以查看这里的指南

⚙️ 配置文件

你可以在这里找到对配置文件的详细说明 :book:

通过 reconftw.cfg 文件可以控制工具的整个执行过程。
猎人可以设置各种扫描模式、执行偏好、工具、配置文件、API/令牌、个性化关键词列表等。

:point_right: 点击查看默认配置文件 :point_left:

#############################################
#			reconFTW配置文件			#
#############################################

# 一般值
tools=~/Tools   # 已安装工具的路径
SCRIPTPATH="$( cd "$(dirname "$0")" >/dev/null 2>&1 ; pwd -P )" # 获取当前脚本的路径
profile_shell=".$(basename $(echo $SHELL))rc" # 获取当前shell配置文件
reconftw_version=$(git rev-parse --abbrev-ref HEAD)-$(git describe --tags) # 获取当前reconftw版本
generate_resolvers=false # 生成自定义解析器使用dnsvalidator
update_resolvers=true # 在DNS解析之前从trickest/resolvers获取并重写解析器
resolvers_url="https://raw.githubusercontent.com/trickest/resolvers/main/resolvers.txt"
resolvers_trusted_url="https://gist.githubusercontent.com/six2dez/ae9ed7e5c786461868abd3f2344401b6/raw/trusted_resolvers.txt"
fuzzing_remote_list="https://raw.githubusercontent.com/six2dez/OneListForAll/main/onelistforallmicro.txt" # 用于发送到axiom(如果使用)进行模糊测试
proxy_url="http://127.0.0.1:8080/" # 代理url
install_golang=true # 如果您已经配置了Golang并准备就绪,请将其设置为false
upgrade_tools=true
upgrade_before_running=false # 在运行之前升级工具
#dir_output=/custom/output/path

# Golang变量(注释或自行更改)
export GOROOT=/usr/local/go
export GOPATH=$HOME/go
export PATH=$GOPATH/bin:$GOROOT/bin:$HOME/.local/bin:$PATH

# 工具配置文件
#NOTIFY_CONFIG=~/.config/notify/provider-config.yaml # 不需要定义
AMASS_CONFIG=~/.config/amass/config.ini
GITHUB_TOKENS=${tools}/.github_tokens
GITLAB_TOKENS=${tools}/.gitlab_tokens
#CUSTOM_CONFIG=custom_config_path.txt # 如果您使用自定义配置文件,请取消注释此行并设置文件路径

# API/令牌 - 取消注释您想要的行,删除行首的'#'
#SHODAN_API_KEY="XXXXXXXXXXXXX"
#WHOISXML_API="XXXXXXXXXX"
#XSS_SERVER="XXXXXXXXXXXXXXXXX"
#COLLAB_SERVER="XXXXXXXXXXXXXXXXX"
#slack_channel="XXXXXXXX"
#slack_auth="xoXX-XXX-XXX-XXX"

# 文件描述符
DEBUG_STD="&>/dev/null" # 在安装程序上跳过标准输出
DEBUG_ERROR="2>/dev/null" # 在安装程序上跳过错误输出

# Osint
OSINT=true # 启用或禁用整个OSINT模块
GOOGLE_DORKS=true
GITHUB_DORKS=true
GITHUB_REPOS=true
METADATA=true # 从已编制索引的办公文件中获取元数据
EMAILS=true # 从不同的网站获取电子邮件
DOMAIN_INFO=true # Whois信息
REVERSE_WHOIS=true # amass intel反向Whois信息,需要一些时间
IP_INFO=true    # 反向IP搜索、地理位置和Whois
API_LEAKS=true # 检查API泄露
THIRD_PARTIES=true # 检查第三方错误配置
SPOOF=true # 检查可欺骗的域名
METAFINDER_LIMIT=20 # 最大250

# 子域
RUNAMASS=true
RUNSUBFINDER=true
SUBDOMAINS_GENERAL=true # 启用或禁用整个子域模块
SUBPASSIVE=true # 被动子域名搜索
SUBCRT=true # crtsh搜索
CTR_LIMIT=999999 # 限制结果数量
SUBNOERROR=false # 检查DNS NOERROR响应并对其进行暴力破解
SUBANALYTICS=true # Google Analytics搜索
SUBBRUTE=true # DNS暴力破解
SUBSCRAPING=true # 从网页抓取中提取子域名
SUBPERMUTE=true # DNS排列
SUBREGEXPERMUTE=true # 通过正则表达式分析进行排列
PERMUTATIONS_OPTION=gotator # 另一种选择是"ripgen"(更快,但不太深入)
GOTATOR_FLAGS=" -depth 1 -numbers 3 -mindup -adv -md" # Gotator的标志
SUBTAKEOVER=true # 检查子域劫持,默认为false,因为nuclei已经检查了这个
SUB_RECURSIVE_PASSIVE=false # 使用大量API密钥查询
DEEP_RECURSIVE_PASSIVE=10 # 递归的顶级子域数量
SUB_RECURSIVE_BRUTE=false # 需要大量磁盘空间和时间来解析
ZONETRANSFER=true # 检查区域传输
S3BUCKETS=true # 检查S3存储桶配置错误
REVERSE_IP=false # 检查反向IP子域名搜索(如果目标是CIDR/IP,请设置为True)
TLS_PORTS="21,22,25,80,110,135,143,261,271,324,443,448,465,563,614,631,636,664,684,695,832,853,854,990,993,989,992,994,995,1129,1131,1184,2083,2087,2089,2096,2221,2252,2376,2381,2478,2479,2482,2484,2679,2762,3077,3078,3183,3191,3220,3269,3306,3410,3424,3471,3496,3509,3529,3539,3535,3660,36611,3713,3747,3766,3864,3885,3995,3896,4031,4036,4062,4064,4081,4083,4116,4335,4336,4536,4590,4740,4843,4849,5443,5007,5061,5321,5349,5671,5783,5868,5986,5989,5990,6209,6251,6443,6513,6514,6619,6697,6771,7202,7443,7673,7674,7677,7775,8243,8443,8991,8989,9089,9295,9318,9443,9444,9614,9802,10161,10162,11751,12013,12109,14143,15002,16995,41230,16993,20003"
INSCOPE=false # 使用inscope工具过滤范围,需要在reconftw文件夹中有.scope文件

# Web检测
WEBPROBESIMPLE=true # 在80/443上进行web探测
WEBPROBEFULL=true # 在大端口列表上进行web探测
WEBSCREENSHOT=true # Web截图
VIRTUALHOSTS=false # 通过模糊HOST头检查虚拟主机

不常见的Web端口="81,300,591,593,832,981,1099,2082,2095,2096,2480,3000,3001,3002,3003,3128,3333,4243,4567,4711,4712,4993,5000,5104,5108,5280,5281,5601,5800,6543,7000,7001,7396,7474,8000,8001,8008,8014,8042,8060,8069,8080,8081,8083,8088,8090,8091,8095,8118,8123,8172,8181,8222,8243,8280,8281,8333,8337,8443,8500,8834,8880,8888,8983,9000,9001,9043,9060,9080,9090,9091,9092,9200,9443,9502,9800,9981,10000,10250,11371,12443,15672,16080,17778,18091,18092,20720,32000,55440,55672"

主机

检查Favicon域名发现=true # 检查Favicon域名发现启用端口扫描模块=true # 启用或禁用整个端口扫描模块获取地理位置信息=true # 获取地理位置信息被动端口扫描=true # 使用Shodan进行端口扫描主动端口扫描=true # 使用nmap进行端口扫描主动端口扫描选项="--top-ports 200 -sV -n -Pn --open --max-retries 2 --script vulners" 检查CDN IP=true # 检查哪些IP属于CDN

Web分析

检测Web应用防火墙=true # 检测Web应用防火墙启用Nuclei=true # 启用或禁用Nuclei Nuclei模板路径="${HOME}/nuclei-templates" # 设置Nuclei模板路径 Nuclei严重级别="info,low,medium,high,critical" # 设置模板严重级别 Nuclei其他标志=" -silent -t ${NUCLEI_TEMPLATES_PATH}/ -retries 2" # Nuclei的其他附加标志,不要在这里设置严重级别,而是设置排除项,如" -etags openssh" Nuclei JS其他标志=" -silent -tags exposure,token -severity info,low,medium,high,critical" # Nuclei的其他附加标志,用于JS密钥启用URL收集=true # 启用或禁用URL收集被动式URL收集=true # 使用Archive、OTX、CommonCrawl等被动方法搜索URL 主动式URL收集=true # 通过网站爬虫搜索URL URL模式分类=true # URL模式分类检查文件扩展名=true # 返回按扩展名划分的文件列表 JS分析=true # JS分析模糊测试=true # Web模糊测试 IIS短文件名=true CMS扫描器=true # CMS扫描器生成词表=true # 生成词表检查历史禁止条目=true # 检查Wayback Machine上的历史禁止条目生成密码字典=true # 生成密码字典最小密码长度=5 # 最小密码长度最大密码长度=14 # 最大密码长度

漏洞

启用一般漏洞模块=false # 启用或禁用漏洞模块(非常具有侵入性和缓慢) XSS检查=true # 使用Dalfox检查XSS CORS检查=true # CORS配置问题 SSL/TLS检查=true # SSL/TLS配置问题开放重定向检查=true # 检查开放重定向 SSRF检查=true # SSRF检查 CRLF检查=true # CRLF检查本地文件包含检查=true # 通过模糊测试检查LFI SSTI检查=true # 通过模糊测试检查SSTI SQL注入检查=true # 检查SQL注入使用sqlmap进行SQL注入检查=true # 使用sqlmap进行SQL注入检查使用Ghauri进行SQL注入检查=false # 使用Ghauri进行SQL注入检查检查损坏链接=true # 检查损坏链接密码喷洒=true # 执行密码喷洒命令注入检查=true # 使用Commix检查命令注入原型污染检查=true # 检查原型污染漏洞 HTTP请求走私检查=true # 检查HTTP请求走私漏洞 Web缓存问题检查=true # 检查Web缓存问题 4XX绕过检查=true # 检查4XX绕过模糊化参数值=true # 模糊化参数值

其他功能

发送通知=false # 每个功能发送通知仅发送开始/结束通知=false # 仅发送开始/结束通知深度模式=false # 深度模式,非常慢,不关心结果数量深度模式第一个限制=500 # 除非运行深度模式,否则不运行的第一个限制深度模式第二个限制=1500 # 除非运行深度模式,否则不运行的第二个限制差异分析=false # 差异分析功能,在已扫描的目标上运行每个模块,只打印新发现(但保存所有内容) 删除临时文件=true # 执行后删除临时文件(以释放空间) 删除日志=false # 执行后删除日志使用代理=false # 将发现的网站发送到代理发送ZIP文件通知=false # 将结果发送到ZIP文件(通过通知) 保留文件=true # 设置为true以避免在大型扫描中删除.called_fn文件 FFUF标志=" -mc all -fc 404 -sf -noninteractive -of json" # FFUF标志 HTTPX标志=" -follow-redirects -random-agent -status-code -silent -title -web-server -tech-detect -location -content-length" # HTTPX标志,用于简单的Web探测

HTTP选项

默认头部="User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:72.0) Gecko/20100101 Firefox/72.0" # 默认头部

线程

FFUF线程=40 HTTPX线程=50 HTTPX不常见端口线程=100 Katana线程=20 BruteSpray线程=20 BruteSpray并发=10 GAU线程=10 DNStake线程=100 Dalfox线程=200 PureDNS公共限制=0 # 如果您的路由器暴炸,请设置在2000 - 10000之间,0表示无限制 PureDNS受信任限制=400 PureDNS通配符测试限制=30 PureDNS通配符批处理限制=1500000 解析域名线程=150 DNSValidator线程=200 Interlace线程=10 TLSX线程=1000 xnLinkFinder深度=3

速率限制

HTTPX速率限制=150 Nuclei速率限制=150 FFUF速率限制=0

超时

Amass情报收集超时=15分钟 Amass枚举超时=180分钟 CMSScan超时=3600秒 FFUF最大时间=900秒 HTTPX超时=10秒 HTTPX不常见端口超时=10秒排列组合限制=20 GB

列表

模糊测试词表=${tools}/fuzz_wordlist.txt LFI词表=${tools}/lfi_wordlist.txt SSTI词表=${tools}/ssti_wordlist.txt 子域名词表=${tools}/subdomains.txt 大型子域名词表=${tools}/subdomains_n0kovo_big.txt 解析器=${tools}/resolvers.txt 受信任解析器=${tools}/resolvers_trusted.txt

Axiom Fleet

如果存在同名且大小相同(或更大)的Fleet,则不会启动新的Fleet

AXIOM=false 仅取消注释以覆盖命令行标志

启用Axiom Fleet=true # 启用或禁用启动新的Fleet,如果为false,它将使用带有AXIOM_FLEET_NAME前缀的当前Fleet Axiom Fleet名称="reconFTW" # Fleet的前缀名称 Axiom Fleet数量=10 # Fleet的数量 Axiom Fleet区域="eu-central" # Fleet的区域这是一个英语到中文的翻译，以下是源文本的中文翻译:

AXIOM_FLEET_SHUTDOWN=true # # 执行后是否删除舰队

这是您的reconftw主机上的一个脚本,可能会按您的方式准备一些东西...

#AXIOM_POST_START="~/Tools/axiom_config.sh" # 将您的配置文件发送到舰队很有用 AXIOM_EXTRA_ARGS="" # 如果您不想添加额外的参数,请留空

终端颜色

bred='\033[1;31m' bblue='\033[1;34m' bgreen='\033[1;32m' byellow='\033[1;33m' red='\033[0;31m' blue='\033[0;34m' green='\033[0;32m' yellow='\033[0;33m' reset='\033[0m'

- 递归式搜索([dsieve](https://github.com/trickest/dsieve))。
- 子域名接管([nuclei](https://github.com/projectdiscovery/nuclei))
- DNS接管([dnstake](https://github.com/pwnesia/dnstake))
- DNS区域传输([dig](https://linux.die.net/man/1/dig))
- 云检查器([S3Scanner](https://github.com/sa7mon/S3Scanner)和[cloud_enum](https://github.com/initstring/cloud_enum))

## 主机

- IP信息([whoisxmlapi API](https://www.whoisxmlapi.com/))
- CDN检查器([ipcdn](https://github.com/six2dez/ipcdn))
- WAF检查器([wafw00f](https://github.com/EnableSecurity/wafw00f))
- 端口扫描器(使用[nmap](https://github.com/nmap/nmap)的主动扫描和[smap](https://github.com/s0md3v/Smap)的被动扫描)
- 端口服务漏洞检查([vulners](https://github.com/vulnersCom/nmap-vulners))
- 密码喷洒([brutespray](https://github.com/x90skysn3k/brutespray))
- 地理位置信息(ipapi.co)

## 网站

- Web探测器([httpx](https://github.com/projectdiscovery/httpx))
- Web截图([nuclei](https://github.com/projectdiscovery/nuclei))
- Web模板扫描器([nuclei](https://github.com/projectdiscovery/nuclei)和[nuclei geeknik](https://github.com/geeknik/the-nuclei-templates.git))
- CMS扫描器([CMSeeK](https://github.com/Tuhinshubhra/CMSeeK))
- URL提取([gau](https://github.com/lc/gau)、[waymore](https://github.com/xnl-h4ck3r/waymore)、[katana](https://github.com/projectdiscovery/katana)、[github-endpoints](https://gist.github.com/six2dez/d1d516b606557526e9a78d7dd49cacd3)和[JSA](https://github.com/w9w/JSA))
- URL模式搜索和过滤([urless](https://github.com/xnl-h4ck3r/urless)、[gf](https://github.com/tomnomnom/gf)和[gf-patterns](https://github.com/1ndianl33t/Gf-Patterns))
- Favicon真实IP([fav-up](https://github.com/pielco11/fav-up))
- Javascript分析([subjs](https://github.com/lc/subjs)、[JSA](https://github.com/w9w/JSA)、[xnLinkFinder](https://github.com/xnl-h4ck3r/xnLinkFinder)、[getjswords](https://github.com/m4ll0k/BBTz)、[mantra](https://github.com/MrEmpy/mantra)、[jsluice](https://github.com/BishopFox/jsluice))
- Sourcemap JS提取([sourcemapper](https://github.com/denandz/sourcemapper))
- 模糊测试([ffuf](https://github.com/ffuf/ffuf))
- 按扩展名排序URL
- 词表生成
- 密码字典创建([pydictor](https://github.com/LandGrey/pydictor))

## 漏洞检查

- XSS([dalfox](https://github.com/hahwul/dalfox))
- 开放重定向([Oralyzer](https://github.com/r0075h3ll/Oralyzer))
- SSRF(使用[interactsh](https://github.com/projectdiscovery/interactsh)检查头部,使用[ffuf](https://github.com/ffuf/ffuf)检查参数值)
- CRLF([crlfuzz](https://github.com/dwisiswant0/crlfuzz))
- CORS([Corsy](https://github.com/s0md3v/Corsy))
- LFI检查([ffuf](https://github.com/ffuf/ffuf))
- SQLi检查([SQLMap](https://github.com/sqlmapproject/sqlmap)和[ghauri](https://github.com/r0oth3x49/ghauri))
- SSTI([ffuf](https://github.com/ffuf/ffuf))
- SSL测试([testssl](https://github.com/drwetter/testssl.sh))
- 损坏链接检查器([katana](https://github.com/projectdiscovery/katana))
- 原型污染([ppmap](https://github.com/kleiton0x00/ppmap))
- Web缓存漏洞扫描器([Web-Cache-Vulnerability-Scanner](https://github.com/Hackmanit/Web-Cache-Vulnerability-Scanner))
- 4XX绕过([nomore403](https://github.com/devploit/nomore403))

## 额外

- 多线程([Interlace](https://github.com/codingo/Interlace))
- 自定义解析器生成列表([dnsvalidator](https://github.com/vortexau/dnsvalidator))
- 包含Docker容器和[DockerHub](https://hub.docker.com/r/six2dez/reconftw)集成
- 在AWS上部署Ansible + Terraform
- 支持IP/CIDR作为目标
- 从上次执行的步骤恢复扫描
- 自定义输出文件夹选项
- 全在一个安装/更新脚本,适用于大多数发行版
- 支持连续运行(cron模式)的差异化
- 支持多个域名的目标
- Raspberry Pi/ARM支持
- 6种模式(recon,被动,子域,web,osint和all)
- 支持排除范围,并可选使用[inscope](https://github.com/tomnomnom/hacks/tree/master/inscope)
- 支持 Slack、Discord和Telegram的通知系统([notify](https://github.com/projectdiscovery/notify))和发送压缩结果

## 思维导图/工作流

![思维导图](https://yellow-cdn.veclightyear.com/ab5030c0/cf3336f1-a58a-4436-80d5-a01ae49bd298.png)

## 数据保存

按照以下简单步骤,最终获得一个包含您的`API Keys`和`/Recon`数据的私有仓库。

### Makefile

提供了一个`Makefile`来快速启动一个私有仓库。您需要安装[Github CLI](https://cli.github.com/)。

完成后,只需运行:

```bash
# 以下行是可选的,默认为 ~/reconftw-data
export PRIV_REPO="$HOME/reconftw-data"
make bootstrap

同步您的私有仓库与上游:

make sync

上传有价值的recon数据:

make upload

手动

在Git(Hub|Lab)上创建一个空白的私有仓库(考虑到Recon数据上传的大小限制)
克隆您的项目: git clone https://gitlab.com/example/reconftw-data
进入克隆的仓库: cd reconftw-data
创建一个带有空提交的新分支: git commit --allow-empty -m "Empty commit"
添加官方仓库作为新的远程: git remote add upstream https://github.com/six2dez/reconftw (upstream只是个例子)
更新上游仓库: git fetch upstream
将当前分支与官方分支rebase: git rebase upstream/main master