文章总结： 文档介绍了dddd-jb扫描器的更新。新版本集成了xray并增加了Web管理界面，支持自定义工作流、POC与指纹管理及日志查看，同时集成Fofa等搜索引擎。新增了多个漏洞POC，并支持内网单文件大扫描模式。该工具提升了红队在外网打点与内网渗透中的自动化效率与易用性。 综合评分： 88 文章分类： 安全工具,红队,内网渗透,WEB安全,渗透测试

内网渗透利刃&外网打点神器：dddd-jb扫描器更新

原创

刘一手

鹏组安全

2025年12月29日 08:40 江西

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

之前写了一篇文章：网络安全之攻防：蓝队自查-红队一把梭哈DDDD二开【文末获取】，在此基础上进行了优化

上个版本的改动

1、修复主动指纹识别误报率2、爬取js获取路径进行判断   2.1、JS目录爆破识别（识别更多重点资产）   2.2、JS敏感信息提取3、蜜罐检测4、poc检测5、修复bug：修复mysql爆破失败的问题6、指纹新增：遇到新的指纹就会进行增加

这次的更新和改动

1、增加了xray的调用（缝合），将存在漏洞的结果也写入之前的报告中

2、增加web界面，方便配置，更直观

每次启动随机密码

2.1、报告管理，更直观清晰的知道哪些存在问题

2.2、新建扫描：

可以建立新的工作流（比如单个poc验证、子域名联动+js爬取+xray联动），可自己新建删除，方便配置，快捷方便

2.3、扫描任务

可以查看建立扫描的情况，有哪些已完成、哪些在扫描中，也可以停止在扫描的任务

2.4、日志

在扫描任务处点击任意一个即可查看日志，方便部署在服务器上，通过web界面查看扫描日志

2.5 规则管理

可在此进行poc管理(新增、编辑)、指纹管理(编辑)、Workflow 管理(添加了poc需要将对应指纹和poc填写到此处)、目录管理(主动指纹识别需要添加的扫描路径)

新建poc(保存的时候会自动检测是否存在重复的poc)

2.6 搜索引擎

配置好fofa，hunter、Quake等即可使用，搜索出来的结果可一键导入到新建扫描中

3、增加了较新的poc

如：FineReport 帆软报表前台远程代码执行、友加畅捷管理系统文件上传、万维盈创污染源在线监控系统注入…..

4、内网大扫描

直接运行dddd单文件即可,无需其他的文件，会调用内置的规则,除了xray无法调用其他正常使用

5、后续

1、完善子域名的检测机制

2、增加常见未授权端口的漏洞检测

3、根据反馈进行更多修改

4、持续增加poc：每周增加5-10个

获取方式

关注鹏组安全公众号，发送网络安全攻防一把梭哈DDDD获取

鹏组安全社区站：您身边的安全专家-情报 | 攻防 | 渗透 | 线索 | 资源社区

扫码关注

社区

鹏组安全社区：comm.pgpsec.cn

专注网络技术与骇客的一个综合性技术性交流与资源分享社区

免责声明

由于传播、利用本公众号鹏组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号鹏组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

好文分享收藏赞一下最美点在看哦

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：鹏组安全 刘一手《内网渗透利刃&外网打点神器：dddd-jb扫描器更新》