正文

Star 4k+ 一款专注于渗透测试/红队作战的高性能漏洞扫描器更新|工具分享

admin
admin V管理员 /0 评论 /6 阅读
0820
文章最后更新时间2025年08月20日,若文章内容或图片失效,请留言反馈!

0x01 工具介绍

afrog 是一款开源、高性能的漏洞扫描工具,专为漏洞挖掘、渗透测试和红队行动设计。它内置大量 PoC,支持自定义扩展,覆盖常见漏洞如信息泄露未授权访问、命令工具,专为漏洞挖掘、渗透测试和红队行动设计。它内置大量 PoC,支持自定义扩展,覆盖常见漏洞如信息泄露、未授权访问、命令执行等。工具操作简单,支持 HTML/JSON 报告输出,还能开启 Web 界面进行结果管理。afrog 速度快、误报低,社区活跃更新频繁,是安全从业者的高效利器。

注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"则可能就看不到了啦!

下载地址在末尾

0x02 功能简介

🔥主要功能

与常见的扫描器不同,afrog 强调:

  • ⚡ 高性能:速度快且稳定,适合大规模目标扫描;

  • 🎯 低误报率:内置 PoC(漏洞利用验证脚本)经过社区不断优化;

  • 📝 详细报告:自动生成 HTML 报告,还支持 JSON 输出,方便二次开发;

  • 🧩 可扩展性强:支持自定义 PoC,用户可以根据需求自由扩展。

目前 afrog 内置的检测类型包括:

✅ CVE / CNVD / HWPOC

✅ SQL注入

✅ XSS

✅ 默认口令

✅ 信息泄露

✅ 未授权访问

✅ 指纹识别

✅ 未授权访问

✅ 任意文件读取

✅ 命令执行

✅ Springboot未授权

.....

0x03更新说明

新增 -validate 参数,助力高效校验 PoC 文件在本次发布的 afrog v3.1.9 版本中,我们重磅推出了 -validate 参数,这一实用功能可帮助您快速验证 afrog PoC 文件的有效性和语法正确性。当文件存在错误时,系统会精准提示错误原因以及错误所在的具体行号,让问题排查变得轻松高效。

0x04 使用介绍

📦快速上手

只需一条命令,即可扫描目标网站并生成 HTML 报告:

afrog -t https://example.com

常用功能示例

  • 按关键字搜索并扫描指定 PoC

afrog -t https://example.com -s weblogic,jboss

按漏洞等级筛选扫描

afrog -t https://example.com -S high,critical

批量扫描多个目标

afrog -T urls.txt

Web 界面模式(SQLite 数据库存储 + 可视化)

afrog -web

🛠️ 进阶配置

afrog 的强大之处,还体现在对 反连平台(Reverse Platform) 的支持,这对验证 命令执行漏洞(RCE) 非常关键。

支持的平台包括:

  • ceye.io(最常用,需配置 api-key & domain)

  • dnslog.cn(无需配置,但不稳定)

  • alphalog / xray / revsuit(可自建服务)

配置文件路径:

$HOME/.config/afrog/afrog-config.yaml

示例:yaml

reverse:  ceye:    api-key: "your-api-key"    domain: "xxx.ceye.io"

📊 报告输出

  • HTML 报告:默认生成,结构清晰

  • JSON 输出:适合开发者二次利用

afrog -t https://example.com -json result.json

还可用 -json-all 保存完整的请求/响应数据,方便后续分析。

0x05 内部VIP星球介绍-V1.4(福利)

        如果你想学习更多渗透测试技术/应急溯源/免杀/SRC挖洞赚取漏洞赏金/红队打点/0day漏洞库 欢迎加入我们内部星球可获得内部工具字典和享受全部内部资源和内部交流群,每1-2天更新1day/0day漏洞刷分上分()包含全网一些付费工具及BurpSuite自动化漏洞探测插件,AI代审工具等等。00信安商业会员shadonQuakeFofa高级会员等等,CTFShow等各种账号会员共享。详情直接点击下方链接进入了解,觉得价格高的师傅可后台回复" 星球 "有优惠券名额有限先到先得!啥都有 全网资源最新最丰富!🤙截止目前已有2000+多位师傅选择加入❗️早加入早享受)

2025漏洞情库报分享:https://t.zsxq.com/Faujy

👉

结尾

免责声明

获取方法

公众号回复20250820获取下载

最后必看-免责声明

文章中的案例或工具仅面向合法授权的企业安全建设行为,如您需要测试内容的可用性,请自行搭建靶机环境,勿用于非法行为。如用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具或文章或来源于网络,若有侵权请联系作者删除,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com