首页 > 工作总结 > 办公室个人工作总结 > 如何用ZoomEye(钟馗之眼)批量获得站点权限

如何用ZoomEye(钟馗之眼)批量获得站点权限

[如何用ZoomEye(钟馗之眼)批量获得站点权限]

   

    了解ZoomEye: 近日,国内互联网安全厂商知道创宇开放了他们的海量数据库,对之前沉淀的数据进行了整合、整理,打造了一个名符其实的网络空间搜索引擎ZoomEye(http://www.zoomeye.org/),该搜索引擎的后端数据计划包括两部分:

1,网站组件指纹:包括操作系统,Web服务,服务端语言,Web开发框架,Web应用,前端库及第三方组件等等,

如何用ZoomEye(钟馗之眼)批量获得站点权限

。2,主机设备指纹:结合NMAP大规模扫描结果进行整合。

    目前只上线了第一部分网站组件指纹。具体介绍看这里:http://blog.knownsec.com/2013/06/%E6%88%91%E4%BB%AC%E6%AD%A3%E5%9C%A8%E5%BC%80%E6%94%BE%EF%BC%9A%E7%BD%91%E7%BB%9C%E7%A9%BA%E9%97%B4%E6%90%9C%E7%B4%A2%E5%BC%95%E6%93%8E/

   

    然后今天在freebuf看到这篇文章,可以说是一个新思路吧,大家可以试试从这里开始XXOO….

    虽然ZoomEye还没有很完善,但是用起来好厉害的样子。这让我们这些小黑们,对此产生了很大的兴趣喔。

    提示:禁止任何非授权的渗透测试

    下面演示一下使用的方法吧,比如我们查找使用IIS的网站,输入iis就会自动补全了,

电脑资料

《如何用ZoomEye(钟馗之眼)批量获得站点权限》(http://www.lp1901.com)。光找出IIS有什么用呢?大家都知道IIS7.0有PHP解析漏洞,我们可以收集这些网址,进行批量攻击。请原谅我和我的小伙伴们小小的淫荡了一下:)

   

    温馨提示一下:ZoomEye很蛋疼的是最多只能检索前十页,每页十个网站,也就是说,一次最多只能批量100个网站!太坑了,节操碎了一地啊- -!

    下面用Dedecms 5.5的一个很老的漏洞,来演示这玩意的威力吧。我们搜索使用Dedecms 5.5版本的网站。

   

    这样就会展现出来所有使用了dedecms5.5的网站。我们可以收集这一批网址,进行批量精准打击。本尊只能想到批量搞了,其他神马的利用,各位牛淫自己发挥想想吧,“打飞机”不违法喔。

    写了一个小脚本,给大家展示一下。用法如下:

   

    攻击测试中的截图:

    攻击的效果还是很不错的,但是已经想到的坑爹现象还是出现了,用了一次之后就不能用了,被ZoomEye给屏蔽掉了,看来ZoomEye做的防爬虫效果还不错。

    也不知道知道创宇开发这个是有什么居心,到底是为了安全,还是为了黑客们方便,不过我和我的小伙伴们还是很赞同开放这个。伙伴们最喜欢的就是为黑客们提供了便利,不过这样开放也确实推动了互联网安全。

    ​

如何用ZoomEye(钟馗之眼)批量获得站点权限2

上一篇:史上最弱的LPL?2017年春季赛LPL战队实力解析

下一篇:四款安卓系统,国产系统越来越好了

1237225