in

ShellHunter – Búsqueda automática de shell




AF-ShellHunter: búsqueda automática de shell

AF-ShellHunter es un script diseñado para automatizar la búsqueda de WebShells en el equipo de AF

Como uno


pip3 install -r requirements.txt
python3 shellhunter.py --help

Uso básico

Puede ejecutar Shellhunter en dos modos

  • –url -u Al escanear una sola URL
  • –archivo -f Escanee varias URL al mismo tiempo

Ejemplo de una búsqueda de webshell con proxy Burpsuite, donde la cadena «404» con un tamaño entre 100 y 1000 caracteres está oculta

┌──(blueudp㉿xxxxxxxx)-[~/AF-ShellHunter]
└─$ python3 shellhunter.py -u https://xxxxxxxxxx -hs "404" -p burp --greater-than 100 --smaller-than 1000
Running AF-Team ShellHunt 1.1.0

URL: https://xxxxxxxxxx
Showing only: 200, 302
Threads: 20
Not showing coincidence with: 404
Proxy: burp
Greater than: 100
Smaller than: 1000
Found https://xxxxxxxxxx/system.php len: 881

Configuración de archivos para varios sitios

Lista de phishing

en mantenimiento ‘con un tamaño entre 100 y 1000 caracteres

[burp]
https: //banco.phishing-> show-response-code «302» «200», no show-string «página en mantenimiento», mayor que 100, menor que 1000

[noproxy]
banco.es-> # ShellHunt agrega ‘http: // «>.

# How to?
# set country block with [country], please read user_files/config.txt

# 'show-response-code "option1" "option2"' -> show responses with those status codes, as -sc
# 'show-string' -> show match with that string, as -ss
# 'show-regex' -> show match with regex, as -sr

# use 'not' for not showing X in above options, as -h[option]

# 'greater-than' -> Show response greater than X, as -gt ( --greater-than )
# 'smaller-than' -> Show responses smaller than X, as -st ( --smaller-than )

# Example searching webshell with BurpSuite proxy. 302, 200 status code, not showing results w/ 'página en mantenimiento' with size between 100 and 1000 chars

[burp]
https://banco.phishing->show-response-code "302" "200", not show-string "página en mantenimiento", greater-than 100, smaller-than 1000

[noproxy]
banco.es-> # ShellHunt will add 'http://

Configura tus proxies y encabezados personalizados

config.txt

Android 8.0.0; SM-G960F Build / R16NW) AppleWebKit / 537.36 (KHTML, como Gecko) Chrome / 62.0.3202.84 Mobile Safari / 537.36 Referer? bit.ly/THIS_is_PHISHING # Omitir protección de referencia

[PROXIES]
¿eructar? https://127.0.0.1:8080,http://127.0.0.1:8080 «>

[HEADERS]  # REQUESTS CUSTOM HEADERS, ADD 'OPTION: VALUE'
User-Agent? Mozilla/5.0 (Linux; Android 8.0.0; SM-G960F Build/R16NW) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.84 Mobile Safari/537.36
Referer? bit.ly/THIS_is_PHISHING # Bypass referer protection

[PROXIES]
burp? https://127.0.0.1:8080,http://127.0.0.1:8080

Otras propiedades

  1. Filtrar por expresiones regulares
  2. Filtrar por cadena
  3. Filtrar por código de estado HTTP
  4. Filtrar por longitud
  5. Encabezados personalizados
  6. Proxy personalizado o bloque de proxy para archivo url
  7. Multihilo (número de usuario)
                                                              .-"; ! ;"-.
----. .'! : | : !`.
" _} / ! : ! : ! /
"@ > / | ! :|: ! | /
| 7 ( ; :!: ; / / )
/ `-- ( `. | !:|:! | / .' )
,-------,**** (`. !:|:!/ / / .')
~ >o< ---------o{___}- => `.`. |!|! |/,'.' /
/ | / ________/8' `._`.\!!!// .'_.'
| | / " `.`.\|//.'.'
| / | |`._`n'_.'|
"----^----"



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

The Week Inside Ransomware – 8 de octubre de 2021

Información privilegiada de Bank of America acusada de lavado de dinero por fraude BEC