文章总结： laoyue是一款自动化SRC资产监控与漏洞扫描框架，集成Nuclei、Fscan、AWVS、Ffuf四种扫描引擎，融合FoFa、Shodan等空间测绘API进行资产收集与暴露面梳理，具备防卡死监控机制与Excel报告自动生成功能，旨在帮助赏金猎人实现从资产发现到漏洞提交的全流程自动化。建议在VPS部署后配置API密钥，通过命令行参数组合启动扫描并利用无人值守模式进行持续监控。 综合评分： 75 文章分类： 安全工具,SRC活动,WEB安全,渗透测试,红队

【SRC赏金猎人必备】一款自动化SRC资产监控与漏洞扫描框架

原创

0xSecDebug 0xSecDebug

0x八月

2026年2月26日 08:01 陕西

【SRC赏金猎人必备】自动化暴露面收集与监控框架

⚠️

    请勿利用文章内的相关技术从事非法渗透测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具和内容均来自网络，仅做学习和记录使用，安全性自测，如有侵权请联系删除。

⚠️注意：现在只对常读和星标的公众号才展示大图推送，建议大家把”0x八月“设为星标⭐️”否则可能就看不到了啦,点击下方卡片关注我哦！

💡项目地址在文章底部哦！

📖 项目/工具简介

laoyue是一款自动化SRC资产监控与漏洞扫描框架，集成多引擎能力，适合赏金猎人快速发现攻击面。

🚀 一句话优势

集成四种扫描引擎与资产监控，实现SRC自动化赏金挖掘全流程。

📋 核心能力速览

| 功能名称 | 一句话说明 | | — | — | | 多引擎漏洞扫描 | 集成Nuclei、Fscan、AWVS、Ffuf四款工具 | | 自动化资产收集 | 融合FoFa、Shodan等空间测绘API数据 | | 暴露面资产梳理 | 自动识别子域名、目录与敏感信息泄露 | | 防卡死监控机制 | 定时检测任务状态，异常自动恢复保活 | | 结构化报告输出 | 自动生成Excel格式汇总表方便提交 |

📸 运行截图

| 功能模块 | 截图位置 | | — | — | | 暴露面资产发现 | | | 敏感信息泄露检测 | | | 漏洞扫描结果（Nuclei/Fscan/AWVS） | | | Excel汇总报告示例 | |

✨ 核心亮点

1. 1多扫描引擎编排

   通过命令行参数组合一键调度Nuclei、Fscan、AWVS、Ffuf，无需手动切换工具完成目录爆破与漏洞验证。实测中只需执行nohup python3 laoyue.py -d target.com -m -f -n -a即可串行启动全量扫描，避免重复配置环境变量。

2. 2双模式资产发现

   支持主动扫描（-d参数指定域名）和被动收集（-N模式导入历史URL），适配不同信息收集场景。虽然主域名收集接口已移除需自备初始资产，但子域发现与Host碰撞能力完整保留，适合已有资产清单的批量监控。

3. 3自动化运维兜底

   内置check_nohup_size.sh脚本监控nohup.out文件变化，检测到扫描卡死自动重启任务。配合nohup命令挂后台运行，可实现VPS长期无人值守的自动化SRC监控，适合7×24小时持续资产巡航。

🛠️ 技术优势

| 技术/特性 | 说明 | 优势 | | — | — | — | | Python3驱动 | 跨平台脚本架构 | 兼容CentOS7/Ubuntu20，部署成本低 | | 多工具集成 | Nuclei+Fscan+AWVS+Ffuf组合 | 覆盖目录爆破、主机扫描、Web漏洞全场景 | | 空间测绘API | FoFa/Shodan等数据融合 | 资产发现维度广，减少手工收集工作量 | | 定时保活机制 | 检测nohup.out文件变化 | 防止扫描进程僵死，保障自动化连续性 | | Excel报告生成 | 统一格式数据汇总 | 方便直接提交SRC平台，简化报告流程 |

📖 使用指南

① 准备工作：克隆仓库到VPS，根据系统选择执行build_centos7.sh或build_ubutu.sh安装依赖，在config.ini中配置FoFa、Shodan等API密钥及钉钉通知Key。

② 核心操作：单域名扫描使用-d example.com，多域名导入文本使用-d "src.txt"，按需组合-m（Ffuf）、-f（Fscan）、-n（Nuclei）、-a（AWVS）参数启动对应引擎；被动模式添加-N标志手动导入URL资产。

③ 结果查看：扫描完成后查看./result/baolumian/目录下的Excel总表，按暴露面资产、敏感信息、漏洞分类筛选有效发现，直接用于SRC平台提交。

📖 项目地址

https://github.com/Soufaker/laoyue

💻 技术交流与学习

如果师傅们想要第一时间获取到最新的威胁情报，可以添加下面我创建的钉钉漏洞威胁情报群，便于师傅们可以及时获取最新的IOC。

    如果师傅们想要获取网络安全相关知识内容，可以添加下面我创建的网络安全全栈知识库，便于师傅们的学习和使用： 覆盖渗透、安服、运营、代码审计、内网、移动、应急、工控、AI/LLM、数据、业务、情报、黑灰产、SRC、溯源、钓鱼、区块链等  方向，内容还在持续整理中……。

| | | | | — | — | — |

推荐阅读

✦ ✦ ✦

| 渗透测试人员必备武器库：子域名爆破、漏洞扫描、内网渗透、工控安全工具全收录 | | — | | AI驱动的自动化红队编排框架(AutoRedTeam-Orchestrator)跨平台支持，集成 130+ 安全工具与 2000+ Payload | | JS逆向必备：这款插件能Bypass Debugger、Hook CryptoJS、抓取路由 | | 上传代码即审计：AI 驱动的自动化漏洞挖掘与 POC 验证平台 | | AI 原生安全测试平台(CyberStrikeAI) | | 多Agent智能协作+40+工具调用：基于大模型的端到端自动化漏洞挖掘与验证系统 | | 基于DeepSeek的代码审计工具 (Ai-SAST-tool.xjar) | | 基于AI的自主渗透测试平台 |

✦ ✦ ✦

点分享

点收藏

点在看

点点赞

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：0x八月 0xSecDebug 0xSecDebug《【SRC赏金猎人必备】一款自动化SRC资产监控与漏洞扫描框架》