https://github.com/zangcc/Aazhen-RexHa

自研JavaFX图形化漏洞扫描工具，支持扫描的漏洞分别是： ThinkPHP-2.x-RCE， ThinkPHP-5.0.23-RCE， ThinkPHP5.0.x-5.0.23通杀RCE， ThinkPHP5-SQL注入&敏感信息泄露， ThinkPHP 3.x 日志泄露NO.1， ThinkPHP 3.x 日志泄露NO.2， ThinkPHP 5.x 数据库信息泄露的漏洞检测，以及批量检测的功能。漏洞POC基本适用ThinkPHP全版本漏洞。
https://github.com/zangcc/Aazhen-RexHa

Last synced: 3 months ago
JSON representation

自研JavaFX图形化漏洞扫描工具，支持扫描的漏洞分别是： ThinkPHP-2.x-RCE， ThinkPHP-5.0.23-RCE， ThinkPHP5.0.x-5.0.23通杀RCE， ThinkPHP5-SQL注入&敏感信息泄露， ThinkPHP 3.x 日志泄露NO.1， ThinkPHP 3.x 日志泄露NO.2， ThinkPHP 5.x 数据库信息泄露的漏洞检测，以及批量检测的功能。漏洞POC基本适用ThinkPHP全版本漏洞。

• Host: GitHub
• URL: https://github.com/zangcc/Aazhen-RexHa
• Owner: zangcc
• Created: 2022-02-28T10:37:45.000Z (over 2 years ago)
• Default Branch: main
• Last Pushed: 2024-03-17T06:20:44.000Z (8 months ago)
• Last Synced: 2024-05-20T12:39:04.033Z (6 months ago)
• Homepage:
• Size: 41.5 MB
• Stars: 414
• Watchers: 6
• Forks: 56
• Open Issues: 10
• Metadata Files:
  • Readme: README.md

Awesome Lists containing this project

• awesome-hacking-lists - zangcc/Aazhen-RexHa - 自研JavaFX图形化漏洞扫描工具，支持扫描的漏洞分别是： ThinkPHP-2.x-RCE， ThinkPHP-5.0.23-RCE， ThinkPHP5.0.x-5.0.23通杀RCE， ThinkPHP5-SQL注入&敏感信息泄露， ThinkPHP 3.x 日志泄露NO.1， ThinkPHP 3.x 日志泄露NO.2， ThinkPHP 5.x 数据库信息泄露的漏洞检测，以及批量检测的功 (Others)

README

        
# 2023年3月24日RexHa（Aazhen）-V 1.0

取消了其他java版本，只留java8/jdk1.8版本的。同时修改了部分源码，优化poc，运行方式有变动，启动方式为：

java -javaagent:rexha.jar -jar rexha.jar



# 2022年10月23日RexHa（Aazhen）-V 1.0

很多小伙伴反馈说java18那个版本无法运行，所以我又新增了一个jdk1.8版本的，这次绝壁没问题了。jdk1.8非常稳定，建议大家还是下载jdk1.8的版本。后续会陆续添加jdk11和14版本的，无奈，java开发东西就是得考虑到版本问题。望谅解。

# RexHa（Aazhen）新版本！！ -V 1.0

hello，好久没更，工具改名成RexHa。工具的教程在我博客上（很详细）：

https://blog.csdn.net/weixin_43847838/article/details/127396997?spm=1001.2014.3001.5501

最新版RexHa工具的功能以及特点：

我是用java18开发的，jdk版本太低的话可能会运行不起来。

①HttpClient替代旧版HttpUrlConection

②多线程并发

③重写了 7 个Payload

上一个版本中，支持检测的漏洞只有4个，这次我直接加到了7个，基本上覆盖了ThinkPHP的大部分版本，支持扫描的漏洞分别是：

    ThinkPHP-2.x-RCE，

    ThinkPHP-5.0.23-RCE，

    ThinkPHP5.0.x-5.0.23通杀RCE，

    ThinkPHP5-SQL注入&敏感信息泄露，

    ThinkPHP 3.x 日志泄露NO.1，

    ThinkPHP 3.x 日志泄露NO.2，

    ThinkPHP 5.x 数据库信息泄露。

而且每一种漏洞都是经过靶场+实战验证，每个Payload我都能保证不会有问题，而且能够精准判断。

④取消了旧版的命令执行功能

⑤Aazhen改名成RexHa

谢谢我的猫~❤️ 工具多了很多猫咪的元素在里面，本文后面也会细说。

⑥url输入格式判断

新版本的界面展示如下:



# Aazhen-V3.1 jar版本免费开源

因为很多小伙伴说exe只支持win，linux或其他系统不兼容等问题，所以我今天把这个工具开源了，打包成了jar包可以下载，代码写得很烂，毕竟专业不是编程的，水平不够，见谅。

# Aazhen-V3.1

自研JavaFX图形化漏洞扫描工具，支持ThinkPHP 2.x RCE，Thinkphp5 5.0.22/5.1.29RCE，ThinkPHP5 5.0.23RCE和ThinkPHP5 SQL注入漏洞和敏感信息泄露漏洞的漏洞检测，以及命令执行的功能。漏洞POC基本适用ThinkPHP全版本漏洞。

很多小伙伴和我反馈Java版本不兼容的问题，由于是java,版本问题这确实没办法彻底解决，除非用每个版本开发一遍，但太耗时耗力，所以这次也是换成了更加普遍的jdk-1.8版本，也就是java8。同时，也有小伙伴反馈java swing太老，所以这次也**用JavaFX重构了整个框架**，让界面更加清新-干净-高效。最后，也采纳了一些比较懒的朋友的建议，**把jar包换成了exe**，这样就不用命令运行，**直接双击搞定**。日后有更好的建议欢迎大家在Issues上面提，也可以来我的博客私信我，**博客地址在简介里**，欢迎交流技术以及工具的反馈。

因为刚学java没多久，所以工具做得不是很好，功能不多，非常简陋，会一直更新持续改进，用java拯救太阳系！

## 2022年4月25日->Aazhen-V3.1

3.0刚发布一个小时就有小伙伴跟我反馈工具有bug，bug为“ThinkPHP5 SQL注入漏洞和敏感信息泄露漏洞”漏洞检测功能的输出问题，逻辑判断有点小问题，后面经过vulhub和fofa靶场的测试，bug已经修复，输出能够正常显示。这里要感谢细心的![@kaaxcn](https://github.com/kkaaxcn)，让我及时发现问题。

下面是修复后的输出，恢复正常显示：



## 2022年4月25日->Aazhen-V3.0

**功能**：

1、支持ThinkPHP 2.x RCE，Thinkphp5 5.0.22/5.1.29RCE，ThinkPHP5 5.0.23RCE和ThinkPHP5 SQL注入漏洞和敏感信息泄露漏洞的漏洞检测。

2、上述漏洞中除了信息泄露以外的所有RCE漏洞支持命令执行功能。

3、一键检测所有漏洞。

**工具简介**:

1、用JavaFX重构整个框架，完全代替了之前的Java Swing。

2、页面干净整洁，没用的组件通通不要。

3、工具从原来的ThinkphpScannerGUI正式改名为Aazhen。每个男人的心中都有一个属于他的阿珍，这个工具也是我的处女作，工具很落后，没什么人用，完全个人爱好，所以不好的地方轻点喷。



**界面展示**：

1、外观



①界面半透明 ②有了工具的小logo ③鼠标是一个小太阳 ④用了三种布局方式组合在一起。

2、漏洞检测演示

一键检测展示：



3、命令执行模块演示

选择刚刚检测出来的漏洞版本，然后才能命令执行，输出结果：





4、菜单栏就不做展示了，大家可以自己下载来玩玩。

## 2022年3月17日->工具ThinkphpScannerGUI-V1.0更新为V2.0版本。

**新增功能**：1、文件导入 2、批量检测

**优化**：重新设计了语句的输出，让输出不再那么“眼花缭乱”。



2.0版的扫描，以vulhub docker靶场为例：



## 2022年2月28日->工具ThinkphpScannerGUI-V1.0发布

**功能**：支持单目标ip的扫描



1.工具使用步骤：

下载jar包之后，命令行输入 java -jar JAVA_ThinkphpScannerGUI_Done.jar即可运行。

2.支持检测的漏洞