用AI进行信息收集

admin

145391
文章

119
评论

2025年6月28日11:40:59评论2 views字数 555阅读1分51秒阅读模式

几日随风北海游，回从扬子大江头。——《文天祥》

起因源于来自两位行业资深人士的对话，就要对目标进行渗透测试，小弟不敢不从。然而简短的几句话，就是三天毫无进展。现在的网站，动不动就封ip，动不动就加密，还动不动就数据包还没法重复发送。正确请求如下：

第二次放包就直接400过期了

爆破有验证码就算了，一样也是做了校验，无法重复放包，现在的网站是越来越难做测试了

资产要是按照域名严格来搜索，就那么几个域名，用空间引擎搜来搜去还是那几个，爆破三级域名也还是那几个。那只能另辟蹊跷，问问AI。它告诉我的都是一些常规手法。

看来不再逼一下它是不给我更好的收集方法，下面的方法倒是提醒我了

在旁站确实发现了几个相似的系统，没有了数据包的重发限制，同时利用js的敏感信息查找工具，发现存在爆破密码的接口、注册接口、未授权的接口。通过接口注册，添加高权限，获取到账户且找到默认密码，再通过登录爆破获取到其他的账户，再来打原来的目标，还得是手工一试就是默认密码，密码设置要求是至少存在一个大写字母一个小写字母一个数字不能有三个相同的字符和特殊符号的8位数密码。

到这，登录了多个后台，上传文件处重命名且恶意代码和文件后缀都有校验，有多个账户的密码、身份证和手机号等，到此收工交差。

原文始发于微信公众号（Enginge）：用AI进行信息收集

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

用AI进行信息收集

接口泄露密码至后台登录

远程 Windows 凭据转储与 Shadow Snapshots（卷影副本）漏洞利用与检测

Cdp协议深度应用Web渗透加解密

【AI风险通告】LLaMA-Factory存在远程代码执行漏洞（CVE-2025-53002）

Bypass 403漏洞挖掘

启明星辰发布大模型安全威胁框架（附下载链接）

Vulnhub打靶-Jangow

信息收集之WEB页面开发架构识别从而快速发现是否有已知漏洞

当好的GPT变坏：如何利用受信任的AI工具进行攻击

专题·人工智能安全 | 政府部门DeepSeek私有化部署的安全管理策略研究

发表评论

在线咨询

微信