Web渗透之信息收集——web指纹识别、WAF识别、CDN探测

最新推荐文章于 2024-05-14 04:35:59 发布
最新推荐文章于 2024-05-14 04:35:59 发布
阅读量6k 收藏 23
点赞数 2
分类专栏: Web渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_Wanderer/article/details/107449251
版权

文章目录

CMS指纹识别

1.云悉在线(需要账号)

http://www.yunsee.cn

2.Whatweb

http://www.whatweb.net
在这里插入图片描述

3. 火狐插件:wappalyzer

https://www.wappalyzer.com

脚本:

CMSeek(kali)

https://github.com/Tuhinshubhra/CMSeeK
在这里插入图片描述
安装:

git clone https://github.com/Tuhinshubhra/CMSeeK
cd CMSeeK
pip/pip3 install -r requirements.txt

使用:

python3 cmseek.py -u http://59.63.200.79:8803/

更新:

python3 cmseek.py --update

结果:
保存在CMSeeK/Result文件夹下

Webfinger(kali)

https://github.com/se55i0n/Webfinger

安装:

git clone https://github.com/se55i0n/Webfinger.git

使用(python2环境):

python webfinger.py http://59.63.200.79:8803/

(个人感觉Webfinger比CMSeek好用)

WAF识别

Waf是一款专针对Web应用攻击的防护产品。当Web应用越来越丰富的同时,大部分交互都转移到了Web上,与此同时Web也成为了主要的攻击目标,此时Waf就成为了安全防护中的第一道防线,Waf在安全中的重要性不言而喻。

WAF检测方法

1.Awesome-WAF项目

https://github.com/0xInfection/Awesome-WAF

2.检测脚本:wafw00f

https://github.com/EnableSecurity/wafw00f
在这里插入图片描述
安装:(kali已经默认安装了)

git clone https://github.com/EnableSecurity/wafw00f.git
cd wafw00f/
python setup.py install

使用:

wafw00f [url]
wafw00f http://59.63.200.79:8014/index3.php

在这里插入图片描述
-h, --help 显示此帮助消息并退出
-v, --verbose 启用详细程度-多个-v选项可增加详细程度
-a, --findall 检测所有的Waf,不会在检测到第一个Waf的时候停止
-r, --disableredirect 不要遵循3xx响应给出的重定向
-t TEST, --test=TEST 测试一个特定的WAF
-l, --list 列出我们能够检测到的所有WAF
-p PROXY, --proxy=PROXY
使用HTTP代理执行请求,例如:http://hostname:8080, socks5://hostname:1080
-V, --version 输出版本信息
-H HEADERSFILE, --headersfile=HEADERSFILE
传递自定义标头,例如覆盖默认的User-Agent字符串

CDN

内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输得更快、更稳定。
但是我们在测试时找到的是代理服务器ip,而不是网站的真实ip。
在这里插入图片描述
CDN探测:

1.国内在线

CDN云观测:
http://cdn.chinaz.com/

2.国外在线

cdnplanet
https://www.cdnplanet.com/

3.脚本探测:xcdn

https://github.com/3xp10it/xcdn

安装:

git clone https://github.com/3xp10it/xcdn.git

使用:(需要vpn连接外网,或者修改代码,去掉关于vpn的那个if判断语句)

python3 xcdn.py www.baidu.com

首次使用会安装一些模块

Mr. Wanderer
关注
  • 2
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
信息收集】CMS指纹识别
孤桜懶契
06-15 231
CMS指纹识别 查找环境 : http://59.63.200.79:8803/ 快速二次开发的web应用框架 1、唯一性 2、方便性 3、终身不变性 在线和离线的方式收集指纹信息 1、云悉在线: http://www.yunsee.cn 2、Whatweb:http://www.whatweb.net 3、插件-wappalyer:https://www.wappalyzer.com/ 谷歌插件搬运工:https://chrome.zzzmh.cn/info?token=
webfinger-name-service-api:波纹名称解析的webfinger标准
05-10
网络手指名称服务 基于Webfinger的身份API 应用程序 用法 npm install npm start GET /.well-known/webfinger?resource=acct:stevenzeiler@id.ripple.com { "subject": "acct:stevenzeiler@id.ripple.com", "links": [ { "rel": "https://ripple.com/standards/webfinger#ripple-address", "href": "ripple:r4EwBWxrx5HxYRyisfGzMto3AT8FZiYdWk" }, { "rel": "https://ripple.com/standards/webfinger#ripple-name
信息收集之网站指纹(CMS)识别Waf识别CDN探测(w8fuckcdn全网扫描获取ip)
锦衣
10-22 2202
CMS识别 CMSeek下载地址 Webfinger下载地址 CMS指纹识别-CMSeek CMSeek安装使用: 安装: git clone https://github.com/Tuhinshubhra/CMSeeK cms扫描命令: python3 cmseek.py -u 目标 #输出结果保存在/root/cms/CMSeeK/Result/www.4tricks.com/cms.json CMS指纹识别-Webfinger Webfinger:可以探测服务信息 Webfinger安装使用:
探索Webfinger: 网络身份识别的新维度
gitblog_00027的博客
03-31 564
探索Webfinger: 网络身份识别的新维度 项目地址:https://gitcode.com/se55i0n/Webfinger 在数字化时代,我们在线的身份识别变得越来越重要。Webfinger(项目链接:https://gitcode.com/se55i0n/Webfinger?utm_source=artical_gitcode)是一个开源项目,致力于提供一个标准化的方式,让我们可以更...
最新指纹识别工具WhatWeb使用教程,图文教程(超详细),走进网络安全架构
最新发布
2401_84520332的博客
05-14 1174
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
网络渗透信息收集
余笙.'的博客
02-28 6737
安装虚拟机步骤 网络渗透 一、域名信息收集 1.Whois 2.搜索引擎HACK 可以搜到:公司新闻动态、重要员工信息、机密文档、用户名密码、邮箱、目标系统软硬件技术架构 3.IP开放端口及服务 4.子域名信息收集 5.绕过CDN收集信息方法介绍 一.Google Hacking 1、加减字符的使用 +:支付 —:充值 这个语句就是过滤掉所有包含支付但不包含充值的页面 2、参数的使用 1.Intext 参数 搜索带有所有该关键词的内容页面 2.Intit..
web指纹识别技术研究与优化实现
whatday的专栏
06-09 2898
前言 在web渗透过程中,Web指纹识别信息收集环节中一个比较重要的步骤,通过一些开源的工具、平台或者手工检测CMS系统是公开的CMS程序还是二次开发至关重要,能准确的获取CMS类型、Web服务组件类型及版本信息可以帮助安全工程师快速有效的去验证已知漏洞。 在指纹识别的学习过程中,借用了很多开源的工具和指纹库,如fofa、WhatWeb、w11scan、WebEye、御剑等等,在此感谢各种大佬的无私奉献。本文并无技术上的创新和突破,只是把一些指纹库重新进行了整合和梳理并进行了开源 常见指纹检测的对象
25-24.渗透测试-指纹识别WAFCDN识别.mp4
05-10
25-24.渗透测试-指纹识别WAFCDN识别.mp4
waf识别指纹工具
10-08
WAFW00F识别和指纹Web应用防火墙(WAF)产品。 其工作原理是首先通过发送一个正常http请求,然后观察其返回有没有一些特征字符,若没有在通过发送一个恶意的请求触发waf拦截来获取其返回的特征来判断所使用的waf
WEB渗透——新手入门之初级工具利用
01-16
总之,"WEB渗透——新手入门之初级工具利用"这一主题涵盖了网络安全基础、Web应用漏洞识别和利用的一系列知识。初学者应从掌握基础工具开始,逐步深入到更复杂的渗透测试技巧,始终保持对安全的最佳实践的理解和应用...
Web指纹识别原理与防范方法 (1).pdf
10-30
Web指纹识别原理】 Web指纹识别是一种网络安全技术,主要用于识别Web服务器、操作系统、中间件、数据库和Web应用程序的类型及版本。它通过提取特定的特征信息,如HTML内容、URL特性、HTTP响应头等,来确定网站所...
Webfinger-master.zip
06-21
webfinger本身自带2000+条指纹数据,位于lib/web.db可自行添加修改 python webfinger.py 目标地址
webfinger.js:库,用于轻松查询用户地址以获取其webfinger记录
05-12
webfinger.js 一个同时在浏览器和node.js中运行的webfinger客户端。 特征 仅默认为TLS 可选的URI后备(适用于使用host-meta或host-meta.json URI端点的旧服务) 对可选支持 初始化 node.js 在node.js中,您首先需要使用以下模块: var WebFinger = require ( 'webfinger.js' ) ; 浏览器 当包含src/webfinger.js脚本时,将显示一个WebFinger对象。 用 var webfinger = new WebFinger ( { webfist_fallback : true , // defaults to false tls_only : true , // defaults to true uri_fallba
web渗透系列教学下载共64份.zip
12-30
web渗透--5--web服务器指纹识别.pdf web渗透--50--WebSockets安全测试.pdf web渗透--51--异常信息泄漏.pdf web渗透--52--防御应用程序滥用.pdf web渗透--53--客户端资源处理漏洞.pdf web渗透--54--HTML注入.pdf web...
04-WebFinger的利用 | 02.技术预研 | Social
weixin_34297300的博客
04-26 203
04-WebFinger的利用 郑昀201005 隶属于《02.技术预研》小节 Kuber 的SocialBadge还利用了WebFinger,从而可以根据用户输入的 Email 地址获取它的关联信息。当然 Kuber 还是走Social Graph来得到关联信息,因为 WebFinger 的数据能被 Social Graph 调用。 什么...
七牛云:2019年云综合收入 12.5亿元,不再是CDN代表
阿明观察
07-14 2026
云排名分析:七牛云,2019年云综合收入12.5亿元。 虽然阿里巴巴在2017年10亿元投资了七牛云,但是七牛云没有直接并入阿里云旗下,而是一直独立运营。 在CDN领域中,2019年的市场变化很快,特别是来自公有云厂商主导的CDN服务,以更具有性价比的竞争吸引力,打破常规,获得快速扩张。七牛云在融入阿里云生态之后,也持续得到了良性发展。 一方面,中国CDN整体市场迎来了高速发展期,据不完全统计,2019年中国CDN市场规模超过了260亿元,与2018年同比增长近30%左右。 另一方面,七...
多线程FUZZ WAF的python脚本
夜班机器人的博客
02-09 2359
#!/usr/bin/python #coding:utf-8 ''' 学习了Va1n3R的注入绕过思路,自己也学习一下fuzz脚本的编写 规则库还是使用Va1n3R的 fuzz_zs = ['/*','*/','/*!','*','=','`','!','@','%','.','-','+','|','%00'] fuzz_sz ...
渗透测试之敏感信息收集
weixin_68057794的博客
09-09 1874
渗透测试之敏感信息收集
2019年Web指纹识别技术研究与实战优化
1. 技术实现平台:文章提及了TideSec/TideFinger项目,这是一个开源工具,用于收集和分析Web指纹信息,通过GitHub平台提供,可用于构建和管理Web应用的指纹数据库。 2. 技术应用领域: - CMS系统(如WordPress、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值