长亭百川云 - 文章详情

工具推荐|WIHscan

ifacker

49

2024-07-08

 引  言 

WIHscan(Web Info Hunter scan),此工具主要是对 Web 网页中存在的 js 文件进行敏感信息扫描,从而获取 AK/SK 之类的敏感信息,助 HW 一臂之力,比别人更快破点!

01 工具使用

此工具的使用,主要有3种方式。

1.1 单一URL链接

可以使用 -u 参数来实现。

1.2 批量URL链接

可以使用 -f 参数来实现(这种方式也比较常规)。

1.3 ARL json 导入

可以使用 -fj 参数来实现。

首先需要一个现成的灯塔。

然后登录上去,并找到扫描到的WIH模块(扫描的时候记得勾选)。

当然,这里不要点导出 WIH,而是直接打开抓包软件,如:burp之类的,去抓这个页面的包。

这里看到发包之后,返回的是一个 json 串,但是只有10条,很明显不够我们去用的,我们把 size=10 改成 1000000,反正就是多加几个0,也不会少块肉。

可以看到,返回的长度明显变长了,直接把这些 json 串复制出来,然后粘贴到本地 xxx.json 文件中。

02 其他功能

当然除了3种扫描方式之外,还有一些其他的可选参数,比如输出的路径啊、设置并发量呀、什么代理、超时时长、指定规则文件等等,相信在坐的各位大佬看一眼就会,我这里就不过多赘述了。

03 亿点小细节

如果在坐的各位,碰巧也有会go语言开发的师傅,如果恰巧写过和正则表达式有关的代码,可能会发现,regexp这个库可能不太好用,比如有些正则表达式,明明是对的,但是放到go语言里,就各种报错,各种不识别,比如下面我随手写的demo,使用自带的regexp库,就报错了。

但是我换成第三方的库,一摸一样的字符串,一摸一样的正则表达式,就一点毛病没有。

比如师傅们如果在写多协程并发的时候,可能会用到go这个关键词。用好了是一把利器,用不好了...... 诶?代码怎么没跑完就结束了?

这是因为主进程结束了之后,子进程(协程)也会被关闭,所以每次使用go的时候,需要主进程等待一下协程,所以就需要用到sync库的WaitGroup。如下如所示,先创建一个wg,在执行协程的时候,给他Add(1),然后在执行完毕后,Done()一下,相当于-1,最后再在主函数那里Wait() 一下,这样就不会出现子进程代码还没执行完毕,主进程就结束的情况了。

最后的最后:

祝各位师傅们 HW 顺利!

如需此工具,请回复:“我要WIHscan”。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2