一款针对Web应用渗透测试的自动化网络侦察框架

开发 架构 自动化
reNgine是一款针对Web应用渗透测试的自动化网络侦察框架,广大研究人员可以在针对Web应用程序的渗透测试过程中使用reNgine来实现信息收集

reNgine

reNgine是一款针对Web应用渗透测试的自动化网络侦察框架,广大研究人员可以在针对Web应用程序的渗透测试过程中使用reNgine来实现信息收集,reNgine提供了一个自定义的扫描引擎,可以用于对网站和终端节点进行扫描和信息收集。

reNgine的优点在于它把所有的东西都集中在了一个工具之中,并且提供了一个高度可定制的的侦察方式。如果你需要对一个目标执行网络侦察,收集终端节点信息、查询目录、查询文件、抓取屏幕截图并获取所有处理结果时,reNgine就非常有用了。

比如说,我们现在的目标域名为hackerone.com,reNgine可以根据扫描引擎的配置来执行扫描任务,并将结果进行汇总显示。比如说,你想要搜索页面标题为“Dashboard”且页面状态为200的所有页面,并且想直接看到屏幕截图,那么reNgine就可以帮助你实现这个目的。或者说,你想要枚举出全部使用了PHP并且HTTP状态为200的子域名,reNgine同样可以实现。

在终端节点部分,reNgine能够使用类似gau、hakrawler的工具来收集关于目标URL节点的信息。除此之外,如果想要搜索包含.php后缀和HTTP状态为200的页面,reNgine同样可以做到。

注意事项

  • reNgine并非一款漏洞扫描工具!
  • reNgine使用了很多其他的开源工具,reNgine的扫描结果准确度会受到其他工具的影响。

工具运行机制

工具下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

  1. git clone https://github.com/yogeshojha/rengine.git 
  2.  
  3. cd rengine 

工具要求

  • Docker:【点我安装】
  • Docker-Compose:【点我安装】
  • make

工具安装

目前,该工具提供了两种安装配置方法,我们建议大家使用Makefile方式:

如果你是通过HTTPS并在VPS中进行配置的话,Makefile可以让安装过程变得更加简单。

dotenv文件可以在安装reNgine的过程中进行更新,比如说,使用下列命令编辑文件:

  1. nano .env 

  1. vim .env 

并写入下列内容:

  1. AUTHORITY_NAME=reNgine 
  2.  
  3. AUTHORITY_PASSWORD=nSrmNkwT 
  4.  
  5. COMPANY=reNgine 
  6.  
  7. DOMAIN_NAME=recon.example.com 
  8.  
  9. COUNTRY_CODE=US 
  10.  
  11. STATE=Georgia 
  12.  
  13. CITY=Atlanta 

接下来,使用下列命令生成证书:

  1. make certs 

证书生成完成之后,我们就可以使用HTTPS来运行reNgine了。

构建reNgine:

  1. make build 

工具使用

如果构建成功,我们就可以使用下列命令运行reNgine了:

  1. make up 

此时,可以直接访问https://127.0.0.1或https://your_ip来使用Web应用程序了。

工具运行截图

工具演示视频

视频地址:https://www.youtube.com/watch?v=u8_Z2-3-o2M

许可证协议

本项目的开发与发布遵循 GNU GPL v3 开源许可证协议。

项目地址

reNgine:【 GitHub传送门 】https://github.com/yogeshojha/rengine

 

责任编辑:张燕妮 来源: freebuf.com
相关推荐

2020-08-24 06:58:01

渗透测试工具物联网设备安全攻击测试

2021-06-26 07:40:21

前端自动化测试Jest

2014-11-20 13:49:15

2017-11-08 08:20:45

2023-05-18 14:01:00

前端自动化测试

2024-03-20 13:19:53

2014-11-12 09:24:00

2020-07-17 07:41:29

开源开发技术

2018-10-07 15:18:36

2021-10-24 08:15:44

Web身份认证测试框架

2009-09-22 11:58:00

ibmdwWeb

2019-08-02 09:46:00

工具性能数据

2021-09-01 09:38:21

自动化渗透测试网络安全攻击

2019-11-11 13:50:42

工具代码开发

2019-10-28 15:14:53

Python脚本语言Java

2021-08-17 09:00:00

架构PythonWeb

2011-01-20 10:17:25

ibmdwWeb

2012-03-29 10:57:12

Web自动化测试

2015-08-10 11:41:00

SQL注入SQL注入工具Sqlmapi

2021-10-25 05:39:12

被动网络侦察工具Sigurlfind3安全工具
点赞
收藏

51CTO技术栈公众号