ASSCAN-自动子网扫描仪

工具介绍

ASSCAN是一个出色的自组织脚本运行平台。它具有REST API来提交扫描作业和查询结果，这些作业或查询结果全部或已通过某些条件过滤，包括网络前缀，发现的开放端口或发现的漏洞。它还具有一个Web GUI。

服务器部分是用Python3在tornadoweb框架之上编写的。扫描作业作为外壳脚本或命令运行。通过读取xml文件（masscan，nmap）或仅解析扫描工具/脚本的文本输出来解释扫描结果。

Web UI是Vue单页应用程序。我从来没有为任何内容创建Web前端，所以我正在使用javascript。我认识的一些人建议我将Vue vuex tailwind技术堆栈用于GUI，我认为结果很好。

ASSCAN本身绝对没有内置安全措施。目前，它不以任何方式验证用户的输入（可通过PR修复此问题来做出贡献）。由于大多数扫描作业都是由未经验证的用户输入构造的Shell命令，因此任何有权访问GUI的人都可以立即安装整个运行的框。还要注意，要使nmap和masscan运行，服务器进程应该最方便地以root身份运行。您可以以非root用户身份运行主进程，并对其进行sudo nmap和masscan进程处理，这当然不会带来任何安全利益。

工具安装

ASSCAN已开发，测试并打算在最新的Kali盒子上运行。最好将计算机或VM专用于运行它，以减轻意外的root访问运行ASSCAN的计算机的影响。

依赖关系
ASSCAN依赖于许多第三方工具。这是安装依赖项的方法（假设我们使用的是最新的Kali系统）：

sudo apt -y install python-pip python3-pip xvfb xdotool bc phantomjs imagemagicksudo pip2 install vncdotool
sudo pip3 install webscreenshot
sudo apt -y install golang
sudo go get github.com/ffuf/ffuf
sudo cp /root/go/bin/ffuf /usr/local/bin # how do i install this in /usr/local

要开发UI，请安装npm（可能是vue-cli），在ui / asscan中编辑文件，然后运行npm install并npm run serve访问开发服务器或npm run build生成新版本。

此存储库中包含以下第三方依赖项或部分第三方依赖项：

• RDP-screenshotter，以修改的形式提供。根据来源，此处的RDP-screenshotter及其修??改版本已获得GNU GPL v3的许可。许可证信息保留在脚本文件中。

• 该quickhits.txt单词表是从SecLists库，根据MIT许可证授权

工具运行

以./server.py超级用户身份运行脚本。然后，http://localhost:8888/在浏览器中打开。

文章来源：

https://github.com/rekonnain/asscan