siusiu-滲透工具管理套件

siusiu （suitesuite）

一個用來管理 suite 的 suite，志在將滲透測試工程師從各種安全工具的學習和使用中解脫出來，減少滲透測試工程師花在安裝工具、記憶工具使用方法上的時間和精力。

Features

siusiu提供了一個shell控制臺，通過該控制臺，可以：

• 查看第三方安全工具列表
• 自動安裝第三方安全工具
• 運行第三方安全工具
• 查看第三方安全工具的說明文檔與使用樣例（通過demos命令）

同時siusiu也支持非交互模式，便于siusiu被其他程序調用，例如：siusiu exec help

Usage：

siusiu > help

Commands:
  GitHack                    .git泄漏利用腳本
  Glass                      針對資產列表的快速指紋識別工具
  SecList                    各種字典、webshell合集
  TPscan                     一鍵ThinkPHP漏洞檢測
  Vulcan                     資產掃描工具(紅隊)
  XMLmining                  從xlsx、pptx、docx 文件的metadata中挖掘有用信息的工具
  arp-spoofing               局域網內主機掃描，ARP投毒、中間人攻擊、敏感信息嗅探，HTTP報文嗅探
  backup-dict                生成網站備份字典
  baidu                      baidu url采集
  c-segment-scan             c段弱點發現
  clear                      clear the screen
  cms-fingerprint            cms指紋識別
  demos                      獲取工具的使用樣例
  dir-collector              采集某個項目的所有目錄名
  dirsearch                  目錄掃描器
  ds_store_exp               macOS .DS_Store文件泄漏利用腳本
  dvcs-ripper                SVN 泄漏利用腳本
  exit                       exit the program
  help                       display help
  influx                     influx 配置疏忽漏洞利用
  nmap                       端口掃描器
  one-for-all                一款功能強大的子域名收集工具
  passwd-based-domain        基于域名生成若口令字典,常用于爆破網站后臺密碼
  passwd-based-userinfo      基于用戶資料生成弱口令字典
  passwd-guess               弱口令爆破器,支持:ssh,ftp,mysql,redis,mssql,postgresql,mongodb
  pocsuite3-cli              poc框架(命令行模式)
  pocsuite3-console          poc框架(控制臺模式)
  port-scan                  主動掃描端口
  proxy-collector            代理采集
  shiro-attack               shiro反序列化漏洞綜合利用工具(GUI)
  shodan                     通過shodan被動掃描目標主機
  sqlmap                     自動化sql注入工具
  url-collector              搜索引擎URL采集器(goole,bing)
  vim-swp-exp                vim swp 文件泄漏利用工具
  wafw00f                    waf指紋識別
  whois                      whois查詢
  zenmap                     nmap-gui 版本,一個端口掃描器

Installation：

wget https://gitee.com/nothing-is-nothing/siusiu/raw/master/setup.sh
chmod +x setup.sh
./setup.sh
siusiu

Screenshots：

如果用戶未安裝pocsuite3，則自動下載 pocsuite3,然后自動運行

在siusiu控制臺中運行sqlmap和dirsearch

Tested On

• MacOS
• CentOS7
• Ubuntu

Develop

如果您有其他好的安全工具也想集成到siusiu中，可以按照如下步驟操作：

step1. 在siusiu安裝目錄（$HOME/src/siusiu）下創建對應的工具目錄（建議以工具名命名,例如：dirsearch），并在該目錄下創建該工具的shell腳本 run.sh，例如：

#!/bin/bash
base_path=$HOME/src
dirsearch_path=$base_path/dirsearch

function download {
    git clone https://github.com.cnpmjs.org/maurosoria/dirsearch.git $1
    cd $1
    pip3 install -r requirements.txt
}

#1.檢查程序目錄是否存在
if [ ! -d $dirsearch_path ]; then
    #2.如果不存在就下載
    echo "[*] download dirsearch..."
    download $dirsearch_path
fi
#運行dirsearch
python3 $dirsearch_path/dirsearch.py $*

step2. 在config.json 配置文件中添加對應工具，例如：

        {
            "Name": "dirsearch",
            "Help": "目錄掃描器",
            "Run": "dirsearch/run.sh"
        },

其中name為工具名，help為工具描述，run為該工具的run.sh在myvendor目錄下的相對路徑。

為工具編寫demo文檔

不知道你是否也曾有過這樣的煩惱：每天疲于學習各種工具的使用方法，當真正需要使用某個工具的時候，卻一時半會兒想不起某個工具怎么用，這時你翻開了你的筆記本，找呀找，終于找到了以前的筆記。

關于這個問題，siusiu提供一種解決方案：將工具的使用文檔或者常用demo集成在shell控制臺中，需要時直接通過命令：demos+工具名，查看即可。

你可以將你常用的一些命令demo，以markdown文檔的方式寫在 $HOME/src/siusiu/myvendor/demos 目錄下，siusiu控制臺會自動讀取該目錄。

例如為sqlmap編寫常用demo文檔：

# sqlmap demoes

```shell
# -m 批量掃描 —batch 全部采用默認行為，不向用戶請求y/n,并且使用隨機的user—agnet
sqlmap -m temp2.txt --batch --random-agent> result.txt

# 嘗試獲取所有數據庫名
sqlmap -u url --dbs —-random-agent --batch

# 獲取表名
sqlmap -u url --tables —-random-agent --batch

# 嘗試獲取所有用戶:
sqlmap -u url --users --random-agent --batch

# 嘗試獲取賬號密碼:
sqlmap -u url --password --random-agent --batch

# 嘗試獲取當前用戶:
sqlmap -u url --current-user --random-agent --batch

# 測試當前用戶權限:
sqlmap -u url --is-dba --random-agent --batch

# 嘗試寫入木馬,getshell
sqlmap -u url --os-shell --random-agent --batch

# 執行指定的sql語句
sqlmap.py -u url -v 1 --sql-query 'select top 20 * from City'

在siusiu控制臺中通過 demos sqlmap.md 即可查看該文檔。