批量网站备份文件扫描器 -- ihoneyBakFileScan_Modify - 文章 - 开发者社区

一、工具介绍

批量网站备份文件扫描器，增加文件规则，优化内存占用。网站备份文件泄露可能造成的危害：

网站存在备份文件：网站存在备份文件，例如数据库备份文件、网站源码备份文件等，攻击者利用该信息可以更容易得到网站权限，导致网站被黑。
敏感文件泄露是高危漏洞之一，敏感文件包括数据库配置信息，网站后台路径，物理路径泄露等，此漏洞可以帮助攻击者进一步攻击，敞开系统的大门。
由于目标备份文件较大（xxx.G），可能存在更多敏感数据泄露
该备份文件被下载后，可以被用来做代码审计，进而造成更大的危害
该信息泄露会暴露服务器的敏感信息，使攻击者能够通过泄露的信息进行进一步入侵。

picture.image

二、安装与使用 1、常见后缀：


        
 `['.zip','.rar','.tar.gz','.tgz','.tar.bz2','.tar','.jar','.war','.7z','.bak','.sql','.gz','.sql.gz','.tar.tgz']`

2、根据域名自动生成相关扫描字典


        
  `python3 ihoneyBakFileScan_Modify.py -u https://baidu.com -t 1000 -o test.txt`
  `['baidu.com', 'baiducom', 'baidu_com', 'com', 'com', 'com', 'baidu', 'com']`
 
  `python3 ihoneyBakFileScan_Modify.py -u https://www.baidu.com -t 1000 -o test.txt`
  `['www.baidu.com', 'wwwbaiducom', 'www_baidu_com', 'baiducom', 'baidu.com', 'baidu_com', 'www', 'baidu']`
 
  `python3 ihoneyBakFileScan_Modify.py -u https://aaa.www.baidu.com -t 1000 -o test.txt`
  `['aaa.www.baidu.com', 'aaawwwbaiducom', 'aaa_www_baidu_com', 'wwwbaiducom', 'www.baidu.com', 'www_baidu_com', 'aaa', 'www']`
 
  `python3 ihoneyBakFileScan_Modify.py -u https://aaa.bbb.www.baidu.com -t 1000 -o test.txt`
  `['aaa.bbb.www.baidu.com', 'aaabbbwwwbaiducom', 'aaa_bbb_www_baidu_com', 'bbbwwwbaiducom', 'bbb.www.baidu.com', 'bbb_www_baidu_com', 'aaa', 'bbb']`

3、常见备份文件名，字典于代码中可自行切换,


        
  `tmp_info_dic = ['1','127.0.0.1','2010','2011','2012','2013','2014','2015','2016','2017','2018','2019','2020','2021','2022','2023','2024','2025','__zep__/js','admin','archive','asp','aspx','auth','back','backup','backups','bak','bbs','bin','clients','code','com','customers','dat','data','database','db','dump','engine','error_log','faisunzip','files','forum','home','html','index','joomla','js','jsp','local','localhost','master','media','members','my','mysql','new','old','orders','php','sales','site','sql','store','tar','test','user','users','vb','web','website','wordpress','wp','www','wwwroot','root']`
  `#tmp_info_dic = ['__zep__/js','0','00','000','012','1','111','123','127.0.0.1','2','2010','2011','2012','2013','2014','2015','2016','2017','2018','2019','2020','2021','2022','2023','2024','2025','234','3','333','4','444','5','555','6','666','7','777','8','888','9','999','a','about','admin','app','application','archive','asp','aspx','auth','b','back','backup','backups','bak','bbs','beifen','bin','cache','clients','code','com','config','core','customers','dat','data','database','db','download','dump','engine','error_log','extend','files','forum','ftp','home','html','img','include','index','install','joomla','js','jsp','local','login','localhost','master','media','members','my','mysql','new','old','orders','output','package','php','public','root','runtime','sales','server','shujuku','site','sjk','sql','store','tar','template','test','upload','user','users','vb','vendor','wangzhan','web','website','wordpress','wp','www','wwwroot','wz','数据库','数据库备份','网站','网站备份']`

4、批量url扫描


        
 `python3 ihoneyBakFileScan\_Modify.py -t 100 -f url.txt -o result.txt`

5、单个url扫描


        
  `python3 ihoneyBakFileScan_Modify.py -u https://www.baidu.com/ -o result.txt`
  `python3 ihoneyBakFileScan_Modify.py -u www.baidu.com -o result.txt`
  `python3 ihoneyBakFileScan_Modify.py -u www.baidu.com -d dict.txt -o result.txt`

如有侵权，请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell

「超详细 | 分享」手把手教你如何进行内网渗透

神兵利器 | siusiu-渗透工具管理套件

一款功能全面的XSS扫描器

实战 | 一次利用哥斯拉马绕过宝塔waf

BurpCrypto: 万能网站密码爆破测试工具

快速筛选真实IP并整理为C段 -- 棱眼

自动探测端口顺便爆破工具t14m4t

渗透工具｜无状态子域名爆破工具（1秒扫160万个子域）

查看更多精彩内容，还请关注 橘猫学安全：

每日坚持学习与分享，觉得文章对你有帮助可在底部给点个“ 再看 ”