文章总结： 本文介绍了基于Python开发的自动化漏洞扫描框架AUTO-EARN，该工具模块化集成了OneForAll、Crawlergo和Xray，实现了从子域收集、端口探测、WAF识别到被动漏洞扫描的全流程自动化。框架通过Flask提供可视化数据管理，支持实时消息推送与Docker部署，具有低感知、高可配置性特点。文章提供了详细的环境配置与运行指南，适合安全研究人员在SRC挖掘与授权测试中提升效率。 综合评分： 78 文章分类： 安全工具,SRC活动,WEB安全,渗透测试

【SRC赏金必备】自动化挖洞框架：OneForAll+Crawlergo+Xray一键联动

原创

0xSecDebug 0xSecDebug

0x八月

2026年2月28日 09:50 陕西

【SRC赏金必备】自动化挖洞框架：OneForAll+Crawlergo+Xray一键联动

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

    AUTO-EARN是基于Python的自动化漏洞扫描框架，集成子域收集、端口探测与被动扫描，适合SRC挖掘与授权测试。

🚀 一句话优势

    模块化集成OneForAll与Xray，实现子域收集到漏洞推送的全流程自动化。

📋 核心能力速览

| 功能名称 | 一句话说明 | | — | — | | 子域收集监控 | 基于OneForAll自动收集并监控完成状态 | | 端口服务探测 | 结合CDN检测与Shodan API识别开放端口 | | WAF指纹识别 | 自动识别目标防护策略辅助决策 | | 被动漏洞扫描 | 联动Crawlergo与Xray进行无主动攻击检测 | | 实时消息推送 | 通过Server酱将漏洞信息推送至微信 |

📸 运行截图

| 功能模块 | 截图位置 | | — | — | | OneForAll子域收集日志 | | | 端口探测与WAF检测结果 | | | Xray被动扫描与漏洞推送 | | | Flask可视化数据展示界面 | |

✨ 核心亮点

1. 1工具链模块化编排：

   不是单一工具，而是提供OneForAll+Crawlergo+Xray的标准化接口与流程。各组件可依据个人习惯替换，比如将Xray换成W13scan，或更换子域收集工具，只需调整配置文件无需改动核心代码，适应不同师傅的信息收集偏好。

2. 2可视化数据管理：

   通过Flask构建Web界面，利用Echarts实现扫描结果可视化。数据库自动存储子域、任务、漏洞三类数据，支持按项目维度管理，每次运行自动按时间戳备份，避免多次扫描数据混淆，方便历史漏洞追踪。

3. 3被动扫描低感知设计：

   采用Crawlergo动态爬虫+Xray被动代理模式，不发送主动Payload，依靠流量分析发现漏洞。配合CDN检测与WAF识别，自动调整扫描策略，降低被封禁风险，适合对稳定性要求较高的测试环境。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | Python 3.8+ | 主流脚本语言 | 兼容OneForAll等现代安全工具生态 | | Flask Web框架 | 轻量级Web服务 | 快速构建可视化界面，资源占用低 | | 被动扫描架构 | Xray Webhook集成 | 低感知检测，适合生产环境谨慎测试 | | SQLite存储 | 文件型数据库 | 零配置部署，自动备份机制防数据丢失 | | Docker支持 | 容器化部署 | 环境隔离，Chrome与Xray证书预装 |

📖 使用指南

① 准备工作：

    克隆仓库后安装Python 3.8+依赖，在config.py中配置Shodan API与Server酱Key，将Chrome与Crawlergo放置到tools目录并赋予执行权限。

② 核心操作：

    执行start.sh启动子域收集监控，待微信通知完成后运行python3 autoearn.py进入端口探测与WAF检测阶段，最后启动server.py与Xray监听进入被动扫描。

③ 结果查看：

    访问本地5000端口查看Flask可视化界面，或使用tail命令查看logs目录下各组件实时日志，发现的漏洞会即时推送至微信，数据自动存入SQLite供后续分析。

📖 项目地址

https://github.com/Echocipher/AUTO-EARN?tab=readme-ov-file

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | | — | — | — |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0xSecDebug 0xSecDebug《【SRC赏金必备】自动化挖洞框架：OneForAll+Crawlergo+Xray一键联动》