司稽 | Who

Note

司稽，察留连不时去者 ——《周礼·司稽》
司稽作为地官的属官，其职责就是确保市场的正常运行和人员的有序流动，对于那些违反规定、扰乱市场秩序的行为进行及时的制止和处罚。

Important

工具仅作为辅助，仅作为攻防技术学习交流，不可用于非法用途。下载则代表同意。

ES_T0001 介绍

Tip

凡是bug提交者，赋予漏洞编号，并在github更新追加贡献者WHOK-ID
开设司稽应急知识库，方便查阅相关知识点用于手工排查和学习。WHOK-WIKI

ES_T0002 版本

更新信息

已实现

ES_T0003 使用

下载

git clone https://github.com/enomothem/Whoamifuck.gitcd Whoamifuckchmod +x whoamifuck.sh

使用方法

使用方法:                                                                            -v --version                   版本信息                                              -h --help                      帮助指南                                        QUICK                                                                                    -u --user-device               查看设备基本信息                                  -l --login [FILEPATH]          用户登录信息 [default:/var/log/secure;/var/log/auth.log]        -n --nomal                     基本输出模式                                        -a --all                       全量输出模式                                  SPECIAL                                                                                  -x --proc-serv                 检查用户进程与开启服务状态                   -p --port                      查看端口开放状态                                  -s --os-status                 查看系统状态信息                            RISK                                                                                     -b --baseline                  基线安全评估                                        -r --risk                      查看系统可能存在的漏洞                         -k --rookitcheck               检测系统可能存在的后门                         -w --webshell [PATH]           查找可能存在的webshell文件 [default:/var/www/;/www/wwwroot/..]  MISC                                                                                     -c --code [URL|FILE]           页面存活探测                                        -i --sqletlog [FILE]           日志分析-SQL注入专业分析                        -e --auto-run [0-23|c]         加入到定时运行计划                               -z --ext [PATH]                自定义命令配置测试 [default:~/.whok/chief-inspector.conf]  OUTPUT                                                                                   -o --output [FILENAME]         导出全量输出模式文件                            -m --html [FILENAME]           导出全量输出模式HTML文件

关于用户登录排查的优化

./whoamifuck -l

系统基本信息的优化

./whoamifuck -u

增加对Root用户的判断

新特性🎉：webshell查杀

./whoamifuck -w

./whoamifuck -w /root

新特性🎉：漏洞检测

./whoamifuck -r

重构代码结构，执行速度加快4000倍🎿

新特性🎉：Html格式输出，呕心沥血几百次优化，细节感人，人性化体验，简洁舒服

新特性🎉：站点扫描 站点存活分析

whoamifuck -p # 先查看是否存在http server端口

whomifuck -c # 检测

新特性🎉：日志分析-SQL注入专业分析

计划任务目录优化

新功能🎉：定时启动脚本生成报告

./whoamifuck -e [0-23]  # 填入0到23其中一个时间点，默认为0时./whoamifuck -e c# 清空所有whoamifuck定时任务

优化：增加国产化系统的指纹

新特性🎉：创建属于自己的命令脚本

Warning

扩展于全局只适用于默认路径下的配置文件。

Note

欢迎大家把自己的命令分享在ISSUE中，让大家讨论一下自己觉得最好用的命令。命令交流区

配置文件结构

EXT="false"commands=("COMMAND1;命令描述""COMMAND2;命令描述")

方法一：手动创建

./whoamifuck.sh -z my_commands.conf

方法二：自动生成

./whoamifuck.sh -z

优化：格式化帮助命令，进行分类，更加直观

ES_T0004 关注永恒之锋