2018最新款渗透测试框架,Fsociety搞定各种姿势脚本
字数 2724 2025-08-18 11:37:02

Fsociety渗透测试框架详细使用指南

1. 框架概述

Fsociety是一款2018年发布的渗透测试框架,集成了多种安全测试工具,旨在为安全研究人员提供一站式的渗透测试解决方案。

1.1 主要特点

  • 集成9大类安全测试工具
  • 提供统一的命令行界面
  • 支持多种常见渗透测试场景
  • 开源项目,持续更新

1.2 工具分类

  1. 信息收集
  2. 密码攻击
  3. 无线测试
  4. 渗透工具
  5. 嗅探和欺骗
  6. Web Hacking
  7. Private Web Hacking
  8. 后期开发
  9. 安装和更新

2. 安装与配置

2.1 下载源码

git clone https://github.com/thehappydinoa/fsociety

2.2 安装步骤

  1. 进入项目目录
cd fsociety
  1. 运行安装脚本
./install.sh

注意:安装过程中可能会遇到以下问题:

  • 安装源文件网址错误(需手动修正)
  • 依赖项安装失败(需根据提示手动安装)
  1. 创建logs目录(解决NMAP日志写入问题)
mkdir logs

2.3 启动框架

fsociety

3. 功能模块详解

3.1 信息收集模块

3.1.1 NMAP

  • 功能:网络发现和安全审计
  • 使用方法:
    1. 选择NMAP选项
    2. 输入目标IP地址/子网/网段/主机
    3. 扫描结果自动保存在logs目录

3.1.2 Setoolkit

  • 功能:社会工程学工具包

3.1.3 Host To IP

  • 功能:域名解析为IP地址

3.1.4 WPScan

  • 功能:WordPress漏洞扫描

3.1.5 CMS扫描仪

  • 功能:识别网站使用的CMS系统

3.1.6 XSStrike

  • 功能:XSS漏洞扫描
  • 使用示例:
    • 自动下载并安装XSStrike模块
    • 输入目标URL进行XSS模糊测试
    • 可检测反射型XSS漏洞

3.1.7 Dork - Google Dorks被动漏洞审计

  • 功能:利用Google搜索语法发现潜在漏洞

3.2 密码攻击模块

3.2.1 Cupp

  • 功能:生成定制化的密码字典

3.2.2 Ncrack

  • 功能:网络认证破解工具

3.3 无线测试模块

3.3.1 Reaver

  • 功能:针对WPS的暴力破解工具

3.3.2 Pixiewps

  • 功能:WPS PIN离线破解工具

3.3.3 Bluetooth蜜罐

  • 功能:蓝牙设备安全测试

3.4 渗透工具模块

3.4.1 ATSCAN

  • 功能:高级搜索引擎扫描工具

3.4.2 sqlmap

  • 功能:自动化SQL注入工具

3.4.3 Shellnoob

  • 功能:shellcode生成工具

3.4.4 commix

  • 功能:自动化命令注入工具

3.4.5 FTP Auto Bypass

  • 功能:FTP服务安全测试

3.4.6 JBoss Autopwn

  • 功能:JBoss应用服务器漏洞利用

3.5 嗅探和欺骗模块

3.5.1 SSLtrip

  • 功能:SSL/TLS中间人攻击工具

3.5.2 pyPISHER

  • 功能:钓鱼攻击工具

3.5.3 SMTP邮件程序

  • 功能:邮件服务安全测试

3.6 Web Hacking模块

3.6.1 Drupal Hacking

  • 功能:Drupal CMS漏洞利用

3.6.2 Inurlbr

  • 功能:高级搜索引擎扫描

3.6.3 Wordpress和Joomla扫描

  • 功能:CMS系统漏洞扫描

3.6.4 Gravity Form Scanner

  • 功能:WordPress Gravity Forms插件扫描

3.6.5 文件上传检查工具

  • 功能:测试文件上传漏洞

3.6.6 WordPress利用扫描工具

  • 功能:WordPress漏洞利用

3.6.7 Wordpress插件扫描工具

  • 功能:WordPress插件漏洞扫描

3.6.8 Shell and Directory Finder

  • 功能:查找Webshell和敏感目录

3.6.9 Joomla!1.5 - 3.4.5远程代码执行

  • 功能:Joomla特定版本漏洞利用

3.6.10 Vbulletin 5.X远程代码执行

  • 功能:Vbulletin论坛系统漏洞利用

3.6.11 BruteX

  • 功能:自动化暴力破解所有服务

3.6.12 Arachni

  • 功能:Web应用程序安全扫描框架

3.7 Private Web Hacking模块

3.7.1 获取所有网站

  • 功能:目标网站信息收集

3.7.2 获取joomla网站

  • 功能:识别Joomla网站

3.7.3 获取WordPress的网站

  • 功能:识别WordPress网站

3.7.4 Control Panel Finder

  • 功能:查找网站管理后台

3.7.5 Zip Files Finder

  • 功能:查找网站上的zip文件

3.7.6 Upload File Finder

  • 功能:查找文件上传功能

3.7.7 Get server users

  • 功能:获取服务器用户信息

3.7.8 SQli Scanner

  • 功能:SQL注入漏洞扫描

3.7.9 Ports Scan (range of ports)

  • 功能:指定端口范围扫描

3.7.10 ports Scan (common ports)

  • 功能:常见端口扫描

3.7.11 Get server Info

  • 功能:获取服务器信息

3.7.12 Bypass Cloudflare

  • 功能:绕过Cloudflare防护

3.8 后期开发模块

3.8.1 Shell Checker

  • 功能:Webshell连接测试

3.8.2 POET

  • 功能:后期开发工具

3.8.3 Weeman

  • 功能:HTTP服务器钓鱼工具

4. 使用示例

4.1 NMAP扫描示例

  1. 启动Fsociety框架
  2. 选择信息收集模块
  3. 选择NMAP工具
  4. 输入目标IP地址(如192.168.1.1)
  5. 查看扫描结果(保存在logs/nmap-日期时间.log)

4.2 XSStrike使用示例

  1. 启动Fsociety框架
  2. 选择Web Hacking模块
  3. 选择XSStrike工具(首次使用会自动安装)
  4. 输入目标URL(如http://example.com/search.php?q=test)
  5. 等待扫描完成,查看发现的XSS漏洞

5. 注意事项

  1. 该框架仍处于beta版本,可能存在各种小BUG
  2. 部分模块需要额外依赖,需根据提示手动安装
  3. 使用前请确保已获得目标系统的测试授权
  4. 某些功能可能触发安全防护系统,使用时需谨慎
  5. 建议在测试环境中先熟悉工具功能

6. 总结

Fsociety渗透测试框架集成了多种安全测试工具,通过统一的命令行界面提供了便捷的操作方式。虽然仍处于beta阶段,但已经能够满足基本的渗透测试需求。使用者可以根据实际测试场景选择合适的工具模块,提高安全测试效率。

重要声明:本工具仅限合法授权的安全测试使用,未经授权对他人系统进行测试可能违反法律。

Fsociety渗透测试框架详细使用指南 1. 框架概述 Fsociety是一款2018年发布的渗透测试框架,集成了多种安全测试工具,旨在为安全研究人员提供一站式的渗透测试解决方案。 1.1 主要特点 集成9大类安全测试工具 提供统一的命令行界面 支持多种常见渗透测试场景 开源项目,持续更新 1.2 工具分类 信息收集 密码攻击 无线测试 渗透工具 嗅探和欺骗 Web Hacking Private Web Hacking 后期开发 安装和更新 2. 安装与配置 2.1 下载源码 2.2 安装步骤 进入项目目录 运行安装脚本 注意 :安装过程中可能会遇到以下问题: 安装源文件网址错误(需手动修正) 依赖项安装失败(需根据提示手动安装) 创建logs目录(解决NMAP日志写入问题) 2.3 启动框架 3. 功能模块详解 3.1 信息收集模块 3.1.1 NMAP 功能:网络发现和安全审计 使用方法: 选择NMAP选项 输入目标IP地址/子网/网段/主机 扫描结果自动保存在logs目录 3.1.2 Setoolkit 功能:社会工程学工具包 3.1.3 Host To IP 功能:域名解析为IP地址 3.1.4 WPScan 功能:WordPress漏洞扫描 3.1.5 CMS扫描仪 功能:识别网站使用的CMS系统 3.1.6 XSStrike 功能:XSS漏洞扫描 使用示例: 自动下载并安装XSStrike模块 输入目标URL进行XSS模糊测试 可检测反射型XSS漏洞 3.1.7 Dork - Google Dorks被动漏洞审计 功能:利用Google搜索语法发现潜在漏洞 3.2 密码攻击模块 3.2.1 Cupp 功能:生成定制化的密码字典 3.2.2 Ncrack 功能:网络认证破解工具 3.3 无线测试模块 3.3.1 Reaver 功能:针对WPS的暴力破解工具 3.3.2 Pixiewps 功能:WPS PIN离线破解工具 3.3.3 Bluetooth蜜罐 功能:蓝牙设备安全测试 3.4 渗透工具模块 3.4.1 ATSCAN 功能:高级搜索引擎扫描工具 3.4.2 sqlmap 功能:自动化SQL注入工具 3.4.3 Shellnoob 功能:shellcode生成工具 3.4.4 commix 功能:自动化命令注入工具 3.4.5 FTP Auto Bypass 功能:FTP服务安全测试 3.4.6 JBoss Autopwn 功能:JBoss应用服务器漏洞利用 3.5 嗅探和欺骗模块 3.5.1 SSLtrip 功能:SSL/TLS中间人攻击工具 3.5.2 pyPISHER 功能:钓鱼攻击工具 3.5.3 SMTP邮件程序 功能:邮件服务安全测试 3.6 Web Hacking模块 3.6.1 Drupal Hacking 功能:Drupal CMS漏洞利用 3.6.2 Inurlbr 功能:高级搜索引擎扫描 3.6.3 Wordpress和Joomla扫描 功能:CMS系统漏洞扫描 3.6.4 Gravity Form Scanner 功能:WordPress Gravity Forms插件扫描 3.6.5 文件上传检查工具 功能:测试文件上传漏洞 3.6.6 WordPress利用扫描工具 功能:WordPress漏洞利用 3.6.7 Wordpress插件扫描工具 功能:WordPress插件漏洞扫描 3.6.8 Shell and Directory Finder 功能:查找Webshell和敏感目录 3.6.9 Joomla !1.5 - 3.4.5远程代码执行 功能:Joomla特定版本漏洞利用 3.6.10 Vbulletin 5.X远程代码执行 功能:Vbulletin论坛系统漏洞利用 3.6.11 BruteX 功能:自动化暴力破解所有服务 3.6.12 Arachni 功能:Web应用程序安全扫描框架 3.7 Private Web Hacking模块 3.7.1 获取所有网站 功能:目标网站信息收集 3.7.2 获取joomla网站 功能:识别Joomla网站 3.7.3 获取WordPress的网站 功能:识别WordPress网站 3.7.4 Control Panel Finder 功能:查找网站管理后台 3.7.5 Zip Files Finder 功能:查找网站上的zip文件 3.7.6 Upload File Finder 功能:查找文件上传功能 3.7.7 Get server users 功能:获取服务器用户信息 3.7.8 SQli Scanner 功能:SQL注入漏洞扫描 3.7.9 Ports Scan (range of ports) 功能:指定端口范围扫描 3.7.10 ports Scan (common ports) 功能:常见端口扫描 3.7.11 Get server Info 功能:获取服务器信息 3.7.12 Bypass Cloudflare 功能:绕过Cloudflare防护 3.8 后期开发模块 3.8.1 Shell Checker 功能:Webshell连接测试 3.8.2 POET 功能:后期开发工具 3.8.3 Weeman 功能:HTTP服务器钓鱼工具 4. 使用示例 4.1 NMAP扫描示例 启动Fsociety框架 选择信息收集模块 选择NMAP工具 输入目标IP地址(如192.168.1.1) 查看扫描结果(保存在logs/nmap-日期时间.log) 4.2 XSStrike使用示例 启动Fsociety框架 选择Web Hacking模块 选择XSStrike工具(首次使用会自动安装) 输入目标URL(如http://example.com/search.php?q=test) 等待扫描完成,查看发现的XSS漏洞 5. 注意事项 该框架仍处于beta版本,可能存在各种小BUG 部分模块需要额外依赖,需根据提示手动安装 使用前请确保已获得目标系统的测试授权 某些功能可能触发安全防护系统,使用时需谨慎 建议在测试环境中先熟悉工具功能 6. 总结 Fsociety渗透测试框架集成了多种安全测试工具,通过统一的命令行界面提供了便捷的操作方式。虽然仍处于beta阶段,但已经能够满足基本的渗透测试需求。使用者可以根据实际测试场景选择合适的工具模块,提高安全测试效率。 重要声明 :本工具仅限合法授权的安全测试使用,未经授权对他人系统进行测试可能违反法律。