安全基础~信息搜集3

2024-01-07 18:22:24

知识补充

端口渗透总结

python Crypto报错:https://blog.csdn.net/five3/article/details/86160683

APP信息搜集

1. AppInfoScanner
移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具
使用教程
演示:

  • 下载,并配置完成
    step1
  • 命令
    step2
  • 结果输出
    step3
  • 结果测试
    出现许多的连接,有的可以访问,咳咳结果…;有的跳转到了PayPal;有的则拒绝访问;有的返回json格式的输出;有的则下载了下来,各式各样。

2. apkAnalyser
一键提取安卓应用中可能存在的敏感信息。
使用教程
演示:

  • 不需要配置文件,创建一个apps文件夹,将apk文件放进去
    step1
  • 生成一个result文件夹,里面有apk同名的文件夹,其中files下是反编译文件。
    step2

step3

  • 除了files之外生成的其它文件都是从apk中提取出来的
    step4

3. 使用bp进行信息搜集
通过“Proxy-Options”调整代理监听地址端口
把手机模拟器也设置对应的代理地址和端口
关闭“Intercept”,代理开着,尽量点开更多的页面
从“HTTP history”查看数据包

4. 安卓修改器
用到查壳工具,使用java -jar 查壳ApkScan-PKID.jar运行。也可以使用PE工具进行查询。

APP-资源提取-安装泡&资源文件
使用安卓修改大师导入apk文件,可对域名资源进行收集
还可使用IDEA对反编译出的项目进行资源收集
5. nmap扫描
https://www.jianshu.com/p/4030c99fcaee

6. 黑暗引擎扫描(shodan、ZoomEye、fofa)
也可以使用高精度ip定位,直接搜索即可
查询子域名和证书 https://crt.sh
演示案例

#自动化收集工具:
域名收集及枚举工具:https://github.com/bit4woo/teemo
kunyu基于 API 的高效信息收集工具:https://github.com/knownsec/Kunyu
水泽自动化信息搜集工具:https://github.com/0x727/ShuiZe_0x727
可视化信息搜集(资产侦察灯塔系统):https://github.com/TophantTechnology/ARL
#相关资源:
https://forum.ywhack.com/center.php
信息搜集图

php开发学习理解漏洞

https://blog.csdn.net/qq_46343633/article/details/134434690

文章来源:https://blog.csdn.net/qq_63792137/article/details/135142413
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。