⚠️ 备注:当前版本漏扫率较高,可能存在 Bug,不太建议使用。
一、软件介绍
1、概述
afrog 是一款开源的高性能漏洞扫描工具,具备快速、稳定、误报率低等特点。它支持用户自定义 PoC(Proof of Concept),并内置了丰富的漏洞检测类型,包括 CVE、CNVD、默认密码、信息泄露、指纹识别、未授权访问、任意文件读取、命令执行等。网络安全专业人员可使用 afrog 快速验证和修复漏洞,提升系统安全防护能力。
项目地址:
https://github.com/zan8in/afrog
2、功能特点
二、安装指南
1、环境要求
- Go 1.19 或更高版本
2、安装方式
(1)下载二进制文件(推荐)
访问 Releases 页面 下载最新版本的二进制文件,解压后即可使用。
(2) 从源码编译安装
git clone https://github.com/zan8in/afrog.git
cd afrog
go build -o afrog cmd/afrog/main.go
sudo mv afrog /usr/local/bin/(3) 使用 Go Install 安装
# 安装 Go(若未安装)
sudo apt update && sudo apt install golang-go
# 设置 Go 环境变量
echo 'export PATH=$PATH:$(go env GOPATH)/bin' >> ~/.bashrc
source ~/.bashrc
# 安装 afrog
go install -v github.com/zan8in/afrog/v3/cmd/afrog@latest
三、基本使用
1、扫描单个目标
afrog -t http://example.com
扫描完成后,afrog 会自动生成一个以当前日期命名的 HTML 报告。
2、扫描多个目标
将目标 URL 写入文件(如 urls.txt),然后执行:
afrog -T urls.txt3、按关键词筛选 PoC
afrog -t http://example.com -s weblogic,jboss4、按漏洞等级扫描
支持等级:info, low, medium, high, critical
afrog -t http://example.com -S high,critical5、使用自定义 PoC 目录
afrog -t http://example.com -P ./my-pocs/四、配置说明
1、首次运行 afrog 时会自动生成配置文件:
$HOME/.config/afrog/afrog-config.yaml2、配置反向连接平台(用于无回显漏洞验证)
目前支持 ceye.io,配置示例:
reverse:
ceye:
api-key: "your-api-key"
domain: "your-domain.ceye.io"3、获取 Ceye 配置:
- 访问 ceye.io 注册账号
- 在个人设置中获取 API Key 和域名
- 填入配置文件中
其他平台如 dnslog.cn、alphalog、xray、revsuit 也可配置,但需自建或确认服务可用性。
4、输出选项
生成 JSON 报告
afrog -t http://example.com -json result.json生成包含请求/响应内容的详细 JSON 报告
afrog -t http://example.com -json-all result.json
⚠️ 注意:若在扫描未完成时解析 JSON 文件,需在文件末尾添加
] 以避免解析错误。
5、Web 仪表板(实验性功能)
启动 Web 服务将结果存入 SQLite 数据库,并通过浏览器查看:
afrog -web
访问:http://localhost:16868
❗ 该功能可能存在 Bug,如访问 404 请检查版本或等待更新。
四、常见问题
错误提示:ceye reverse service not set需正确配置
afrog-config.yaml中的反向连接服务。扫描中断或漏扫当前版本可能存在稳定性问题,建议多次扫描或结合其他工具使用。
社区与支持
- GitHub Issues: 提交问题或建议
- 社区交流群:可通过 GitHub 主页获取加入方式
五、免责声明
本工具仅限用于安全测试和教育目的,请勿用于非法用途。使用者需自行承担相应风险。