0


安全基础~信息搜集3

文章目录

知识补充

端口渗透总结

python Crypto报错:https://blog.csdn.net/five3/article/details/86160683

APP信息搜集

  1. AppInfoScanner
    移动端(Android、iOS、WEB、H5、静态网站)信息收集扫描工具
    使用教程
    演示:
  • 下载,并配置完成step1
  • 命令step2
  • 结果输出step3
  • 结果测试 出现许多的连接,有的可以访问,咳咳结果…;有的跳转到了PayPal;有的则拒绝访问;有的返回json格式的输出;有的则下载了下来,各式各样。
  1. apkAnalyser
    一键提取安卓应用中可能存在的敏感信息。
    使用教程
    演示:
  • 不需要配置文件,创建一个apps文件夹,将apk文件放进去step1
  • 生成一个result文件夹,里面有apk同名的文件夹,其中files下是反编译文件。step2

step3

  • 除了files之外生成的其它文件都是从apk中提取出来的step4
  1. 使用bp进行信息搜集
    通过“Proxy-Options”调整代理监听地址端口
    把手机模拟器也设置对应的代理地址和端口
    关闭“Intercept”,代理开着,尽量点开更多的页面
    从“HTTP history”查看数据包

  2. 安卓修改器
    用到查壳工具,使用

    java -jar 查壳ApkScan-PKID.jar
    

    运行。也可以使用PE工具进行查询。

APP-资源提取-安装泡&资源文件
使用安卓修改大师导入apk文件,可对域名资源进行收集
还可使用IDEA对反编译出的项目进行资源收集
5. nmap扫描
https://www.jianshu.com/p/4030c99fcaee

  1. 黑暗引擎扫描(shodan、ZoomEye、fofa)
    也可以使用高精度ip定位,直接搜索即可
    查询子域名和证书 https://crt.sh
    演示案例

#自动化收集工具:
域名收集及枚举工具:https://github.com/bit4woo/teemo
kunyu基于 API 的高效信息收集工具:https://github.com/knownsec/Kunyu
水泽自动化信息搜集工具:https://github.com/0x727/ShuiZe_0x727
可视化信息搜集(资产侦察灯塔系统):https://github.com/TophantTechnology/ARL
#相关资源:
https://forum.ywhack.com/center.php
信息搜集图

php开发学习理解漏洞

https://blog.csdn.net/qq_46343633/article/details/134434690

标签: 安全

本文转载自: https://blog.csdn.net/qq_63792137/article/details/135142413
版权归原作者 `流年づ 所有, 如有侵权,请联系我们删除。

“安全基础~信息搜集3”的评论:

还没有评论