信息收集工具 -- Arjun(v2.1.5版本)
2022-8-29 08:10:21 Author: 系统安全运维(查看原文) 阅读量:8 收藏

一、工具介绍

Arjun拥有一个包含10,985个参数名的巨大默认字典,在10秒内通过发送20-30个请求,找到该网站有效的HTTP参数,在渗透测试的信息收集阶段起很重要的作用。

二、使用方法

1、安装

pip3 install arjun或者 python3 setup.py install

2、扫描单个URL

arjun -u https://api.example.com/endpoint

3、-m 指定请求方法,默认是GET方法,支持GET/POST/JSON/XML

arjun -u https://api.example.com/endpoint -m POST

4、从BurpSuite导入目标

arjun -i targets.txt

5、导出结果

arjun -u https://api.example.com/endpoint -oJ result.json

6、检测指定位置的参数

arjun -u https://api.example.com/endpoint -m JSON --include='{"root":{"a":"b",$arjun$}}'或者arjun -u https://api.example.com/endpoint -m XML --include='<?xml><root>$arjun$</root>'

三、下载地址

项目地址:https://github.com/s0md3v/Arjun

好文推荐

信息收集常用的工具

几款实用的内网穿透工具

实战挖掘一个某公司网站漏洞

渗透测试报告自动生成工具 -- Savior

Spring 框架相关漏洞合集 | 红队技术

一款漏洞查找器(挖漏洞的有力工具)

神兵利器 | 分享 直接上手就用的内存马(附下载)

推荐一款自动向hackerone发送漏洞报告的扫描器

欢迎关注 系统安全运维


文章来源: http://mp.weixin.qq.com/s?__biz=Mzk0NjE0NDc5OQ==&mid=2247508939&idx=1&sn=facd3113b24b9a5ed9bfc63274f06827&chksm=c30870bbf47ff9adfcb9f46a626b33abca4d3e2f35097a33ad289dc653e107bcbace99cfa0d2#rd
如有侵权请联系:admin#unsafe.sh