工具 | 渗透中资产快速处理工具-Xtools插件

关注我们❤️，添加星标🌟，一起学安全！
作者：xboy@Timeline Sec
本文字数：1404
阅读时长：2～3min
声明：仅供学习参考使用，请勿用作违法用途，否则后果自负

0x01 前言

Xtools工具地址：

https://github.com/chasingboy/Xtools

Xtools 是一款 Sublime Text 插件，同时是一款简单的资产处理工具，在渗透测试实战过程中，有很多重复的操作，所以思考着写一款小工具来减少重复的劳动。

日常渗透中使用过一款资产文本清洗工具,使用起来感觉不错，并且添加了一些额外功能和修改了暗黑主题，在此感谢 xinyu2428 师傅：https://github.com/xinyu2428/HTML_TOOLS

在日常使用过程中，总感觉缺少了点什么。思考着继续补充 javascript 代码，发现无法和命令行进行交互，遂放弃。一番挣扎过后，发现很多时候都在使用 Sublime Text 编辑器，嗯，最后的思路就是集成在 Sublime Text 插件。这样一来，同时减少了很多的 ctl+c 和 ctl+v。

0x02 功能

1. IP、domain、url 处理
• 提取 IPv4 (内网、外网)
• IPv4 和 C 段互转
• 提取 domain（根域名、所有域名）
• 提取 url（有路径、无路径）
• 提取 router（js、text）
• 过滤 CDN 和 DNS 域名和IP（需补充）
2. 简单文本处理
• 删除特殊字符、空格、[*]、(*) （* 表示括号内的所有内容）
• 按行提取指定内容
• 按行删除指定内容
• 替换指定字典的 key 和 value
3. 简单编码和解码
• base64 编码和解码
• md5 加密
4. 调用系统命令执行
• curl 下载文件
• sqlmap
• ......（自行配置）

0x03 使用截图

1. 在文本中提取 IP。

2. 按行进行 base64 编码。

3. 按字典进行 key 和 value 替换。

4. 打开终端调用 sqlmap。

5. curl 批量下载文件，会在桌面自动创建 work 文件夹，并保存下载结果。

6. 在处理需要输入时，选择 Input Text 即可打开输入框。

0x04 配置命令行

选择 Setting Config 即可打开配置文件，并在注释的范围内添加需要的系统命令。统一格式为 "args": {"cmd":"sqlmap -r target.txt"}， 比如 slqmap，httpx，nuclei。

/* 通过 <args->cmd> 设置命令, 设置目标为 target.txt, 运行时自动替换为临时文件
                       eg: httpx -l target.txt
                       */
                    {
                        "caption": "httpx",
                        "command": "run_cmd",
                        "args": {"cmd":"httpx -sc -title -l target.txt"}
                    },
                    {
                        "caption": "nuclei",
                        "command": "run_cmd",
                        "args": {"cmd":"nuclei -l target.txt"}
                    },
                    {
                        "caption": "sqlmap",
                        "command": "run_cmd",
                        "args": {"cmd":"sqlmap -r target.txt"}
                    },

                    /* -- END -- */

⚠️注意：命令行功能目前只支持 macOS。

新增支持 windows 命令行调用

/* 通过 <args->cmd> 设置命令, 设置目标为 target.txt, 运行时自动替换为临时文件
                       eg: httpx -l target.txt
                       */
                    {
                        "caption": "httpx",
                        "command": "run_cmd",
                        "args": {"cmd":"C:\\Users\\kali\\httpx\\httpx -sc -title -l target.txt"}
                    },
                    /* -- END -- */

比如配置 httpx 命令，或者把 httpx 命令添加到环境变量。

0x05 安装

下载源码，github 下载后文件名 Xtools-main.zip，解压后需重命名为 Xtools，否则可能某些路径出错。

进入到 Sublime Text 插件目录：Preferences->Browse Packpages，把 Xtools 放在该目录下即可。

注意：python 调用 masOS 终端需要 applescript 模块，需在 Xtools 目录下解压 applescript.zip

安装报错

最近有师傅反馈，window 11 安装时出现错误，功能无法正常使用。经过调试，发现是师傅的系统用户名是中文。如果系统的用户名是中文且安装不成功，可以尝试在 xtools.py 文件自定义系统用户名。

if platform == 'windows':
    HOME = os.environ['HOMEPATH']
else:
    HOME = os.environ['HOME']

'''
如果系统的用户名是中文且安装不成功，可以尝试在 xtools.py 文件自定义系统用户名，并删除 # 注释。
'''
# HOME = "/Users/" + u"<用户名>"  # osx
# HOME = "/home/" + u"<用户名>"  # linux
# HOME = "C:\Users\" + u"<用户名>"  # windows
workdir = os.path.join(HOME,'.xtools')

0x06 特别感谢

xinyu2428 师傅 https://github.com/xinyu2428/HTML_TOOLS

linkfinder https://github.com/GerbenJavado/LinkFinder

0x07 更新记录

[+] 2023-07-15 增加 Windows 命令行调用支持。

[+] 2023-07-18 增加一键排序去重、提取 javascript 文件路由。