文章总结： Muki是专为红队设计的主动资产指纹识别工具，内置三万多指纹库及数百主动规则。它支持并行探测、被动分析与敏感路径检测，能自动提取响应包中的敏感信息。该工具具备智能去重和多格式导出功能，帮助研究人员快速定位高价值资产。 综合评分： 75 文章分类： 安全工具,红队,渗透测试,WEB安全

专为红队行动设计主动资产指纹识别工具(Muki)

原创

0xSecDebug 0xSecDebug

0xSecDebug

2026年1月28日 08:00 陕西

指纹识别工具Muki

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

工具介绍

Muki 是一款全新的主动资产指纹识别工具，专为红队行动设计。在侦察过程中，Muki使安全研究人员能够快速定位来自混乱C级段和庞大资产列表的易受攻击系统，实现有针对性利用。

工具特点

• 智能重复去重：基于URL归一化以提高扫描效率的重复去重
• 多格式导出：结果导出为Excel（.xlsx）和JSON
• 关键资产开采：自动识别并突出高价值目标
• 线程控制：调整与 -T 的并发，以达到最佳速度和稳定性
• 减少误报：精细匹配逻辑（例如，固定的GeoServerFP）
• 30,000+ 精准指纹：涵盖主流框架、中间件、API 及已知漏洞
• 300+ 主动指纹规则：精准探针以实现服务准确检测
• 被动敏感数据提取：自动从响应内容中提取高风险信息（如电话号码、电子邮件地址、API密钥和凭证），无需主动探查 版本 2.1.1

命令行选项：

-h， –救命，给Muki救命

-l， –列表字符串文件，包含多个需扫描的URL（每行一个）

-A， –无激活 禁用主动指纹扫描

-N， –no dir 禁用目录扫描

-x， –无-被动-禁用被动指纹扫描

-o， –输出字符串输出文件路径

-p， –proxy字符串指定代理服务器，例如 http://127.0.0.1:8080 或socks5：//127.0.0.1：1080

-t， –线程整数线程（默认：CPU核心数×3，最小8，最大100）（默认20）

-u， –URL 字符串扫描 URL

工具图示介绍

该工具通过四阶段流程进行系统侦察：资产 获取→并行探测→数据聚合→结构化报告。

资产吞噬 目标（IP、域名、URL）从外部列表加载，定义扫描范围并确保可重复性。

并行探测模块

三个独立模块同时运行：

• 主动指纹识别：发送协议特定探测器以高信心识别服务（如SSH、RDP、网络服务器）。
• 被动指纹识别：分析响应工件（HTTP头、TLS JA3、HTML模式），推断框架、WAF或CMS，无需额外流量。
• 敏感路径检测：通过精选词典和响应验证，检查高风险路径——包括管理接口（如 /admin）、配置文件（如 .env）、版本控制指令（如 /.git）以及已知漏洞端点（如 Spring Boot Actuator、ThinkPHP 路由）——使用经过策划的词典和响应验证。
• 每个模块都可以通过命令行标志（-A、-x、-N）禁用，以提升作灵活性。
• 数据聚合 原始结果经过规范化、去重、关联（例如，连接到主机的路径），并可选择性地添加漏洞情报。

报表生成

输出机器可读报告（JSON/XLSX/），内容包括：

• 资产盘点
• 服务指纹（主动/被动）
• 确认敏感路径及HTTP状态代码
• 可作的风险指示

专为红队行动、攻击面绘制和安全验证而设计——优先考虑精度、覆盖性和集成准备度。

敏感信息识别功能：

• 从所有流量的响应包中提取敏感信息。

工具使用

📖 项目地址

https://github.com/yingfff123/MUKI/tree/main

💻 威胁情报推送群

  如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

 如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用：

    覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SOC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0xSecDebug 0xSecDebug 0xSecDebug《专为红队行动设计主动资产指纹识别工具(Muki)》