我们都知道:渗透测试框架有Metasploit,Metasploit有多好我就不多说了。现在又出现了新的一种渗透测试框架,那就是Fsociety。
一、Fsociety简介
Fsociety既是一款黑客工具包,也是渗透测试框架,从而您将获得黑客需要的每个脚本 。
Fsociety包含Mr. Robot系列中使用的所有工具。
Fsociety菜单
信息收集
密码攻击
无线测试
漏洞开发\利用工具
嗅探和欺骗
Web黑客
私人Web黑客
Post利用
贡献者
安装与更新
Fsociety信息收集工具:
Nmap
Setoolkit
Host To IP
WPScan
CMS Scanner
XSStrike
Dork - Google Dorks Passive Vulnerability Auditor
Scan A server's Users
Crips
Fsociety密码攻击工具:
Cupp
Ncrack
Fsociety无线测试工具:
Reaver
Pixiewps
Bluetooth Honeypot
Fsociety漏洞开发\利用工具:
ATSCAN
sqlmap
Shellnoob
Commix
FTP Auto Bypass
JBoss Autopwn
Fsociety嗅探和欺骗工具:
Setoolkit
SSLtrip
pyPISHER
SMTP Mailer
Fsociety Web黑客工具:
Drupal Hacking
Inurlbr
WordPress & Joomla Scanner
Gravity Form Scanner
File Upload Checker
WordPress Exploit Scanner
WordPress Plugins Scanner
Shell and Directory Finder
Joomla! 1.5 - 3.4.5 远程代码执行
Vbulletin 5.X 远程代码执行
BruteX - 自动强制执行目标上运行的所有服务
Arachni - Web应用程序安全扫描程序框架
Fsociety私人Web黑客工具:
Get all websites
Get joomla websites - 获取joomla网站,joomla CMS
Get wordpress websites - 获取wordpress网站,
Control Panel Finder - 控制面板查找器
Zip Files Finder - Zip文件查找器
Upload File Finder - 上传文件查找器
Get server users - 获取服务器用户
SQli Scanner - SQli扫描仪
Ports Scan (range of ports) - 端口扫描(端口范围)
Ports Scan (common ports) - 端口扫描(公共端口)
Get server Info - 获取服务器信息
Bypass Cloudflare - 绕过Cloudflare,Cloudflare是一款类似于国内百度CDN的安全工具,据说百度云加速和Cloudflare已合作多年。
Fsociety Post利用工具:
Shell Checker
POET
Weeman
二、Fsociety下载、安装
由于Fsociety的特殊性,下载和安装我就一起讲了。
Fsociety github网址:https://github.com/Manisso/fsociety(其实,已经知道了github网址后,下载的方法可以说有很多的,这里就不具体说了!)
Linux下载与安装:
root@kali:~# cd /usr/local
root@kali:/usr/local# touch install.sh
root@kali:/usr/local# wget -qO- https://git.io/vAtmB bash > install.sh
root@kali:/usr/local# bash install.sh
后面可能会弹出一些窗口,说让你“重新启动GNU libc库升级的服务”,选择“OK”回车就可以了。
提示:也可以直接去“https://raw.githubusercontent.com/Manisso/fsociety/master/install.sh”下载,直接"bash install.sh"安装也行的。
Windows下载与安装:
由于Windows默认没有装python,也不能运行Linux下面的各种命令,因此我们需要安装一个类似于Cygwin(Cygwin是一个在windows平台上运行的类UNIX模拟环境)。博主这里已经安装了其它的工具PentestBox。具体操作步骤如下:
1、由于是Windows,我们又知道Fsociety github网址,我只需要直接去github下载ZIP文件或克隆即可!
2、将 fsociety-master.zip 下载到 F:\PentestBox 下,并解压。
或者
启动PentestBox.exe,切换到F盘,cd 进入到“F:\PentestBox”下,再输入如下命令:
> git clone https://github.com/Manisso/fsociety.git
三、Fsociety启动
由于使用不同的方法,安装的路径是不一样的,我就说说我此篇文章不同的系统不同的安装方法,安装成功后放的位置以及启动方式吧!
总之,一句话:Fsociety启动只需要找到Fsociety安装位置,再执行“python fsociety.py"命令即可!
Linux下fsociety启动 :
由于我的安装方法是这样的,因此我的fsociety是安装到“/root/.fsociety”这个路径的,启动也很简单。
root@kali:~# cd /root/.fsociety
root@kali:~/.fsociety# python fsociety.py
Windows下fsociety启动:
由于我是直接下载的zip到F:\PentestBox,我启动就更加的简单了。先启动PentestBox,再执行如下命令:
C:\Users\fujie\Desktop
> f:
F:\PentestBox
> cd fsociety-master\
F:\PentestBox\fsociety-master
> python fsociety.py
提醒:其实,当你懂了原理后,无论是Linux还是Windows,无论是下载,还是安装,还是启动,几乎都是一样的,因为Windows现在只需要装UNIX模拟环境,也可以像Linux那样去操作了。
四、Fsociety使用 教程
Fsociety比Metasploit操作简单多了,更加的适合新手,不信大家来看看就明白了!
1、启动Fsociety,具体如何启动我就不多说了。
2、选择一个菜单,这里我选择“ {6}--Web Hacking”WEB黑客。只需要输入6回车即可!
3、我们再选择Wordpress漏洞扫描程序“ {6}--Wordpress Exploit Scanner”,再一次输入6回车即可!
4、输入IP并回车,当你不确定别人网站准IP的时候,我就直接输入网址吧!结果全是0;
5、走到这一步,如果想返回怎么办呢?只需要在后面输入“return"再回车即可返回!
总结:到此为止,fsociety基本上所有的东西都算讲完了,关于fsociety各个分类的工具,大家就要自己去亲自多测试测试了。