SRC挖掘-教育行业平台&规则&批量自动化
2024-8-25 18:57:22 Author: mp.weixin.qq.com(查看原文) 阅读量:20 收藏

SRC挖掘-教育行业平台&规则&批量自动化

思维导图

正文

案例1:Python-Foda-Xray联动常规批量自动化

写Python脚本,将教育行业漏洞报告平台上的所有学校都爬下来。


import requests
import time
from lxml import etree
 
def get_edu_name():
    for i in range(1,196):
        url = "https://src.sjtu.edu.cn/rank/firm/?page="+str(i)
        try:
            result = requests.get(url).content.decode("UTF-8")
            soup = etree.HTML(result)
            name = soup.xpath('//td[@class="am-text-center"]/a/text()')
            print('->'+str(i))
            print(name)
            name = '\n'.join(name)
            with open(r'edu_name.txt','a+',encoding='utf-8') as f:
                    f.write(name + '\n')
        except Exception as e:
            time.sleep(0.5)
            pass
 
if __name__ == '__main__':
    get_edu_name()

或者也可以在fofa上搜索(需要买会员)

结果爬下来173861个教育网站地址。

域名都爬下来之后,用xray,awvs等工具进行批量测试。

案例2:Python-Foda-Exploit联动定点批量自动化

在seebug(https://www.seebug.org/)上找到一个最新的有POC的漏洞,对POC二次开发使之可以批量测试。比如jumpserver远程命令执行漏洞

在fofa上搜索使用jumpserver的教育行业网站,找到3个网站使用了jumpserver。

对这3个网站使用poc自动化定点测试。

如果你是一个长期主义者,欢迎加入我的知识星球,我们一起往前走,每日都会更新,精细化运营,微信识别二维码付费即可加入,如不满意,72 小时内可在 App 内无条件自助退款

往期回顾

dom-xss精选文章

年度精选文章

Nuclei权威指南-如何躺赚

漏洞赏金猎人系列-如何测试设置功能IV

漏洞赏金猎人系列-如何测试注册功能以及相关Tips

原文:https://blog.csdn.net/qq_22132931/article/details/127246273?spm=1001.2014.3001.5502


文章来源: https://mp.weixin.qq.com/s?__biz=MzIzMTIzNTM0MA==&mid=2247495586&idx=1&sn=f65a14b283bb502d7af269fa1ac7b1db&chksm=e8a5e5c1dfd26cd7cb730c116309785d01361f3617785f807fedb4eaffec195840a85b3a8bc9&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh