web自动化渗透工具:Tishna

发布于 2020-01-21  415 次阅读


Tishna

一个用于 Web 服务器、Web 应用程序到 Web 安全性的自动化渗透测试框架。是一套完整的服务器自动渗透测试框架,覆盖 web 应用层。

项目地址:https://github.com/haroonawanof

测试环境:Kali,Parrot OS,Black Arch,Termux,Android Led TV

简介

包含了 62 个全自动选项,是一把可用于 web 渗透的利器。

  • Tishna 在银行,私人组织和渗透测试人员中进法律审计很有用
  • 它是一种防御工具,可找到尽可能多的信息以获得未授权访问和入侵
  • 随着更先进技术的出现,黑客还发现了进入许多组织系统的更多方法
  • Tishna 软件可以审核,服务器和 Web 行为
  • Tishna 可以执行尽可能多的目标扫描和枚举
  • 这是通过保护服务器和 Web 应用程序安全性来阻止网络罪犯的第一步

功能

  • 信息收集
  • XSS 分析
  • CSRF 分析
  • 绕过
  • ......

安装

环境:Kali Linux

下载:https://github.com/haroonawanofficial/Tishna-Automated-Web-Application-Hacker

然后在目录下执行命令,来提高所有 bash 文件的访问级别。

chmod u + x * .sh

然后安装命令,进入安装流程:

./kali_install.sh

可工具扫描选项前的编号进行,例如,扫描 LFI 漏洞,键入编号 55 再进行相关配置即可。

命令选项

[1]审核HTTP方法
[2]提取响应标头
[3]提取图像
[4]提取URL
[5]识别表单
[6]在表单高级攻击中查找XSS
[7]在表单简单攻击中查找XSS
[8] Web服务器挂载响应拆分攻击
[9]标头注入毒药
[10]高速缓存毒药
[11] CRLF响应拆分攻击和模糊器
[12] HTTP响应走私模糊
[13] Web缓存欺骗攻击检查
[14] HTTP方法信息
[15]自定义CSRF注入请求
[16]加载CSRF HTML模板
[17] Shell Shock
[18]跨站点请求伪造审核工具包
[19]查找可用的HTTP方法
[20]使用尖叫眼镜蛇在参数中查找XSS
[21]查找缺少的HTTPS方法
[22]服务器端请求伪造
[23]查找可用的HTTPS方法
[24]审核XML RPC方法,提取所有信息
[25] Cookie Stealer XSS Localhost服务器
[26]命令注入漏洞
[27]显示JSON端点列表
[28]执行盲注,编码的响应式XXE注入
[29]执行文件上传注入
[30]执行侧面模板注入
[31]执行JSON Web令牌注入
[32]执行Web套接字注入
[33]执行Amazon Bucket Injection 101 AWS亚马逊
[34]提取要劫持的Cnames记录
[35]不安全的直接对象参考– BURP
[36]执行CSV注入
[37]执行XPATH注入
[38]查找SQL,XPATH,ASP,X,JAVA,JAVASCRIPT,PHP错误
[39]查找XPath和SQL参数注入
[40]显示两个身份验证有效载荷
[41]突变的XSS有效载荷
[42]存储的XSS有效载荷
[43]反射的XSS有效载荷
[44] Waf旁路有效载荷
[45]使用响应分割查找XSS
[46]提取链接–高级
[47]下载图像– Exif数据
[48]简单响应拆分攻击
[49]双响应拆分攻击
[50] HTTP缓存中毒攻击
[51] HTTP缓存注入中毒
[52] HTTP Fuzzer
[53] IP混淆
[54] RFI
[55] LFI
[56]二进制缓冲区溢出查找器
[57]存储和反映的XSS Angular JS有效 负载
[58] Phantom JS XSS有效负载帮助程序
[59] Agular JS客户端自动XSS查找器
[60]会话劫持 打扰方法
[61] OAUTH注入
[62]使用DNS历史记录绕过防火墙
[0]退出


只有站在顶端的人才能定义所谓的善恶。