Python 实现Web容器指纹识别

已于 2023-06-27 21:56:26 修改
阅读量1.1w 收藏 9
点赞数
分类专栏: 《Python 编程技术实践》 文章标签: python 信息安全 黑客编程 Web容器 指纹识别
于 2022-10-18 18:06:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lyshark_csdn/article/details/127393725
版权

当今的Web安全行业在进行渗透测试时普遍第一步就是去识别目标网站的指纹,从而进一步根据目标框架进行针对性的安全测试,指纹识别的原理其实很简单,目前主流的识别方式有下面这几种。

  • 1.识别特定网页中的关键字,比对关键字识别框架.
  • 2.通过计算特定的相对独立的页面的Hash值,比对实现鉴别.
  • 3.通过指定URL的TAG模式,鉴别目标容器类型.

以上的三种模式就是常见的指纹识别工具的工作原理,这里我就给大家演示第二种方式,HASH枚举。

首先在识别网站指纹之前,先要尝试读取到该目标网站的标题信息,该功能实现非常简单,只需要读入页面,并去除我们所需要的"Date","Server","X-Powered-By","title"字段即可,由于代码较为简单此处就直接放出代码部分。

import re,socket,threading,requests
import argparse

header = {'user-agent':'Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) LySharkTools'}

def Banner():
    print("  _          ____  _                _    ")
    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")
    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")
    print(" | |__| |_| |___) | | | | (_| | |  |   < ")
    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")
    print("       |___/                             \n")
    print("E-Mail: me@lyshark.com")

def GetIPAddress(domain):
    try:
        url = str(domain.split("//")[1])
        sock = socket.getaddrinfo(url,None)
        result = re.findall("(?:[0-9]{1,3}\.){3}[0-9]{1,3}", str(sock[0][4]))
        return str(result[0])
    except Exception:
        pass

def GetServerTitle(url):
    try:
        address = GetIPAddress(url)
        Respon = requests.get(url=url,headers=header,timeout=5)
        print("--" * 80)
        print(url + "   ",end="")
        print(address + "   ", end="")
        if Respon.status_code == 200:
            RequestBody = [item for item in Respon.headers]
            for item in ["Date","Server","X-Powered-By"]:
                if item in RequestBody:
                    print(Respon.headers[item] + "   ",end="")
                else:
                    print("None" + "   ",end="")
            title = re.findall("<title>.*</title>", Respon.content.decode("utf-8"))
            print(title)
    except Exception:
        pass

if __name__ == "__main__":
    Banner()
    parser = argparse.ArgumentParser()
    parser.add_argument("-f","--file",dest="file",help="")
    args = parser.parse_args()
    # 使用方法: main.py -f url.log
    if args.file:
        fp = open(args.file,"r")
        for item in fp.readlines():
            url = item.replace("\n","")
            thread = threading.Thread(target=GetServerTitle,args=(url,))
            thread.start()
    else:
        parser.print_help()

程序运行时,需要指定一个文件列表,里面包括网址每行一个以换行隔开,并使用-f指定运行参数即可。

我们继续实现指纹识别功能,首先利用Requests库将目标页面读入到字符串中,然后调用MD5算法计算出该页面的HASH值并比对,由于特定框架中总是有些页面不会变动,我们则去校验这些页面的HASH值,即可实现对框架的识别,代码很简单这里就直接放出源代码。

import requests
import os,sys,hashlib
import argparse

headers = {'user-agent': 'Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) LySharkTools'}

def Banner():
    print("  _          ____  _                _    ")
    print(" | |   _   _/ ___|| |__   __ _ _ __| | __")
    print(" | |  | | | \___ \| '_ \ / _` | '__| |/ /")
    print(" | |__| |_| |___) | | | | (_| | |  |   < ")
    print(" |_____\__, |____/|_| |_|\__,_|_|  |_|\_\\")
    print("       |___/                             \n")
    print("E-Mail: me@lyshark.com")

def CheckFinger(url,flag,keyworld):
    if flag == 0:
        ret = requests.get(url=url,headers=headers,timeout=1)
        text = ret.text
        md5=hashlib.md5()
        md5.update(text.encode('utf-8'))
        print("目标网页Hash值:  {}".format(md5.hexdigest()))
    else:
        fp = open(keyworld,"r")
        for i in fp.readlines():
            path = url + eval(i.replace("\n", ""))["Path"]
            hash = eval(i.replace("\n", ""))["Hash"]
            web = eval(i.replace("\n", ""))["WebServer"]
            ret = requests.get(url=path, headers=headers, timeout=1)
            if ret.status_code == 200:
                text = ret.text
                md5 = hashlib.md5()
                md5.update(text.encode('utf-8'))
                if md5.hexdigest() == hash:
                    print("目标Hash:{}  CMS页面类型:{} ".format(hash,web))
                else:
                    continue

if __name__ == "__main__":
    Banner()
    parser = argparse.ArgumentParser()
    parser.add_argument("--mode",dest="mode",help="设置检查类型 [check/get]")
    parser.add_argument("-u","--url",dest="url",help="指定需要检测的网站地址")
    parser.add_argument("-f","--file",dest="file",help="指定字典数据库 data.json")
    args = parser.parse_args()
    if args.mode == "get" and args.url:
        CheckFinger(args.url,0,args.file)
    # 检测目标容器类型: main.py --mode=check -u https://www.xxx.com -f data.json
    elif args.mode == "check" and args.url and args.file:
        CheckFinger(args.url,1,args.file)
    else:
        parser.print_help()

指纹识别的重点并不在于识别工具的编写,而在于特征库是否健全,我们的工具也需要特征库,可以使用get方式提取指定页面的特征,例如:

我们新建一个文件,并依次写入指纹特征以及它的相对路径信息,并增加其所对应的Web容器版本。

{"Path":"/about/index.html","Hash": "9e69dd111c6cc873a1f915ca1a331b06","WebServer":"hexo"}
{"Path":"/index.php","Hash": "2457dd111c6cc32461f915ca17789b06","WebServer":"typecho"}

当特征库完整时,即可使用-f指定特征文件,循环获取是否匹配特征,从而判断web容器使用了那种容器。

微软技术分享
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
python+opencv实现指纹识别介绍
07-23
python+opencv实现指纹识别介绍
PYTHON实现ATK-AS608指纹识别模块通信
05-03
终端界面,可实现录、刷、清空指纹库、删指定指纹 python小白,本来搞的是嵌入式,正往软件转,因为有个作业要指纹和人脸识别结合,先用C++平台了一个,但C++人脸识别库我不太会调,就转python了个python指纹
计算机毕设 opencv 图像识别 指纹识别 - python
kooerr的博客
08-11 165
🔥 这两年开始毕业设计和毕业答辩的要求和难度不断提升,传统的毕设题目缺少创新和亮点,往往达不到毕业答辩的要求,这两年不断有学弟学妹告诉学长自己做的项目系统达不到老师的要求。为了大家能够顺利以及最少的精力通过毕设,学长分享优质毕业设计项目,今天要分享的是🚩基于机器视觉的指纹识别系统🥇学长这里给一个题目综合评分(每项满分5分)难度系数:3分工作量:3分创新点:4分🧿。
Python+Qt指纹识别算法
alicema1111的博客
06-02 1695
这篇博客针对《Python+Qt指纹识别算法》编代码,代码整洁,规则,易读。 学习与应用推荐首选。
21.14 Python 实现Web指纹识别
CSDN
10-30 4514
在当今的Web安全行业中,识别目标网站指纹是渗透测试的常见第一步。指纹识别的目的是了解目标网站所使用的技术栈和框架,从而进一步根据目标框架进行针对性的安全测试,指纹识别的原理其实很简单,目前主流的识别方式有下面这几种。
Python 实现Web指纹识别
不定时分享最优质的网络技术与教程,满满的干货。
10-01 527
在当今的Web安全行业中,识别目标网站指纹是渗透测试的常见第一步。指纹识别的目的是了解目标网站所使用的技术栈和框架,从而进一步根据目标框架进行针对性的安全测试,指纹识别的原理其实很简单,目前主流的识别方式有下面这几种。parser.add_argument("-f","--file",dest="file",help="指定字典数据库 data.json")parser.add_argument("-u","--url",dest="url",help="指定需要检测的网站地址")
Python实现Web指纹识别python进阶。
2301_80240808的博客
10-31 631
在当今的Web安全行业中,识别目标网站指纹是渗透测试的常见第一步。从而进一步根据目标框架进行针对性的安全测试,指纹识别的原理其实很简单,目前主流的识别方式有下面这几种:识别特定网页中的,比对关键字识别框架:这种方式通过在目标网页的HTML、CSS、JavaScript代码中搜索特定的关键字或标识,比对这些关键字与已知框架的特征进行识别。例如,如果在网页中发现了JavaScript函数、CSS类名或HTML标签,可以推断目标网站所使用的框架或库,如jQuery、AngularJS等。
web指纹识别笔记
不长个的小胖子的博客
11-01 3997
web指纹识别笔记 指纹识别分类表 分类编号 分类名称 中文名称 备注说明 1 CMS 内容管理系统 例如:wordperss 2 Message Boards 留言板 例如:phpBB 3 Database Managers 数据库管理 例如:phpMyAdmin 4 Documentation Tools 文件工具 例如:GitBook 5 Widgets 窗口小部件 例如:Facebook 6 Ecommerce 电子商务 例如:Wikinggruppen 7
Web指纹识别技术研究与优化实现(CMS)
java、c++、机器学习方向King
05-14 7084
本文通过分析web指纹的检测对象、检测方法、检测原理及常用工具,设计了一个简易的指纹搜集脚本来协助发现新指纹,并提取了多个开源指纹识别工具的规则库并进行了规则重组,开发了一个简单快捷的指纹识别小工具TideFinger,并实现了一套在线的指纹识别平台“潮汐指纹”,希望能为大家带来方便。 前言 在web渗透过程中,Web指纹识别是信息收集环节中一个比较重要的步骤,通过一些开源的工具、平台或者手工...
web指纹识别技术研究与优化实现
whatday的专栏
06-09 2900
前言 在web渗透过程中,Web指纹识别是信息收集环节中一个比较重要的步骤,通过一些开源的工具、平台或者手工检测CMS系统是公开的CMS程序还是二次开发至关重要,能准确的获取CMS类型、Web服务组件类型及版本信息可以帮助安全工程师快速有效的去验证已知漏洞。 在指纹识别的学习过程中,借用了很多开源的工具和指纹库,如fofa、WhatWeb、w11scan、WebEye、御剑等等,在此感谢各种大佬的无私奉献。本文并无技术上的创新和突破,只是把一些指纹库重新进行了整合和梳理并进行了开源 常见指纹检测的对象
web指纹识别-web_finger
Kris__zhang的博客
12-20 1718
通过fofa的语法规则识别网站的详细信息
Web简单快捷的指纹识别小工具_在线指纹识别平台设计
毕业作品网站
01-11 4446
Web 指纹识别 本文通过分析 Web 指纹的检测对象、检测方法、检测原理及常用工具,设计了一个简易的指纹搜集脚本来协助发现新指纹,并提取了多个开源指纹识别工具的规则库并进行了规则重组,开发了一个简单快捷的指纹识别小工具 TideFinger,并实现了一套在线的指纹识别平台“潮汐指纹”,希望能为大家带来方便。 前言 在 Web 渗透过程中,Web 指纹识别是信息收集环节中一个比较重要的步骤,通过一些开源的工具、平台或者手工检测 CMS 系统是公开的 CMS 程序还是二次开发至关重要,能准确的获取 CMS 类
基于OpenCV SIFT的指纹识别算法 python实现
12-04
Windows64位环境下: 1. 安装python3.6.5 2. pip install numpy 3. pip install matplotlib 4. pip install opencv-python 5. 安装opencv-conrib(https://download.csdn.net/download/u012442083/10809277)
python实现简单的文字识别
12-23
本文实例为大家分享了python实现简单的文字识别的具体代码,供大家参考,具体内容如下 Python版本:3.6.5 百度云提供的文字识别技术,准确率还是非常高的,而且每天还有5w次免费的调用量,对于用来学习或者偶尔拿来...
fingerprint_recognition:指纹识别算法的实现
05-02
指纹识别算法 概括 该存储库提出了一种基于通用算法和用于过滤图像的工具的指纹识别链。 使用Python检索并验证结果。 先决条件 的Python 3.7 python opencv 如何使用它 安装要求 pip install --user --requirement ...
全网最详细Gradio教程系列5——Gradio Client: python
最新发布
shao918516的博客
07-26 611
程序部署完成后,如何将Gradio App作为API访问使用呢,这就用到Gradio Client。本章讲解Gradio Client的三种使用方式:python、javascript和curl,受字数限制,所以分三篇博客发布。 使用Gradio Python Client非常易于将Gradio应用程序作为API使用,本节讲述gradio_client安装、如何连接Gradio应用程序、查看可用API及其使用方式、job及session等用法。 通过Gradio Python Cli
随机数种子的作用
帆的博客
07-23 1239
设置随机数种子(random seed)的目的是为了确保随机数生成器在每次运行时产生相同的随机数序列,从而保证实验结果的一致性。随机数种子通过初始化随机数生成器的内部状态,使得在相同的种子值下,随机数生成器每次调用时生成的序列是相同的。
安卓手机部署大模型实战
奇舞周刊
07-25 498
本文作者系360奇舞团前端开发工程师前言自ChatGPT发布以来,大语言模型(Large language model, LLM)就成了AI乃至整个计算机科学的话题中心。学术界,工业界围绕大语言模型本身及其应用展开了广泛的讨论,大量的新的实践层出不穷。由于LLM对计算资源的需求极大,有能力部署大语言模型的公司和实验室一般通过搭建集群,然后开放API或者网页demo的方式让用户可以使用模型。在人们纷...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

微软技术分享

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值