记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

如何用ZoomEye(钟馗之眼)批量获得站点权限

2013-07-05 15:50

最近看微博,freebuf,安全圈子内,都在讨论这个叫做ZoomEye的东西,一直没深入研究过。看官方说明文档之类的,大概是可以根据关键字,搜索出使用关键字的网站地址,还可以继续搜索使用Mysql,MongoDB,MSSQL数据库等服务器,进行安全测试。虽然ZoomEye还没有很完善,但是用起来好厉害的样子。这让我们这些小黑们,对此产生了很大的兴趣喔。

提示:禁止任何非授权的渗透测试

下面演示一下使用的方法吧,比如我们查找使用IIS的网站,输入iis就会自动补全了。光找出IIS有什么用呢?大家都知道IIS7.0有PHP解析漏洞,我们可以收集这些网址,进行批量攻击。请原谅我和我的小伙伴们小小的淫荡了一下:)

温馨提示一下:ZoomEye很蛋疼的是最多只能检索前十页,每页十个网站,也就是说,一次最多只能批量100个网站!太坑了,节操碎了一地啊- -!

下面用Dedecms 5.5的一个很老的漏洞,来演示这玩意的威力吧。我们搜索使用Dedecms 5.5版本的网站。

这样就会展现出来所有使用了dedecms5.5的网站。我们可以收集这一批网址,进行批量精准打击。本尊只能想到批量搞了,其他神马的利用,各位牛淫自己发挥想想吧,“打飞机”不违法喔。

写了一个小脚本,给大家展示一下。用法如下:

攻击测试中的截图:

攻击的效果还是很不错的,但是已经想到的坑爹现象还是出现了,用了一次之后就不能用了,被ZoomEye给屏蔽掉了,看来ZoomEye做的防爬虫效果还不错。

也不知道知道创宇开发这个是有什么居心,到底是为了安全,还是为了黑客们方便,不过我和我的小伙伴们还是很赞同开放这个。伙伴们最喜欢的就是为黑客们提供了便利,不过这样开放也确实推动了互联网安全。

小伙伴们说:“顶满100楼,放出批量攻击测试脚本”
--by:李天一
知识来源: www.freebuf.com/articles/web/10918.html

阅读:320451 | 评论:0 | 标签:WEB安全 webshell zoomeye 入侵渗透 拿站

想收藏或者和大家分享这篇好文章→复制链接地址

“如何用ZoomEye(钟馗之眼)批量获得站点权限”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云