Awesome

<h1 align="center">Xtools</h1> <h3 align="center">Xtools 是一款 Sublime Text 插件、同时是一款简单的资产处理、命令行调用工具</h3> <p align="center"> <img src="https://img.shields.io/badge/Plugin-Sublime_Text-blue?color=rgb(138%2C171%2C128)"> <img src="https://img.shields.io/badge/Version-V4.1.5-green?style=flat"> <img src="https://img.shields.io/github/last-commit/chasingboy/Xtools"> <img src="https://img.shields.io/github/stars/chasingboy/Xtools?style=flat&labelColor=rgb(41%2C52%2C52)&color=green"> <img src="https://img.shields.io/github/issues/chasingboy/Xtools"> <img src="https://visitor-badge.laobi.icu/badge?page_id=chasingboy.Xtools&left_color=green&right_color=#66ccff"> </p> <img width="975" alt="image" src="https://github.com/chasingboy/Xtools/assets/39737245/f20db515-4e9e-4c4d-aec9-ed4a310a0f34">

前言

Xtools 是一款 Sublime Text 插件，同时是一款简单的资产处理工具，在渗透测试实战过程中，有很多重复的操作，所以思考着写一款小工具来减少重复的劳动。

日常渗透中使用过一款资产文本清洗工具,使用起来感觉不错，并且添加了一些额外功能和修改了暗黑主题，在此感谢 xinyu2428 师傅。

但在日常使用过程中，总感觉缺少了点什么。思考着继续补充 javascript 代码，发现无法和命令行进行交互，遂放弃。一番挣扎过后，发现很多时候都在使用 Subliem Text 编辑器，嗯，最后的思路就是集成在 Sublime Text 插件。这样一来，同时减少了很多的 ctl+c 和 ctl+v。

功能

IP、domain、url 处理
- 提取 IPv4 (内网、外网、IP段)
- IPv4 和 C 段互转
- IPv4 地址范围拆分
```
1.1.1.1-100
1.1.1.1-1.1.1.100
1.1.1.1-1.1.2.100
1.1.1.1/24
1.1.1.1/28
... ...
```
- 统计 IPv4 次数
- 提取 domain（根域名、根域名|子域名）
- 提取 url（有路径、无路径）
- 提取 router（js、text）
- 过滤 CDN 和 DNS 域名和IP（需补充域名和IP）
简单文本处理
- 删除特殊字符、空格、[*]、(*) （* 表示括号内的所有内容）
- 按行提取指定内容
- 按行删除指定内容
- 替换指定字典的 key 和 value
简单编码和解码
- base64 编码和解码
- url 编码和解码
- md5 加密
调用系统命令执行
- curl 下载文件
- sqlmap
- ......（自行配置）
整理工具扫描结果
- 转换 nmap|masscan xml结果为 host:port 格式
- 整理和分类 fscan 扫描结果
- 整理和高亮 httpx 和 nuclei 扫描结果
渗透测试辅助模块
- 返回文件上传数据包，方便测试文件上传接口
- 提供反弹 shell 命令生成

使用截图

在文本中提取 IP。

按行进行 base64 编码。

按字典进行 key 和 value 替换。

打开终端调用 sqlmap。

curl 批量下载文件，会在桌面自动创建 work 文件夹，并保存下载结果。

在处理需要输入时，选择 Input Text 即可打开输入框。

配置命令行

选择 Setting Config 即可打开配置文件，并在注释的范围内添加需要的系统命令。统一格式为 "args": {"cmd":"sqlmap -r target.txt"}，比如 slqmap，httpx，nuclei、dirscan 对应不同字典。

/* 通过 <args->cmd> 设置命令, 设置目标为 target.txt, 运行时自动替换为临时文件
                       eg: httpx -l target.txt
                       */
                    {
                        "caption": "httpx [GET]",
                        "command": "run_cmd",
                        "args": {"cmd":"httpx -x GET -sc -title -l target.txt"}
                    },
                    {
                        "caption": "httpx [POST]",
                        "command": "run_cmd",
                        "args": {"cmd":"httpx -x POST -sc -title -l target.txt"}
                    },
                    {
                        "caption": "nuclei",
                        "command": "run_cmd",
                        "args": {"cmd":"nuclei -l target.txt"}
                    },
                    {
                        "caption": "sqlmap",
                        "command": "run_cmd",
                        "args": {"cmd":"sqlmap -r target.txt"}
                    },
                    {
                        "caption": "dirscan (dir1.txt)",
                        "command": "run_cmd",
                        "args": {"cmd":"dirscan -w /.../dicts/dir1.txt -l target.txt"}
                    },
                    {
                        "caption": "dirscan (dir2.txt)",
                        "command": "run_cmd",
                        "args": {"cmd":"dirscan -w /.../dicts/dir2.txt -l target.txt"}
                    },

                    /* -- END -- */

~~⚠️注意：命令行功能目前只支持 macOS。~~

新增支持 windows 命令行调用

/* 通过 <args->cmd> 设置命令, 设置目标为 target.txt, 运行时自动替换为临时文件
                       eg: httpx -l target.txt
                       */
                    {
                        "caption": "httpx",
                        "command": "run_cmd",
                        "args": {"cmd":"C:\\Users\\kali\\httpx\\httpx -sc -title -l target.txt"}
                    },
                    /* -- END -- */

比如配置 httpx 命令，或者把 httpx 命令添加到环境变量。

fscan 扫描结果整理

按照 ip:port、web-poc、weak-password、web-info 等分类 fscan 的结果，且对部分结果进行颜色处理，方便浏览。

web 相关信息按照状态码进行排序、指纹信息标红处理、弱口令分类处理等。

httpx｜nuclei 扫描结果整理

httpx｜nuclei 工具的扫描结果保存在 txt 文件中，在二次查看时，总是白茫茫一遍，容易错过重点资产，因此对相关信息进行排序和高亮处理，提高浏览的舒适性。

安装

下载源码，github 下载后文件名 Xtools-main.zip，解压后需重命名为 Xtools，否则可能某些路径出错。

进入到 Sublime Text 插件目录：Preferences->Browse Packpages，把 Xtools 放在该目录下即可。

注意：python 调用 masOS 终端需要 applescript 模块，请勿删除

安装报错

最近有师傅反馈，window 11 安装时出现错误，功能无法正常使用。经过调试，发现是师傅的系统用户名是中文。如果系统的用户名是中文且安装不成功，可以尝试在 xtools.py 文件自定义系统用户名。

if platform == 'windows':
    HOME = os.environ['HOMEPATH']
else:
    HOME = os.environ['HOME']

'''
-> 如果系统的用户名是中文且安装不成功，可以尝试在 xtools.py 文件设置系统的 "<用户名>"
-> 删除 # 注释
Eg: 
HOME = "C:\\Users\\" + u"中文"
'''

#HOME = "/Users/" + u"<用户名>"    # osx
#HOME = "/home/" + u"<用户名>"     # linux
#HOME = "C:\\Users\\" + u"<用户名>"  # windows
workdir = os.path.join(HOME,'.xtools')

功能灰色无法使用

检查系统用户名是否为中文
检查工具文件夹名称是否为 Xtools
检查 applescript 压缩包是否解压

查看 issues

https://github.com/chasingboy/Xtools/issues

新版本 Sublime Text 无法正常使用

在新版本的 Sublime Text（版本4166~4199）中，部分接口有变化导致 xtools 部分功能失效。可以通过修改 xtools.py 中的代码修复 Bug。

# 修改 new_view 函数
# 注释 new_view.insert(edit, 0, text.strip())
# 使用 new_view.run_command('insert', {'characters': text.strip()})

# 新版本
def new_view(view, edit, text):
    new_view = view.window().new_file()
    new_view.set_scratch(True)
    # 旧版本 Sublime Text
    # new_view.insert(edit, 0, text.strip())
    # 新版本 Sublime Text
    new_view.run_command('insert', {'characters': text.strip()})
    view.window().focus_view(new_view)