一款適用于以滲透測試團(tuán)隊(duì)為場景的移動(dòng)端信息收集掃描工具

工具介紹

一款適用于以HW行動(dòng)/紅隊(duì)/滲透測試團(tuán)隊(duì)為場景的移動(dòng)端(Android、iOS、WEB、H5、靜態(tài)網(wǎng)站)信息收集掃描工具，可以幫助滲透測試工程師、攻擊隊(duì)成員、紅隊(duì)成員快速收集到移動(dòng)端或者靜態(tài)WEB站點(diǎn)中關(guān)鍵的資產(chǎn)信息并提供基本的信息輸出,如：Title、Domain、CDN、指紋信息、狀態(tài)信息等。

環(huán)境說明

Apk文件解析需要使用JAVA環(huán)境,JAVA版本1.8及以下

Python3的運(yùn)行環(huán)境

適合場景

日常滲透測試中對(duì)APP中進(jìn)行關(guān)鍵資產(chǎn)信息收集，比如URL地址、IP地址、關(guān)鍵字等信息的采集等。

大型攻防演練場景中對(duì)APP中進(jìn)行關(guān)鍵資產(chǎn)信息收集，比如URL地址、IP地址、關(guān)鍵字等信息的采集等。

對(duì)WEB網(wǎng)站源代碼進(jìn)行URL地址、IP地址、關(guān)鍵字等信息進(jìn)行采集等(可以是開源的代碼也可以是右擊網(wǎng)頁源代碼另存為)。

對(duì)H5頁面進(jìn)行進(jìn)行URL地址、IP地址、關(guān)鍵字等信息進(jìn)行采集等。

對(duì)某個(gè)APP進(jìn)行定相信息收集等

功能介紹

 支持目錄級(jí)別的批量掃描
 支持DEX、APK、IPA、MACH-O、HTML、JS、Smali、ELF等文件的信息收集
 支持APK、IPA、H5等文件自動(dòng)下載并進(jìn)行一鍵信息收集
 支持自定義請(qǐng)求頭、請(qǐng)求報(bào)文、請(qǐng)求方法
 支持規(guī)則自定義，隨心自定義掃描規(guī)則
 支持自定義忽略資源文件
 支持自定義配置Android殼規(guī)則
 支持自定義配置中間件規(guī)則
 支持Android加固殼、iPA官方殼的檢測
 支持IP地址、URL地址、中間件(json組件和xml組件)的信息采集
 支持Android對(duì)應(yīng)包名下內(nèi)容的采集
 支持網(wǎng)絡(luò)嗅探功能，可以提供基本的信息輸出
 支持Windows系統(tǒng)、MacOS系統(tǒng)、*nux系列的系統(tǒng)
 具備簡單的AI識(shí)別功能，可以快速過濾三方URL地址
 指紋識(shí)別模塊（待寫）
 添加國際化語言包（待寫）
 一鍵對(duì)APK文件進(jìn)行自動(dòng)修復(fù)（待寫）
 識(shí)別到殼后自動(dòng)進(jìn)行脫殼處理（待寫）

工具使用

1. 安裝依賴庫

cdAppInfoScanner
python -m pip install -r requirements.txt

2.運(yùn)行(基礎(chǔ)版)

掃描Android應(yīng)用的APK文件、DEX文件、需要下載的APK文件下載地址、保存需要掃描的文件的目錄

pythonapp.pyandroid-i

掃描iOS應(yīng)用的IPA文件、Mach-o文件、需要下載的IPA文件下載地址、保存需要掃描的文件目錄

pythonapp.pyios-i

掃描Web站點(diǎn)的文件、目錄、需要緩存的站點(diǎn)URl

pythonapp.pyweb-i