如何对互联网中存在后台弱口令的网站进行批量扫描
作者:FancyPig | 发布时间: | 更新时间:
前言
本教程仅用于网安的资产测绘、信息收集环节,请不要用于非法用途。
小贴士
建议下面教程请提前开好代理,使用全局模式
data-postsbox="{"id":2618,"title":"如何隐藏自己的真实IP地址 防止被溯源/恶意钓鱼","author":"FancyPig","author_id":1,"cover_image":"","cover_video":"","views":26270,"comment_count":1165,"category":"cybersecurity","is_forum_post":false}">{"id":2618,"title":"如何隐藏自己的真实IP地址 防止被溯源/恶意钓鱼","author":"FancyPig","author_id":1,"cover_image":"","cover_video":"","views":26270,"comment_count":1165,"category":"cybersecurity","is_forum_post":false}
不要直接用自己本机的IP地址进行扫描
利用FOFA进行信息收集
利用FOFA收集包含后台登陆字样的页面
FOFA网络空间测绘系统 网址https://fofa.so/
title="后台登陆" && is_domain=true当然,也可以是这个登录
title="后台登录" && is_domain=true可以找到很多相关的后台页面
我们随便打开一个看下,可以正常访问
将这里的一些管理系统的后台入口添加到扫描器中(温馨提示:请不要添加gov.cn的,No Zuo No Die)
利用AWVS小工具进行批量扫描
AWVS如果没有安装,先要安装好
data-postsbox="{"id":2111,"title":"渗透测试工具 AWVS 14.4.2最新破解版下载","author":"Sec-Labs","author_id":10015,"cover_image":"","cover_video":"","views":3812,"comment_count":12,"category":"software","is_forum_post":false}">{"id":2111,"title":"渗透测试工具 AWVS 14.4.2最新破解版下载","author":"Sec-Labs","author_id":10015,"cover_image":"","cover_video":"","views":3812,"comment_count":12,"category":"software","is_forum_post":false}
生成APIKEY
进入AWVS后台,点击右上角配置文件
生成API密钥
复制密钥
粘贴到awvs_config.ini
使用教程
配置url.txt,将你要批量扫描的地址填入
打开awvs_add_url-v2.0.exe文件
先选择1,然后选择5
之后就可以进行批量扫描了
这里会提示已加入队列
我们在awvs后台可以看到:扫描已经通过脚本添加进来了
运气好的话会扫到几个有漏洞的网站,记得跟网站的管理员去反馈一下哦!
源码编译
这里提供了源码,供大家进行二次开发,诸如修改文字提示等等