Day001

一、Content Discovery

第一个工具:FavFreak

地址:https://github.com/devanshbatham/FavFreak

介绍文章: https://medium.com/@Asm0d3us/weaponizing-favicon-ico-for-bugbounties-osint-and-what-not-ace3c214e139

利用shodan的http.favicon.hash功能,对框架的favicon.ico进行唯一编码,并在shodan上搜索,查找相同的组件或者框架,也可以用来查找子域。

图片发布

第二个工具: feroxbuster

地址:https://github.com/epi052/feroxbuster

feroxbuster是一个Rust写的,网站目录遍历工具。因为是Rust写的,所以速度非常快,我后面会先去看下它的代码,然后看是否可以贡献一些代码,先使用起来。

demo

第三个工具:httpx

地址:https://github.com/encode/httpx

httpx是一个Python http 客户端,支持同步和异步请求,最新的功能,支持CSP,但是我没有搜到CSP的特性。

看视频,是和另外一个工具 subfinder 一起使用。

subfinder -d uber.com | httpx -csp-prob -title -status-code

第四个工具: dirsearch

地址:https://github.com/maurosoria/dirsearch

第五个工具: ffuf

地址:https://github.com/ffuf/ffuf

第六个工具: ReconNote

地址: https://github.com/0xdekster/ReconNote

一个自动化的平台,需要尝试一下

第七个工具:GitDorker

地址: https://github.com/obheda12/GitDorker

是一个Github敏感信息的扫描工具

第八个工具: GoldenNuggets

地址: https://github.com/GainSec/GoldenNuggets-1

是burp的一个插件,列举URI,然后保存下来

二、关注漏洞

开始完整的复现测试facebook的漏洞

  1. https://bugreader.com/marcos@change-the-username-for-any-facebook-page-219

后面专题漏洞

1.https://devcraft.io/2020/10/18/github-rce-git-inject.html

2.https://devcraft.io/2020/10/19/github-gist-account-takeover.html

3.https://mksben.l0.cm/2020/10/discord-desktop-rce.html

三、Rust安全

增加了Rust ctf 项目

1.https://github.com/xxg1413/rust-ctf

发表评论

Fill in your details below or click an icon to log in:

WordPress.com 徽标

您正在使用您的 WordPress.com 账号评论。 注销 /  更改 )

Google photo

您正在使用您的 Google 账号评论。 注销 /  更改 )

Twitter picture

您正在使用您的 Twitter 账号评论。 注销 /  更改 )

Facebook photo

您正在使用您的 Facebook 账号评论。 注销 /  更改 )

Connecting to %s