信息收集及其他资产

最新推荐文章于 2024-02-01 22:46:51 发布
最新推荐文章于 2024-02-01 22:46:51 发布
阅读量107 收藏
点赞数
分类专栏: WEB安全-基础+收集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45441315/article/details/119076920
版权

信息收集及其他资产

前言

在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透。那么其中的信息收集就尤为重要。

技术

APP提取一键反编译提取

APP抓数据包进行工具配合
各种第三方应用相关探针技术
各种服务接口信息相关探针技术

演示案例

APP提取及抓包及后续配合
某APK一键提取反编译
利用burp历史抓更多URL

某IP无WEB框架下的第三方测试
各种端口一顿乱扫-思路
在这里插入图片描述

Shodan
在这里插入图片描述

ZoomEye
在这里插入图片描述

Fofa
在这里插入图片描述

各种接口一顿乱扫-思路
各种部分一顿测试-思路
旁站查询
C段查询
类似域名站点-备案查询:找网址,在ping出ip地址,再用黑暗引擎搜索内容
网站标题:用百度、谷歌搜索相关键网站 用xx/robots.tex、或者检查-Network 抓包看内容,搜索域名关键字

涉及资源:
https://fofa.so/
http://tool.chinaz.com
https://www.shodan.io/
https://www.zoomeye.org/
https://nmap.org/download.html

硫酸超
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
信息收集之其他信息收集
cdyunaq的博客
05-17 2209
之前我们分享了域名收集的思路和方法、信息搜集中还有诸如C段资产、端口搜集、APP搜集、小程序、公众号收集。都是获取目标有效信息的方法。本次将从以下这些方法为大家讲解。 段资产收集 网络空间搜索引擎 通过第三方搜索引擎搜索目标IP以及C段资产,来找到目标资产的IP地址 使用如下关键词来找到目标资产的IP地址 title:"知道创宇" +country:"CN" -subdivisions:"香港" 根据网站的ico进行搜索 iconhash:"3ae0b66d54edf1518e9111
nemo:根据渗透测试和实战经验写的自动化信息收集的简单平台,通过集成常用的信息收集工具和技术,实现对内网及互联网资产信息的自动收集
03-30
Nemo是用来进行自动化信息收集的一个简单平台,通过集成的常用信息收集工具和技术,实现对内网及互联网资产信息的自动收集,提高隐患排查和渗透测试的工作效率。 主要功能 IP收集 Nmap,Masscan端口扫描 纯真离线...
目标资产信息收集
辉小鱼的博客
11-07 1415
浏览下网站看看,需要注册用户,前期学习的时候先不用冲会员,到后面感觉可以了,再冲会员;Shodan 不是在网上搜索网址,而是直接进入互联网的背后的通道。使用转换的思想来自动化查询不同的数据源的过程。一定要去虚拟机上使用,小心捆绑后门。
第9天-信息收集——APP 及其他资产
MCTSOG的博客
01-18 1624
​ 在安全测试中,若 WEB 无法取得进展或无 WEB 的情况下,我们需要 借助 APP 或其他资产在进行信息收集,从而开展后续渗透,那么其中的 信息收集就尤为重要。 APP 提取一键反编译提取 APP 抓数据包进行工具配合 各种第三方应用相关探针技术 各种服务接口信息相关探针技术 Apk ApkAnalyser-Apk数据提取 需要提取的apk文件放在apps文件夹内,直接运行apkAnalyser.exe 提取出来的文件会在result中 urls一般有文件的url链接 某 APK 一键提取反编
资产信息收集实战
weixin_59114667的博客
02-28 516
概念:信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透测试过程中更好的进行。比如目标站点IP、中间件、脚本语言、端口、邮箱等等。信息收集包含资产收集但不限于资产收集。
第9篇:信息收集~APP及其他资产
廖一语山的博客
09-11 684
目录前言正文涉及案例 前言   在安全测试中,若WEB无法获得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续的渗透,那么其中的信息收集就尤为重要,这里我们用案例讲解试试如何!(还是上篇的大图) 正文 涉及案例 ...
小迪安全|第09天:信息收集-APP及其他资产
欢迎相互探讨交流知识呀~
09-24 237
笔记
【小迪安全day09】信息收集——APP 及其他资产
RichUee的博客
11-29 269
在安全测试中,若WEB无法取得进展或无WEB的情况下,我们需要借助APP或其他资产在进行信息收集,从而开展后续渗透,那么其中的信息收集尤为重要。
09-信息收集-APP及其他资产
m0_62670778的博客
02-01 878
在安全测试中,若 WEB 无法取得进展或无 WEB 的情况下,我们需要借助 APP 或其他资产在进行信息收集,从而开展后续渗透。在使用黑暗引擎扫描网站的时候,不要加上www,这样就可以扫出网站的子域名。Web漏洞评估 — 网站功能较少,存在漏洞的可能性比较低。尝试登录,发现可以登录。:要进行记录,每个都要进行nmap扫描和黑暗引擎扫描。尝试登录,没有登录进去,通过源码查看特殊关键字。— 发现了以前使用过的网站 — 是使用php的。对网站进行扫描 — 发现5个子域名。查看点击子域名 — 发现一个登录。
【渗透技巧】资产探测及信息收集
热门推荐
03-24 1万+
一、前言 在众测中,基本上SRC的漏洞收集范围有如下几种形式: 形式一:暂时仅限以下系统:www.xxx.com,其他域名不在此次测试范围内 形式二:只奖励与*.xxx.com相关的漏洞 形式三:无限制 形式一,基本被限定了范围 形式二,注重于子域名的收集 形式三,子域名及相关域名的收集 另外,随着企业内部业务的不断壮大,各种业务平台和管理系统越来越多,很多单位往往存在着“隐形资产”,...
B站小迪安全学习笔记第9天-信息收集APP及其他资产
m0_61530426的博客
07-15 309
B站小迪安全笔记
iBizEAM设备资产管理系统-其他
06-12
满足上万级用户的高性能需求,致力于提供高可用度、全业务覆盖的重度开源项目,iBizEAM既提供传统设备资产管理系统的两大静态主线和一根动态主线,又可以面向IOT提供设备信息采集监控的全面接口体系。 iBiz致力于...
资产工具安装包,用于收集电脑硬件、安装软件各种信息
02-27
2、运行2-scan.cmd,进行资产数据采集,运行完成会自动关闭所有窗口。 3、对于离线或与itam.laki.cn无法通讯的电脑,可以跳过第1步,直接运行第2步,会在U盘上生成一个 机器名.xml文件,请将此文件给资产管理员。
论文研究 - 数据有限的公共基础设施资产评估
06-01
许多公用事业机构缺乏检查地下基础设施的资源,因此需要其他数据收集方法。 本文的概念是开发一种手段来获取资产数据以进行状态评估(埋管不可见,并且在大多数情况下无法真正评估)。 结果发现,对于掩埋的基础...
小蓝本爬虫工具,资产收集,收集企业的小程序、公众号、web站点、APP等.zip
01-19
爬虫(Web Crawler)是一种自动化程序,用于从互联网上收集信息。其主要功能是访问网页、提取数据并存储,以便后续分析或展示。爬虫通常由搜索引擎、数据挖掘工具、监测系统等应用于网络数据抓取的场景。 爬虫的...
python自学教程-04-自定义JavaScript.ev4.rar
05-21
python自学教程-04-自定义JavaScript.ev4.rar
严蔚敏数据结构全套C语言实现
05-21
严蔚敏数据结构全套C语言实现
Java_Android的可扩展媒体播放器.zip
05-21
Java_Android的可扩展媒体播放器
源代码-DBAdmin 在线Access数据库管理程序 v2.3.zip
最新发布
05-21
源代码-DBAdmin 在线Access数据库管理程序 v2.3.zip
内网ip资产收集工具
11-25
内网IP资产收集工具是一种用于扫描和收集公司内部网络中所有计算机、服务器、网络设备和其他IP地址的工具。它能够帮助网络管理员全面了解公司内部网络的整体架构和IP资产情况,从而更好地进行网络管理和安全防护。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值