本文来自“白帽子社区知识星球”
作者:tzzzez
FOFA的"陨落"意味着一大信息收集利器的告别,但是除了fofa还有哪些工具可以进行信息收集呢?
Shodan
URL:https://www.shodan.io/
他在信息收集功能上并不完全,但是他在本质上是一个"暗黑"搜索引擎。通过对关键字的搜索寻找存在漏洞的服务商。
例如对tp框架进行搜索
还可以查看服务商可能存在的漏洞
ZoomEye
"钟馗之眼"——ZoomEye
URL:https://www.zoomeye.org/
支持IP批量扫描,文件搜索和图标搜索。
同样对对tp框架进行搜索
zoomeye对服务商也提供了漏洞扫描功能
X情报社区
URL:https://x.threatbook.cn/
X情报社区是一个威胁分析平台和情报分享社区。支持全球恶意 IP、恶意域名、白名单域名、恶意 URL、远控 C&C、 恶意钓鱼URL、黑白文件 Hash、 SSL 数字证书等的快速检索。
主要是针对威胁情报信息共享平台。
IP查询
URL:https://www.ip138.com/
基础信息收集,提供的服务有IP地址查询,旁站查询,子域名查询等。
超级ping
URL:https://ping.chinaz.com/
查询网站是否存在cdn。
在线子域名爆破
URL:https://phpinfo.me/domain
在线爆破子域名的网站
云悉指纹查询
URL:https://www.yunsee.cn/
查询网站的cms指纹
Get-site-ip
URL:https://get-site-ip.com/
解决cdn问题,获取真实ip地址
大宝剑
狼组安全团队开发的资产收集工具。
ARL资产灯塔系统
URL:https://github.com/TophantTechnology/ARL
旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。
如果觉得本文不错的话,欢迎加入知识星球,星球内部设立了多个技术版块,目前涵盖“WEB安全”、“内网渗透”、“CTF技术区”、“漏洞分析”、“工具分享”五大类,还可以与嘉宾大佬们接触,在线答疑、互相探讨。
▼扫码关注白帽子社区公众号&加入知识星球▼
原文始发于微信公众号(白帽子社区):WEB渗透第一步------信息收集
- 我的微信
- 微信扫一扫
-
- 我的微信公众号
- 微信扫一扫
-
评论