【RotorGoddess-0day武器】一款拥有“漏洞勘探、威胁匹配、AI智能分析、敏感接口提取的JS扫描工具，取代JSFinder的新式工具”

因为转子女神的官网被某些人恶意攻击了，所以访问不了了，这几天会解决这个问题，有些人还是很小肚鸡肠的

开场先介绍一下目前战绩：已知能够确定的是，转子挖出了五个0day，包括但不限于大大小小的Edu，Gov，企业等等，还有很多内向的i人师傅并不喜欢向我投稿，在这里说下，任何师傅发现BUG，或者是提供建议，又或者是提供出货流程，都可以向我投稿，欢迎任何师傅

介绍一下工具的主要功能：

1.JS扫描 ：目前所有工具中，转子女神的JS扫描数量是名列前茅的，因为对JS文件的拼接做的不错，不仅仅可以提取拼接前后端分离的异步JS，对拼接失败的JS文件还会进行二次FUZZ，在这里感谢前人大佬为转子的JS获取思路提供重要的启蒙

ps：异步JS的拼接与更好的JS文件路径拼接方式

2.路径接口提取扫描：更新之后，由于优化了JS的拼接，所以路径与接口的获取也大大增多了，也是目前主流JS扫描工具的水平，甚至是超越，当然再次感谢著名工具JSFinder与URLFinder等JS扫描工具对转子女神的启蒙引导

ps:路径接口发现，例如：发现可能存在SQL注入点的接口等

3.HAE威胁匹配：Tscan重剑无锋师傅又给我提供了点规则，在这里感谢这位老大哥！转子几乎整合了市面上所有的规则，并融合进了工具中，大大减少了传统HAE的误报，使扫描结果更加准确

ps:威胁匹配，例如：企业微信Key

4.AI赋能：内置AI大模型，精准提取所有JS文件中爬虫提取不到的路径与接口，并给出每一个JS的风险评估与风险性，最后给出JS提取出来的路径中的作用

ps：直接用文字显示出接口的作用，让人一眼望去就知道可能存在什么漏洞

5.漏洞发现：识别提取出的路径中可能存在的漏洞，例如SQL注入，XSS，URL重定向，拒绝服务，未授权，信息泄露，敏感页面，文件包含，SSRF，命令注入，学号检测，API检测，存储桶未授权检测，AI页面的发现(便于快速挖掘出AI安全漏洞)，黑页识别，加解密JS文件识别(方便快速定位加解密点位,适合越权等逻辑安全漏洞的挖掘)

接下来是文件格式：Config目录，URL

例如密码输送这里，成功的匹配到了密码的key和value

大体的文件格式就是这样，接下来是使用方法，有很多的参数可以进行设置

–cer : 过证书

–time=5 : 超时设置

–url : 自定义URL的拼接

–proxy=http://127.0.0.1:8080 : 自定义代理

–sleep=5 : 请求的睡眠时间

–scan=5 : 迭代扫描的深度，最高为5，默认为1

这些参数直接输入到URL的后面即可，无需空格，更不需要用命令行运行，本人真的不喜欢命令行

预计后面会出Key，使用Key可以解锁新的功能，例如一键C段扫描，实现饱和式打击，祝你无需用手就能挖掘到漏洞，例如敏感页面和未授权，当然Key的作用不止于此，还可以享受独特的高校和SRC情报分享

当前Key是不可用的，但是会提前发放，如果需要Key，可以私信联系我，还有就是Key的发放不会收费，任何以收费的名义，都是骗子，请勿上当受骗

这是我的微信，欢迎使用工具的师傅加入交流群，目前1，2，3，4，5群均已满人，想进的师傅可以加我为好友，拉您入群

微信：YY1127viv

QQ：2294413043

微信没回就是在忙，看到信息一定会回的，也可以选择加我QQ

最后，再次感谢各位师傅长久以来的支持与陪伴，感谢各位的支持！！！