如何使用LinkFinder在JavaScript文件中查找网络节点

新闻资讯   2023-07-19 18:58   68   0  


 关于LinkFinder 


LinkFinder是一款功能强大的Python脚本,在该工具的帮助下,广大研究人员可以轻松在JavaScript文件中发现和扫描网络节点及其相关参数。这样一来,渗透测试人员和漏洞猎人将能够快速在测试的目标网站伤收集新的隐藏节点了。


该工具通过使用jsbeautifier和Python以及大量正则表达式来实现其功能,这些正则表达式由四个小正则表达式组成,它们负责发现:


1、完整URL地址,例如https://example.com/*;

2、绝对URL地址或点分URL,例如/\*或../*;

3、包含至少一个/的相对URL地址;

4、不带/的相对URL地址;


该工具会将输出结果以HTML或明文文本的形式呈现,并提供了一个专门的Chrome扩展,有需要的用户可以点击【https://github.com/GerbenJavado/LinkFinder/tree/chrome_extension】获取。


 工具依赖 


该工具的正常运行需要使用argparse和jsbeautifier Python模块,我们可以直接使用pip来完成依赖组件的安装。


 工具安装 


由于该工具基于Python 3开发,因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地,并执行工具安装脚本完成LinkFinder的安装:


$ git clone https://github.com/GerbenJavado/LinkFinder.git
$ cd LinkFinder
$ python setup.py install


接下来,使用pip3命令和项目提供的requirements.txt完成工具依赖组件的安装:


$ pip3 install -r requirements.txt

Docker安装


构建Docker镜像:


docker build -t linkfinder

使用Docker运行:


docker run --rm -v $(pwd):/linkfinder/output linkfinder -i http://example.com/1.js -o /linkfinder/output/output.html


确保使用/linkfinder/output作为你的输出路径。


 单元测试 


工具的单元测试需要使用到pytest:


pytest test_parser.py


 工具参数 


短命令

长命令

命令描述

-i

--input

输入一个URL、文件或目录,目录可以使用通配符,例如'/*.js'

-o

--output

将输出结果打印到STDOUT,默认会将结果存储到HTML文件中,例如output.html

-r

--regex

使用正则表达式过滤节点,例如^/api/

-d

--domain

在分析整个域时使用,可以切换并枚举所有找到的JS文件

-b

--burp

当Burp结果文件中包含多个JS文件时,可以切换使用

-c

--cookies

向请求中添加Cookie

-h

--help

显示工具帮助信息和退出


 工具运行样例 


在线上JavaScript文件中查找网络节点,并将结果输出到results.html文件中:


python linkfinder.py -i https://example.com/1.js -o results.html


命令行/STDOUT输出:


python linkfinder.py -i https://example.com/1.js -o cli

分析整个域名以及相关的JS文件:


python linkfinder.py -i https://example.com -d

Burp输入:


python linkfinder.py -i burpfile -b

枚举整个文件夹中的JavaScript文件,搜索以/api/开头的网络节点,并将结果存储到results.html文件中:


python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html


 工具运行截图 



 许可证协议 


本项目的开发与发布遵循MIT开源许可证协议。


 项目地址 


LinkFinderhttps://github.com/GerbenJavado/LinkFinder


FreeBuf粉丝交流群招新啦!

在这里,拓宽网安边界

甲方安全建设干货;

乙方最新技术理念;

全球最新的网络安全资讯;

群内不定期开启各种抽奖活动;

FreeBuf盲盒、大象公仔......

扫码添加小蜜蜂微信回复“加群”,申请加入群聊



https://github.com/beautify-web/js-beautify

https://pypi.python.org/pypi/pip




文章引用微信公众号"FreeBuf",如有侵权,请联系管理员删除!

博客评论
还没有人评论,赶紧抢个沙发~
发表评论
说明:请文明发言,共建和谐网络,您的个人信息不会被公开显示。