当前位置：首页 > news >正文

如何使用Arsenal快速部署功能强大的Bug Bounty工具

news 2025/6/21 9:49:41

关于Arsenal

Arsenal是一个功能强大且使用简单的Shell脚本（Bash），该工具专为漏洞赏金猎人设计，在该工具的帮助下，我们可以轻松在自己环境中安装并部署目前社区中功能最为强大的网络侦查工具、漏洞扫描工具和其他安全研究工具。与此同时，该工具还可以完成相关依赖组件的自动化安装，并将所有安全工具存储在本地设备上。

工具要求

1、Python 3

2、Git

3、Ruby

4、Wget

5、Golang

6、Rust

Arsenal工具箱

** 工具名称**

** 工具描述**

—|—

Amass

OWASP Amass项目，可通过开源信息收集技术和主动网络侦查技术执行攻击面网络映射和外部资产扫描；

ffuf

基于Go开发的快速Web模糊测试工具；

dnsX

快速多功能DNS安全研究工具，支持发送多个DNS请求；

meg

meg支持获取大量URL且对目标服务器友好；

功能强大的grep封装器；

XnLinkFinder

通过爬取目标网络发现多个终端节点；

httpX

httpx是一款快速多功能HTTP工具，支持使用retryablehttp 库运行多个探针，可通过增加线程保持结果的稳定性；

Gobuster

Gobuster可用于执行暴力破解任务；

Nuclei

Nuclei是一款基于Golang开发的安全工具，可以基于Nuclei模版快速向多个目标发送请求；

Subfinder

Subfinder是一款子域名发现工具，该工具能够通过被动在线源扫描和发现网站的子域名。该工具具有简单的模块化架构，并针对速度进行了优化；

Naabu

Naabu是一个用Go编写的端口扫描工具，允许我们快速可靠地枚举主机的有效端口；

assetfinder

搜索域名和子域名；

httprobe

获取域名列表并发送网络探针以查询HTTP和HTTPS服务器；

knockpy

Knockpy是一款基于Python 3开发的工具，可以通过字典攻击快速枚举目标域名的子域名；

waybackurl

该工具可以从*.domain的Wayback主机获取已知URL地址，并输出至STDOUT；

Logsensor

支持发现管理员登录面板和POST表单，实现SQL注入漏洞扫描；

Subzy

基于匹配相应指纹的子域名接管工具；

Xss-strike

高级XSS检测工具；

Altdns

功能强大的子域名检测工具；

Nosqlmap

NoSQLMap是一款开源的Python工具，旨在审计和自动化利用注入攻击，该工具可以利用NoSQL数据库漏洞和使用NoSQL
Web应用程序中的默认配置缺陷，以便从数据库获取泄漏数据；

ParamSpider

用于挖掘参数请求；

GoSpider

GoSpider是一款基于Go开发的Web爬虫；

eyewitness

EyeWitness是一款基于Python开发的资产扫描与定位工具；

CRLFuzz

基于Go语言开发的CRLF漏洞扫描工具；

DontGO403

dontgo403支持绕过40X错误；

Chameleon

Chameleon支持通过指纹技术和自定义字典来扫描和发现站点内容；

uncover

uncover可以通过搜索引擎快速扫描和发现暴露在互联网中的主机；

wpscan

针对WordPress的安全扫描工具

GraphQLmap

GraphQLmap是一个脚本引擎，可以在渗透测试过程中与GraphQL节点交互；

dalfox

DalFox是一款功能强大的开源XSS扫描工具和参数分析工具，该工具可以快速检测和验证XSS漏洞；

http request smuggling

HTTP请求走私检测工具

commix

Commix是一款开源的渗透测试工具，支持自动化检测和利用各种命令注入漏洞；

GoLinkFinder

功能强大的JS节点提取工具；

JWT Toolkit v2

JWT Tookkit支持验证、伪造、扫描和篡改JSON Web令牌（JWT）；

GitLeaks

检查Git库中的敏感信息和密钥；

WhatWeb

下一代Web扫描工具；

Arjun

Arjun能够识别URL中的查询参数；

Golang环境安装与部署

sudo apt-get remove -y golang-gosudo rm -rf /usr/local/gowget https://go.dev/dl/go1.19.1.linux-amd64.tar.gzsudo tar -xvf go1.19.1.linux-amd64.tar.gzsudo mv go /usr/localnano /etc/profile or .profileexport GOPATH=$HOME/goexport PATH=$PATH:/usr/local/go/binexport PATH=$PATH:$GOPATH/binsource /etc/profile #to update you shell dont worry

Arsenal安装

广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/Micro0x00/Arsenal.git

然后给工具脚本提供可执行权限即可：

cd Arsenalsudo chmod +x Arsenal.shsudo ./Arsenal.sh

工具运行截图

最后

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

因篇幅有限，仅展示部分资料，有需要的小伙伴，可以【扫下方二维码】免费领取：

如何使用Arsenal快速部署功能强大的Bug Bounty工具

关于Arsenal

工具要求

Arsenal工具箱

Golang环境安装与部署

Arsenal安装

工具运行截图

最后

相关文章：

如何使用Arsenal快速部署功能强大的Bug Bounty工具

（十）python网络爬虫（理论+实战）——正则表达式再讨论、常用正则表达式整理

MyBatis-Plus特性及插件整合

应用篇|网络安全知识培训考试，答题小程序操作指引

官方不推荐@Autowired

【牛客刷题专栏】0x0E:JZ6 从尾到头打印链表(C语言编程题)

Zeppelin安装

【蓝桥杯选拔赛真题38】python目标值判断青少年组蓝桥杯python 选拔赛STEMA比赛真题解析

Python jieba分词如何添加自定义词和去除不需要长尾词

云打包苹果证书生成、上架和应用截屏攻略

洛谷 U91193：棋盘覆盖问题 ← 分治法

基于OMAPL138＋FPGA核心板多核软件开发组件MCSDK开发入门（下）

熵，线性规划，半监督自监督聚类打标签

求极限方法总结

Flutter Scrollable 中ViewPort滚动原理

多目标粒子群结合极限学习机ELM求解帕累托前沿，MOPSO-ELM

（二十）操作系统-信号量机制

ceph osd slow ops 检测

百度CTO王海峰：深度学习平台+大模型，夯实产业智能化基座

【C++】vector的基本使用

Spark 之入门讲解详细版（1）

HTML 列表、表格、表单

多模态商品数据接口：融合图像、语音与文字的下一代商品详情体验

深入解析C++中的extern关键字：跨文件共享变量与函数的终极指南

QT： `long long` 类型转换为 `QString` 2025.6.5

智能分布式爬虫的数据处理流水线优化：基于深度强化学习的数据质量控制

iOS性能调优实战：借助克魔(KeyMob)与常用工具深度洞察App瓶颈

Linux部署私有文件管理系统MinIO

9-Oracle 23 ai Vector Search 特性知识准备

绕过 Xcode？使用 Appuploader和主流工具实现 iOS 上架自动化