IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 开发工具 -> 信息收集&CMS -> 正文阅读

[开发工具]信息收集&CMS

知识点:

  1. CMS指纹识别源码获取方式

  2. 习惯&配置&特性等获取方式

  3. 托管资产平台资源搜索监控

详细点:

参考

源码泄漏原因:

1、从源码本身的特性入口

2、从管理员不好的习惯入口

3、从管理员不好的配置入口

4、从管理员不好的意识入口

5、从管理员资源信息搜集入口

那么我们就可以从这五个方面去收集源码

也可以找管理员买¥¥¥到位就OK

源码泄漏集合:

composer.json

git源码泄露

svn源码泄露

网站备份压缩文件

WEB-INF/web.xml 泄露

DS_Store 文件泄露

SWP 文件泄露

Bzr泄露

GitHub源码泄漏

注意

当你要去收集某一个源码的时候,你要知道他是不是违法的,或者是不是在某种意义上的APP或者网站,在上节课中我讲到了,收集违法的棋牌APP源码和一些网站源码,那么不是每一种开源的源码都能通过百度找到,某些违法的源码他在我们百度中是无法找到的,很难,那么你就需要谷歌或者黑色引擎去协助你寻找。

CMS直通车

那么我们去识别别人的CMS有什么方法呢?

第一

直接看logo

什么直接看,有的源码他是有一个商业logo的

就像下面这个

https://www.shengcaiyoushu.com/

我们看到他这个logo

网上搜一下

http://cai.xuanxq.com/

出了一个和他一样的logo的

这就是一种思路

第二

用网上的一些免费的CMS网站

http://whatweb.bugscaner.com/look/

拿此网站做实验

https://jamesqi.com/
在这里插入图片描述
识别出来了

在这里插入图片描述
找到他对应的源码

第三

CMS脚本识别

https://github.com/Tuhinshubhra/CMSeek
在这里插入图片描述
CMS是WorrPress

下载地址在URL

第四

这个呢其实就是管理员操作不规范让我们获取的

为什么这么说呢

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

那么想要知道对方网站目录下有什么文件

可以通过我们的7号特工

去扫描他

第五

当我们看到这样的页面的时候

http://trafficbonus.com/.svn/entries

在这里插入图片描述

这就好玩了

https://github.com/callmefeifei/SvnHack

下载这个脚本

搭建python 2.7

然后调用2.7python.exe

参考命令

E:\py2\python.exe SvnHack.py -u http://trafficbonus.com/.svn/entries --download

在这里插入图片描述
在这里插入图片描述
上面那个文件夹就是你下载的

第六

当你通过发现访问某个地址

会下载一个东西的时候

http://zhuchao.yslts.com/.DS_Store

pip install -r requirements.txt

C:\Users\Lenovo\Downloads\007-泄漏&svn&git&DS_Store等\ds_store_exp-master>E:\py2\python.exe
ds_store_exp.py http://zhuchao.yslts.com/.DS_Store

第七

访问一个网站就把/composer.json

放上去

http://cmdesign.com.cn/

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
这就是他源码的网站

打开
在这里插入图片描述

第八

GITHUB

in:name test               #仓库标题搜索含有关键字 
in:descripton test         #仓库描述搜索含有关键字 
in:readme test             #Readme文件搜素含有关键字 
stars:>3000 test           #stars数量大于3000的搜索关键字 
stars:1000..3000 test      #stars数量大于1000小于3000的搜索关键字 
forks:>1000 test           #forks数量大于1000的搜索关键字
forks:1000..3000 test      #forks数量大于1000小于3000的搜索关键字 
size:>=5000 test           #指定仓库大于5000k(5M)的搜索关键字 
pushed:>2019-02-12 test    #发布时间大于2019-02-12的搜索关键字 
created:>2019-02-12 test   #创建时间大于2019-02-12的搜索关键字 
user:test                  #用户名搜素 
license:apache-2.0 test    #明确仓库的 LICENSE 搜索关键字 
language:java test         #在java语言的代码中搜索关键字 
user:test in:name test     #组合搜索,用户名test的标题含有test的
关键字配合谷歌搜索:
site:Github.com smtp   
site:Github.com smtp @qq.com   
site:Github.com smtp @126.com   
site:Github.com smtp @163.com   
site:Github.com smtp @sina.com.cn 
site:Github.com smtp password 
site:Github.com String password smtp
  开发工具 最新文章
Postman接口测试之Mock快速入门
ASCII码空格替换查表_最全ASCII码对照表0-2
如何使用 ssh 建立 socks 代理
Typora配合PicGo阿里云图床配置
SoapUI、Jmeter、Postman三种接口测试工具的
github用相对路径显示图片_GitHub 中 readm
Windows编译g2o及其g2o viewer
解决jupyter notebook无法连接/ jupyter连接
Git恢复到之前版本
VScode常用快捷键
上一篇文章      下一篇文章      查看所有文章
加:2022-05-09 12:56:36  更:2022-05-09 12:57:35 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/26 2:28:28-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码