My Tool


한 1년 정도 전부터 만들던(하지만 조금 만들다 그냥 묵혀두었던 -_-;)... Secuholic Web Exploit Framework  

베타 버전을 공개합니다. 지금 완성된 것은 애초 기획했던 plugin 중 exploit finder 뿐이지만 그냥 먼저 올려둡니다. 

아직 이 조차도 조금 미완성이지만 exploit 을 검색하는 용도로는 나름 괜찮은 듯 해서 미리 올려둡니다. 

앞으론 열심히 만들어서 애초 목표인 Web Exploit Framework 가 될 수 있도록 노력하겠습니다 ㅎㅎ 


사용법은 아주 간단합니다. 그냥 키워드만 입력하시면 공개된 exploit 들을 찾아줍니다. 바로 다운로드도 가능하구요.

버그나 개선사항 등은 언제든지 쪽지&메일 주시면 겸허히 받아들이고 개선 하도록 하겠습니다. 



 

 

 

SecuWEF_v0.2.zip

 





'My Tool' 카테고리의 다른 글

SeWEF - Secuholic Web Exploit Framework 제작기  (2) 2013.04.26


안녕하세요. 요즘 SeWEF 라는 툴킷을 새로 개발하고 있습니다.


정식 풀네임은 Secuholic Web Exploit Framework 이고, 웹 수작업 점검시 필요한 부분들을 자동화 하는 것을


목표로 여러가지 툴들을 만들고 있습니다. 완성시키기 까지는 꽤 긴 시간이 걸릴 듯 하여 중간중간 체크도 하고 스스


로 채찍질도 할 겸(?) 제작하는 동안 간단한 일지 형식으로 정리를 하려 합니다. 



                                                          [그림1] 외부 디자인

              

                    # 툴킷의 목표


1. 수작업 점검에 들어가는 단순노동 자동화

2. 기존 스캐너로 점검이 불가능한 부분 자동화

3. 필요에 따라 확장성이 있도록 모듈화한 프레임워크 형태



  # 제작도구

1. 작성언어 : python ( 사랑해요 파이썬 )

2. GUI : wxpython 

3. 개발환경 : sublime text2 



  # 현재 기획&작업 중인 모듈


1. S-Exploit Finder ( 90% 개발 진행)

 - exploit 코드 검색 및 다운로드

 - 주요 exploit 사이트 및 구글에서 코드를 검색

    [ exploit-db , metasploit, packetstorm, google...etc ]

 - 검색된 코드 viewer 구현 및 download 기능 구현


2. S-Spider ( 20% 개발 진행 )

 - 웹컨텐츠 스파이더링 기능 (ajax 포함)

 - 사이트 정보 및 플랫폼 정보 등 수집

    [ 배너정보, web/was 정보 및 OS 정보, 포트 정보, https 여부 등 ]

 - 관리자 및 백업/임시파일 등 컨텐츠 탐색 기능

 - 구글링

    [ error 페이지, db정보, 불필요 정보, admin 페이지 정보 등, 문서 수집 후 메타 데이터 분석 등 ]


3. S-SQLier ( 10% 개발 진행 )
 -  SQL Injection 관련 자동화 툴
 -  자동 점검 ( union, blind, error, false ... etc )
 -  BlindSQL 도우미
 -  수동 Payload 입력 지원 
 -  filter finder 및 evasion
 -  outbound query 지원(쿼리/DNS등)
 -  추가적인 공격기능(파일업로드/다운로드/명령 실행 등)

4. S-Decoder
 - 기본 인코딩/디코딩 및 필터링 우회 payload 생성툴
 - Hash ( MD4, MD5, SHA1, SHA256 CRC32, Whirlpool ) 
 - Encode/Decode ( xor, hex, url, base64, Upper, Lower, Reverse, Randomize, ... ) 
 - Encrypt/Decrypt ( ROT, Caesar, XOR, RC4, RC5, DES, 3DES, AES, Blowfish, SEED... )
 - Rainbow Table online searching
 - SQL Encoder ( mysql/mssql/oracle char, space, concat, ... )
 - JS Escape/UnEscape
 - JS 난독화(소스코드 레벨)
 - XSS 난독화( ex: alert(0) -> eval("al"+"er"+"t(0)") 등)

5. S-Cracker
 - 웹 인증 크랙(brute forcing/dict attack)
 - 구글 검색을 통한 사전 생성(수집한 정보를 기반으로 한국형 패스워드사전 생성)

6. S-ActXFuzzer 
 - Activex 점검용 툴

 - pydbg 이용






'My Tool' 카테고리의 다른 글

Secuholic Web Exploit Framework - Exploit Finder 베타버전  (3) 2014.03.04

+ Recent posts