一个刷乌云rank的思路

最新推荐文章于 2024-08-30 09:50:16 发布
最新推荐文章于 2024-08-30 09:50:16 发布
阅读量2.2k 收藏
点赞数
分类专栏: 渗透测试 文章标签: 渗透测试 wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cd_xuyue/article/details/50154191
版权

发现wooyun的高rank大牛们,除了非常6连续提交高质量漏洞的,大部分都是批量发现.若要快速提升wooyun rank的话,找一些poc简单明确且危害高的老洞,为它们做批量是一种不错的选择.

以下为新手刚入乌云的一点愚见,还望大牛指点.


漏洞选择

刷rank的思路不是"发掘漏洞",而是"利用漏洞"

在漏洞的选择上,我们注意以下几点:

  1. 自己能驾驭(能手动验证)
  2. POC/EXP简单粗暴,可以轻松写出批量验证的脚本
  3. 验证流程操作简单,保证在自己手动验证漏洞和提交乌云的过程中不费时
  4. 危害性大,比如能够getshell
  5. 涉及的厂商大,比如只有大厂商才能使用的SAP系统

搜索建议:

可以直接在wooyun里搜通用型漏洞

或者百度 site:wooyun 通杀 通用


掌握漏洞

拿到漏洞的poc/exp之后,要确定自己可以复现.

这个时候我们最好找几个有漏洞的站测试一下

建议:

可以使用google/baidu hacking

或者在乌云找一些"已忽略","已过期","待认领"的例子

寻找批量规则

我们已经找到洞和样本,如何做批量发家致富才是最终目标

思路:

  1. 拿到样本某漏洞服务的web指纹信息&#
最低0.47元/天 解锁文章
Xyntax
关注
专栏目录
乌云登录表单网页模板
01-22
乌云登录表单网页模板】是一个专门为网页设计师和开发者准备的资源,它提供了一种预设的界面设计,用于创建具有专业外观的用户登录页面。这个模板通常包含用户名输入框、密码输入框、登录按钮以及可能的“忘记密码...
网络空间搜索引擎- FOFA的使用技巧总结
黄乔国PHP
12-17 1万+
FOFA是一款网络空间测绘的搜索引擎,旨在帮助用户以搜索的方式查找公网上的互联网资产。FOFA的查询方式类似于谷歌或百度,用户可以输入关键词来匹配包含该关键词的数据。不同的是,这些数据不仅包括像谷歌或百度一样的网页,还包括像安全设备,摄像头、打印机、数据库、操作系统,中间件等资产。网络空间测绘可以被认为是网络空间的“MAP”。就像谷歌地图或高德地图通过卫星图像对地形进行测绘,网络空间测绘也是通过技术探针(爬虫)对全球网络资产进行探测。然而,网络空间分为公网和内网。FOFA主要针对。
FOFA(一): FOFA入门
热门推荐
浅弋、璃鱼的博客
01-03 2万+
FOFA是部署在互联网上的网络设备资产信息搜索引擎。旨在尽可能多的对全球IT设备资产进行信息收集, 进而开展资产影响分析、漏洞影响分析, 为相关流行态势感知分析提供依据;
FOFA-入门指南
最新发布
m0_63512120的博客
08-30 1180
网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统对全网的网络资产进行统计,分析,获取信息,通过这些信息给用户提供漏洞及时发现,漏洞发生之后,快速定位,以及安全数据分析等服务。简单的理解就是 更加清楚的掌握网络资产的分布状况。
信息安全初学者容易犯的三个毛病
weixin_54855337的博客
02-28 3722
1、急功近利 我进入安全行业之处也存在同样的问题和诱惑,比如当时的乌云排行榜,看着大佬们挖洞那么容易,自己也一定会想,我怎么就可以成为猪猪侠一样的人物,稳居乌云 rank 排行榜的榜首;比如各大 CTF 的比赛,别人团队突破那么多题目,我咋只能做个签到题呢?比如各种黑客大会,大佬们展示自己挖到的 0day 漏洞,什么浏览器、什么路由器、什么系统漏洞这些 CVE 编号,我咋不行呢? 安全圈也是个江湖,有江湖的地方就会有排行榜,就会有大佬和菜鸟,每一个菜鸟都想成为大佬,如何成为大佬就是菜鸟们最关注的问题。所
fofa使用手册笔记
千寻的博客
11-26 1万+
文章目录FOFA介绍FOFA搜索语法常用命令标题中搜索从http头中搜索从html正文中搜索从url中搜索关键字搜索端口搜索IP搜索指定协议类型搜索指定城市的资产搜索指定行政区的资产搜索指定国家(编码)的资产搜索证书(https或者imaps等)中带有的资产搜索操作系统类型搜索服务器版本搜索指定设备名称搜索中国的ip资产高级用法其他规则摘抄免责声明 FOFA介绍 地址https://fofa.so/ FOFA搜索语法 常用命令 标题中搜索 title="后台管理"# 搜索包含“后台管理”的 从htt
巧秒利用fofa挖到第一个漏洞
hackzkaq的博客
07-14 1万+
FOFA是一款非常强大的搜索引擎 关于对于fofa的描述是:FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA信息。 探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。 相对于shodan来说fofa的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。 fofa的功能这么强大,那我们要怎么利用好提供的功能来挖洞呢? fofa官方提供了一些基本语法: 图片 而真正
Three乌云密布天空背景特效特效代码
03-20
"Three乌云密布天空背景特效"是一个专门用于生成动态、逼真的天空背景的特效库,它基于JavaScript的三维渲染库Three.js来实现。Three.js是一个强大的开源库,为Web开发人员提供了丰富的3D图形编程接口,使得在网页上...
乌云全部技术文章打包上传
07-02
乌云全部技术文章打包上传】这一压缩包文件包含了丰富的IT安全领域的技术文章,这些文章源自知名的网络安全平台“乌云”。...因此,对于任何对网络安全感兴趣的个人或组织,这个压缩包都是一个不可多得的资源宝库。
CSS3卡通乌云下雨动画特效
07-24
总之,CSS3卡通乌云下雨动画特效是一个结合了`animation`、`@keyframes`、`border-radius`、`box-shadow`、`filter`等CSS3特性的实例,展示了Web开发中动态图形设计的可能性。学习并运用这些技术,可以帮助开发者...
传说中的乌云内部工具
05-20
传说中的乌云内部工具,洞必备!
FOFA—佛法无边
m0_57530199的博客
07-06 1万+
很开心对它下手了,一直没有时间去总结一下它,今天来花半个小时来简单写一写,挺喜欢这个工具的,他是目前网安届必须去了解的一款实用工具,信息收集必备!这边文章比较简短,但好用! 什么是佛法 1.FOFA——网络空间资产搜索引擎 2.佛法是白帽汇推出来的一款工具,就是一款咋们自己的升级版shodan 3.可以迅速的进行网络资产匹配、对漏洞影响范围等进行快速分析统计 实用的功能 1.可以获取一个根域名下的所有的子域名网站 2.可以根据IP确定企业 3.根据(子域名)IP查找同一IP的其它网站 直接
fofa 是一个什么样的工具
keyboard专栏
04-28 2596
FOFA (Fingerprint of Full Asset) 是一个基于网络的搜索引擎,主要用于信息安全领域,特别是在网络空间资产发现和安全漏洞研究方面。这个工具可以帮助安全研究人员和企业安全团队发现并分析互联网上的设备、服务器、网站和其他相关资产的公开信息。
FOFA入门指南:轻松掌握搜索技巧和特色功能
weixin_54960362的博客
04-18 8081
FOFA是什么?FOFA能做什么?FOFA的特色功能是什么。
如何使用 FOFA 搜索引擎保姆级教程(附链接)
Flag少侠的博客
02-04 1万+
如何使用 FOFA 搜索引擎保姆级教程(附链接)
【终极FOFA组合语法指南】如何用FOFA打出组合拳搜索目标资产?
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-20 7146
【终极FOFA组合语法指南】如何用FOFA更快、更准、更专地搜索目标资产?
【工具分享】FOFA——网络空间测绘搜索引擎
LongL_GuYu的博客
07-07 2875
FOFA是一款网络空间测绘的搜索引擎,它专注于帮助用户收集和分析互联网上的设备和服务信息。
信息收集:网络空间测绘FOFA,查询语法最全使用方法(图文解析)
xt350488的博客
07-25 1710
官网描述:FOFA-网络空间资产搜索引擎是华顺信安推出的一款通过对全球网络对外开放服务的资产进行主动或被动方式探测、抓取、存储,分析整理不同种类的网络空间资产指纹信息(规则),并对符合规则的资产进行统计分析,进而快速检索全球网络空间资产的产品。它能够帮助用户迅速进行网络资产匹配,快速开展网络空间威胁态势感知、漏洞影响范围分析、应用分布统计、应用流行度排名统计等工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值