网站建设教程菜鸟教程,领导交给你一个网站你该怎么做,广州企业网站,种子搜索神器0、关于为什么要写这篇文章
作为刚接触渗透的小伙伴儿肯定都想快速挖到漏洞提交平台获取注册码#xff0c;或者想获取更多积分换取证书#xff0c;这篇文章就是为了帮助各位师傅们快速上手挖取教育src
1、开始前准备
每一次成功的渗透#xff0c;都有一个非常完备的信息搜…0、关于为什么要写这篇文章
作为刚接触渗透的小伙伴儿肯定都想快速挖到漏洞提交平台获取注册码或者想获取更多积分换取证书这篇文章就是为了帮助各位师傅们快速上手挖取教育src
1、开始前准备
每一次成功的渗透都有一个非常完备的信息搜集。某老师傅说的信息搜集的广度决定了攻击的广度知识面的广度决定了攻击的深度。信息搜集永远都是渗透人员最重要的必修课关于信息搜集想必其他的文章都已经提到很多了比如子公司域名子域名IPV4IPV6小程序APPPC软件等等我这儿既然是快速挖取就肯定是用工具来帮助我们
在这里的话建议在自己服务器或者虚拟机装一个ARL灯塔资产信息搜集工具下面的内容也是基于这款工具进行讲解
2、信息搜集工具安装
「ARL资产安全灯塔」简单来说就是一款信息收集的神奇用起来非常方便快捷比纯手工去信息收集快很多用起来也是爽到飞起十分推荐。 灯塔是基于docker的所以需要大家先在linux上安装dockerdocker安装很快的按照步骤几分钟就搞定 Centos安装Docker教程 Kali安装Docker教程
1从github克隆ARL
git clone https://github.com/TophantTechnology/ARL2进入桌面的ARL文件夹下的docker文件夹
cd ARL
cd docker3创建容器数据卷
docker volume create --namearl_db4启动ARL
docker-compose up -d等待下载安装就行之后会自动启动
5配置fofa-api
安装完成后确定进入ARL/docker目录下编辑config-docker.yaml文件
vim config-docker.yaml配置自己的FOFA-API信息如下 PS:(fofa-api在登陆fofa之后个人中心处查看这儿最好是有fofa高级会员因为普通会员只能查看60条数据高级会员能看10W条高级会员搜集信息更加全面这里我提供自有高级会员API)
FOFA:URL: https://fofa.infoEMAIL: hackfreedomqq.comKEY: a12cb19bef004a5a5524a58a5e2bee69配置好后如图
6登陆到ARL
https://你的ip地址:5003这里的ip就是kali的ip如果你的kali安装在虚拟机你可以用kali自带的火狐浏览器打开也可以在本机上用自己的浏览器输入kali虚拟机的ip进行访问。
Tips ~如果你输入ip还是访问不了记得检查一下是不是https输入http是打不开的要输入https。 账号:admin
密码:arlpass 登陆之后进入主页 最后一步配置一下资产搜集策略新建一个策略输入一个策略名称之后把所有能选的都选上提交就行
3、漏洞挖掘
1登陆灯塔资产搜集工具使用如下语法
hostedu.cn countryCN这个语句基本上能查找出来fofa中所有的页面了
2灯塔里边任务管理选择fofa任务下发输入查询语句进行测试能返回结果就行接下来点确定 3之后就是等待因为结果太多看你电脑性能至少也要1天等搜集结束就行 4结束之后点进去灯塔搜集资产时自带poc会帮我们发现漏洞点或者文件泄露点 5接下来就是挨个验证我这里给大家举个例
这个文件泄露点你访问之后会下载该大学的程序源代码 解压之后就是所有程序源代码 直接查看配置文件就能发现数据库连接账号密码等
6去教育src平台提交漏洞等待审核通过就行啦 祝各位师傅早日挖到src漏洞获取证书创作不易点个赞呗~~
