刷src方法

最新推荐文章于 2024-05-25 12:07:25 发布
最新推荐文章于 2024-05-25 12:07:25 发布
阅读量966 收藏 1
点赞数
文章标签: python 开发语言 后端 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54030686/article/details/121236404
版权

提前声明(个人想法,不喜勿喷)
刷src方法
通过已爆出来的漏洞,使用fofa爬虫采集相应ip,添加相应数据在ip中,使用requests进行访问,通过回显中是否存在某种特定数据进行判断,还可以使用gethostbyname,nslookup等方式获取对应ip,使用下方第一个网址中对应的方法即可使用爱站网对应的接口获取ip对应相应域名,
sql注入连接相应注入语句 renquests访问相关域名(ip)的对应网址,进行访问,通过status.code函数获取网页状态码
‘‘a=0
readDir = “20211108210537.txt” #old
writeDir = “mcms.txt” #new
lines_seen = set()
outfile = open(writeDir, “w”)
f = open(readDir, “r”)
for line in f:
if line not in lines_seen:
a+=1
outfile.write(line)
lines_seen.add(line)
outfile.close()
print(“文件去重成功”)’’’
实现此代码 实现对fofa语句查询,如果没有fofa会员,可以到github上寻找相应爬虫(自带邮箱和key),白嫖别忘记点星

使用某位大佬的xfofa(应该是这个),xray和fofa联动,python写规则对fofa数据进行过滤,双重挖洞,src积分很快
使用selenium函数,可以实现自动提交相应src(缺点:例如title等,获取的网站title可能与实际title不一致,需要手动识别)
https://blog.csdn.net/u011721501/article/details/38641763

天下是个小趴菜
关注
渗透实战-通过fofa+rad+xray批量挖掘src
beirry的博客
10-23 1919
这篇文章主要是实现通过fofa来收集资产信息,将信息传递给rad,xray来进行挖掘src
Python漏洞验证自动化脚本 批量SRC
悦分享
07-07 1313
我们实战经常会遇到以下几个问题:​ 1、遇到一个利用步骤十分繁琐的漏洞,中间错一步就无法利用​ 2、挖到一个通用漏洞,想要批量洞小赚一波,但手动去测试每个网站工作量太大这个时候编写一个poc脚本将会将会减轻我们很多工作。本文将以编写一个高效通用的poc脚本为目的,学习一些必要的python知识,这周也是拒绝做工具小子努力学习的一周一、requests模块使用技巧Requests是Python中一个常用的HTTP请求库,使用Requests库来发起网络请求非常简单,具体的使用方法这里就不多介绍了,这里只提几
自动化批量SRC扫描器编写思路
02-26
本ppt介绍了扫描器的开发思路,如何将渗透测试经验转换为工具,想自己编写web扫描器的网络安全爱好者可以用来参考。
src挖掘】fofa联动xray批量src
ssrf
02-16 2849
目录1、利用fofa API收集目标2、使用xray批量验证 1、利用fofa API收集目标 需要安装python2 # -*- coding: utf-8 -*- import time import urllib2 import fofa import json def write_url(urls): with open('xxx.txt','a+') as f: f.write(urls+'\n') if __name__ == "__main__": ema
漏洞挖掘 SRC分之一招上榜!
最新发布
jennycisp的博客
05-25 1067
漏洞挖掘是指通过分析软件、系统或网络中存在的安全漏洞来发现并利用这些漏洞。漏洞挖掘是信息安全领域的一项重要工作,可以帮助企业和组织提高系统的安全性,避免黑客攻击和数据泄露。漏洞挖掘的流程一般可以概括为以下几个步骤:确定目标:确定要挖掘的软件或系统。这可能是一个应用程序、操作系统、网络设备或其他系统。收集信息:收集有关目标的信息,包括架构、协议、版本和配置等。这些信息可以通过互联网搜索、手动扫描、自动化工具和其他途径获得。分析漏洞:通过手动和自动化技术进行漏洞分析,识别潜在的漏洞类型和攻击面。
一次实战批量SRC和CNVD的奇技淫巧
weixin_40418457的博客
05-14 858
标题党 标题党 标题党 不是利用 0day 1day 。其实就是利用建站公司,他们客户的站点跟主站账号密码几乎一样,而且都是弱口令,并且他们都做SEO优化都是有权重的,不用担心src不会收。cnvd的话我之前看到过一篇也是利用建站公司,因为他们肯定不会自己写CMS的,一般都是套用然后改成自己公司的名字。 两天找了两个建站公司的弱口令,基本就是字典爆破,src投了23个,还有10几个没投. 如果找不到漏洞就可以burpsuite爆破弱口令,所以我们这次找信息,先把大型扫描器挂上。 找一下他们有没有做一.
tinymce格式_formatpainter-格式插件和用法
05-06
<script src="https://cdn.tiny.cloud/1/no-api-key/tinymce/5/tinymce.min.js"></script> tinymce.init({ selector: 'textarea', // 指定textarea元素 plugins: 'formatpainter', // 引入格式插件 toolbar...
第86天:SRC挖掘-教育行业平台&规则&批量自动化1
08-03
学习和实践SRC挖掘时,可以参考一些开源资源,如Seebug.org上的漏洞数据库,Miagz的XrayFofa项目,Quake 360的安全工具,TimelineSec的2020年漏洞汇总,以及ihebski的DefaultCreds-cheat-sheet,这些资源提供了大量...
批量挖掘SRC思路与实践二
悦分享
07-07 1187
Poc: 文本框里可以命令执行漏洞的批量检测在知道这个漏洞详情之后,我们需要根据漏洞的特征去fofa里寻找全国范围里使用这个系统的网站,比如用友nc在fofa的搜索特征就是: 可以看到一共有9119条结果,接下来我们需要采集所有站点的地址下来,这里推荐狼组安全团队开发的fofa采集工具fofa-viewer。 然后导出所有站点到一个txt文件中,根据用友nc漏洞命令执行的特征,我们简单写一个多线程检测脚本。 运行完后得到所有漏洞站点的txt文件域名和权重的批量检测在我们提交补天等漏洞平台时,
apache-echarts-5.1.2-src.zip
07-02
同时,它提供丰富的交互功能,如缩放、平移、选等,使得数据探索更为直观。 4. **使用方法**:在项目中引入 ECharts,首先需要通过 npm 或者其他方式安装,然后在 HTML 中引入 ECharts 的 JS 文件,并初始化图表...
国内SRC漏洞挖掘技巧与经验分享
02-01
国内SRC漏洞挖掘技巧与经验分享 包括:信息收集、字典生成、业务安全、APP测试等内容
CVE-2022-22947-Spring Cloud Gateway RCE漏洞
qq_18209847的博客
04-03 5784
Spring Cloud Gateway 远程代码执行漏洞(CVE-2022-22947)发生在Spring Cloud Gateway应用程序的Actuator端点,其在启用、公开和不安全的情况下容易受到代码注入的攻击
Web渗透测试SRC挖掘经验分享
03-30
专注培养高薪网络安全人才,帮助大家了解并学习网络安全,传授黑白帽实战技能,带领零基础小白正式踏入入门阶段。把所有漏洞作为总结讲解,从理论到实战的分享,所有经验。结合漏洞挖掘的经验以及安全工作相关的经验总结漏洞原理、发现、利用,修复,姿势,防御,等多方面思路。实战方面结合以往挖掘SRC经验,把如何操作的各种方法和经验,以及挖过的漏洞,全部分享。具备web渗透测试工程师的工作水平; 能够挖掘各家SRC应急响应中心漏洞,凭借挖漏洞月收入过万
SRC | 如何利用n day快速上分
hackzkaq的博客
03-17 1976
更多黑客技能 公众号:暗网黑客 作者:掌控安全-琦丽丽 大家好,今天分享一下之前漏洞的方法,希望对你们有所帮助~ 首先要上分那么一定是批量漏洞,不然不可能上得了分的,然后呢,既然要批量漏洞。 两种思路: 1.审计通用性漏洞 2.用大佬已公布的漏洞 思路1难度较大,耗时也较长。 思路2难度适中,就是需要写脚本或者使用别人已经写好的脚本。 (这里建议找一些关注度比较高,并且用户量较大的漏洞,然后自己通过写POC的方式漏洞,一般会捞到不少漏洞,所以要有足够的耐心先去找到这些合适的n day漏洞).
各大漏洞平台及SRC的区别和如何批量漏洞
weixin_38166557的博客
08-02 3352
批量漏洞: 01指纹->02原始漏洞->03CMS->04指定政府、教育->05众测平台->06SRC->07国内外、活动 搜索引擎: 百度、google、搜狗、360搜索、必应、钟馗之眼、FOFA、SHODAN 漏洞平台: 补天、漏洞盒子、CNVD、教育行业漏洞报告平台 批量漏洞方法: 1.搜索引擎:...
初识SRC漏洞平台提交漏洞
热门推荐
OKAY_TC的博客
03-08 5万+
1.1 漏洞平台 补天漏洞响应平台:https://butian.360.cn/ 漏洞银行:https://www.bugbank.cn/ 阿里云漏洞响应平台:https://security.alibaba.com/ i春秋SRC部落:https://www.ichunqiu.com/src 腾讯应急响应中心:https://security.tencent.com/index.php...
前端面试题-url、href、src
weixin_33725270的博客
03-20 3566
一、URL的概念 统一资源定位符(或称统一资源定位器/定位地址、URL地址等,英语:Uniform Resource Locator,常缩写为URL),有时也被俗称为网页地址(网址)。如同在网络上的门牌,是因特网上标准的资源的地址(Address)。 二、URL的格式 2.1 标准格式 协议类型:[//服务器地址[:端口号]][/资源层级...
集成crawlergo和xray的src漏洞挖掘利器(hscan)
lza20001103的博客
08-27 511
集成crawlergo和xray的src漏洞挖掘利器(hscan) 文章目录集成crawlergo和xray的src漏洞挖掘利器(hscan)0x01 hscan介绍1 hscan是什么2 hscan做了哪些3 hscan流程图![在这里插入图片描述](https://img-blog.csdnimg.cn/db524dfc9c0b40fbb6f8901bf3fea6c3.png)0x02 hscan使用1 拉取代码并创建docker2 在目录下执行命令,或直接执行docker_run.sh3 扫描完毕后需
拒绝做工具小子—编写Python漏洞验证脚本
kali_Ma的博客
02-09 8187
前言 我们实战经常会遇到以下几个问题: ​ 1、遇到一个利用步骤十分繁琐的漏洞,中间错一步就无法利用 ​ 2、挖到一个通用漏洞,想要批量洞小赚一波,但手动去测试每个网站工作量太大 这个时候编写一个poc脚本将会将会减轻我们很多工作。本文将以编写一个高效通用的poc脚本为目的,学习一些必要的python知识,这周也是拒绝做工具小子努力学习的一周 requests模块使用技巧 Requests是Python中一个常用的HTTP请求库,使用Requests库来发起网络请求非常简单,具体的使用方法这里就不多介绍了
layui浏览器新 只子页面
07-12
如果你想在Layui中实现浏览器新时只新子页面,可以结合使用Layui的路由模块和浏览器的history API来实现。以下是一种实现方式: 1. 首先,在你的HTML页面中引入Layui和Layui的路由模块: ```html <!-- 引入Layui --> <script src="https://cdn.staticfile.org/layui/2.6.8/layui.min.js"></script> <!-- 引入Layui的路由模块 --> <script src="https://cdn.staticfile.org/layui/2.6.8/lay/modules/router.js"></script> ``` 2. 在你的JavaScript代码中初始化Layui的路由模块,并设置子页面的路由: ```javascript // 初始化Layui的路由模块 layui.router(); // 设置子页面的路由 layui.use('element', function () { var element = layui.element; element.on('nav(navFilter)', function (elem) { var url = $(this).attr('lay-href'); // 使用history API切换子页面,不会触发浏览器新 history.pushState(null, '', url); // 触发Layui路由模块的事件,渲染子页面 layui.router().render(); }); }); ``` 在上述代码中,使用`layui.router()`方法初始化Layui的路由模块,然后使用`element.on()`方法监听导航菜单点击事件。当导航菜单被点击时,使用history API切换子页面的URL,然后再触发Layui的路由模块渲染子页面。 通过这种方式,当浏览器新时,只会新子页面而不是整个页面。请注意,这种方式需要浏览器支持history API,一些旧版本的浏览器可能不支持。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值