新一代子域名收集工具
2022-7-26 08:11:32 Author: 系统安全运维(查看原文) 阅读量:24 收藏

作者:@br0ken_5 && @0chencc

项目地址:https://github.com/Acmesec/Sylas

项目描述

Sylas(塞拉斯)是我很喜欢的一款游戏《英雄联盟》(League of Legends)里的英雄。他在面板数值已经足够可观的情况下,其终极技能其人之道又能窃取其他英雄的终极技能为己用。我觉得塞拉斯很适合代表这个项目,我们在插件的基础功能开发完成之后,又再思考与其他项目联动的可能,尽可能地把我们手头上现有的idea跟这个项目联动融合,使Sylas成为战场上能独当一面的存在。——林晨@0chencc

功能

  • 主动搜索

设定好根域名之后,会从历史流量中抓取与根域名相关的所有子域名展示并且储存到数据库中。

  • 被动搜索

当使用burp代理时,会从经过burp的流量中抓取域名进行储存。不需要开启,插件启动以及数据库连接之后就会自动拉取。

  • 相似域名模糊匹配

会对相似的域名进行匹配,符合正则的就拉取入库

  • 支持mysql/sqlite

我们打算思考一下这个工具与后期其他工具的联动,故而选择了mysql作为数据库,根据鸭王师傅@TheKingOfDuck的反馈,我们又添加了Sqlite作为支持。目前是默认使用Sqlite作为数据库,降低用户的使用成本。

  • 与Bscan的联动

这部分就是我所说的Mysql的联动,在目前的版本中,BurpDomain将支持定时每1分钟从Mysql数据库中拉取Bscan测活的数据,但Bscan的能力远不止于此。我在Todo List里添加了将Bscan漏扫的能力也结合在BurpDomain上。

如果有需要支持其他数据库,请大家在issue里反馈,我收到反馈之后会立即加上。

下载地址:https://github.com/Acmesec/Sylas

好文推荐

工具|红队快速批量打点

实战 | App优惠劵无限领取漏洞挖掘记录

利用 EHole 进行红队快速批量打点

神兵利器 - presshell

渗透测试-Ngrok内网映射与穿透

分享 | 几种实战成功过的webshell免杀方式

推荐一款自动向hackerone发送漏洞报告的扫描器

李姐姐开源DNSLog工具eyes.sh

欢迎关注 系统安全运维


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247505911&idx=1&sn=095ab67b1c751862a2f1cc5930c883b6&chksm=c3080487f47f8d919676f80e9684034e459c992496a225c517df9bf105d060495e355edf87ed#rd
如有侵权请联系:admin#unsafe.sh