Uniscan是一款联合性扫描工具,用于远程文件包含,本地文件包含和远程命令执行漏洞扫描程序,同时还可以进行指纹识别,DNS域名解析查询,OS检测等多种功能。是小白学习WEB安全一款很不错的工具。现在让我们开始吧!!!

安装

新版的kali中是没有安装的,我们执行下面命令安装。

apt-get install uniscan

查看帮助

uniscan -h

参数说明:

-h :帮助信息
-u : 例如: https://www.example.com/
-f : url's列表-批量扫描
-b :后台运行Uniscan
-q :启用目录检查
-w :启用文件检查
-e : 启用robots.txt和sitemap.xml检查
-d : 启用动态检查
-s : 使用静态检查
-r : 启用压力测试`
-i : Bing搜索
-o : Google搜索
-g : web指纹
-j : 服务器指纹

服务器指纹识别

使用-j命令,对服务器进行指纹识别。扫描结果将会包含以下内容,ping结果、TRACEROUTENSLOOKUP以及Nmap结果。

uniscan -u https://bbskali.cn -j

通过将 ICMP 数据包发送到目标服务器并建立连接来启动 PING 枚举。
此外,它将使用 TRACEROUTE 来显示从源到目标的信息包的路径,并列出它经过或失败并被丢弃的所有路由器。
NSLOOKUP是一个查询互联网域名服务器(DNS)的程序。NSLOOKUP或反向DNS(rDNS)是一种将IP地址解析为域名的方法。
NMAP对目标服务器进行主动扫描,以识别开放端口和协议服务,它还使用 NMAP NSE 脚本枚举目标,以识别正在运行的服务的漏洞和详细信息。

动态扫描

使用-d命令,对目标服务器进行动态扫描。将加载选定的插件来进行攻击,如XSS SQL注入等。

uniscan -u https://bbskali.cn -d

后记

虽然这个项目已不长用了,但是对于新手用来检测web漏洞已足够了。通过简单的扫描来查找目标存在的xss sql注入等常见的漏洞。能将Nmaptraceroutesping 等扫描结果通过html汇总在一起,能够直观的获取我们想要的内容。

Kali黑客笔记一键关注
Last modification:May 22, 2022
正在沿街乞讨中……