最近看微博,freebuf,安全圈子内,都在讨论这个叫做ZoomEye的东西,一直没深入研究过。看官方说明文档之类的,大概是可以根据关键字,搜索出使用关键字的网站地址,还可以继续搜索使用Mysql,MongoDB,MSSQL数据库等服务器,进行安全测试。虽然ZoomEye还没有很完善,但是用起来好厉害的样子。这让我们这些小黑们,对此产生了很大的兴趣喔。
提示:禁止任何非授权的渗透测试
下面演示一下使用的方法吧,比如我们查找使用IIS的网站,输入iis就会自动补全了。光找出IIS有什么用呢?大家都知道IIS7.0有PHP解析漏洞,我们可以收集这些网址,进行批量攻击。请原谅我和我的小伙伴们小小的淫荡了一下:)
温馨提示一下:ZoomEye很蛋疼的是最多只能检索前十页,每页十个网站,也就是说,一次最多只能批量100个网站!太坑了,节操碎了一地啊- -!
下面用Dedecms 5.5的一个很老的漏洞,来演示这玩意的威力吧。我们搜索使用Dedecms 5.5版本的网站。
这样就会展现出来所有使用了dedecms5.5的网站。我们可以收集这一批网址,进行批量精准打击。本尊只能想到批量搞了,其他神马的利用,各位牛淫自己发挥想想吧,“打飞机”不违法喔。
写了一个小脚本,给大家展示一下。用法如下:
攻击测试中的截图:
攻击的效果还是很不错的,但是已经想到的坑爹现象还是出现了,用了一次之后就不能用了,被ZoomEye给屏蔽掉了,看来ZoomEye做的防爬虫效果还不错。
也不知道知道创宇开发这个是有什么居心,到底是为了安全,还是为了黑客们方便,不过我和我的小伙伴们还是很赞同开放这个。伙伴们最喜欢的就是为黑客们提供了便利,不过这样开放也确实推动了互联网安全。
小伙伴们说:“顶满100楼,放出批量攻击测试脚本”
--by:李天一
欢乐讨论:
我是酱油男 (1级) 我是酱油男 2013-07-05 1楼
天一同学,你想来个轮流发生X关系么
what 2013-07-05 2楼
欲与天公试比高,轮流发生性关系!
mujj (1级) 2013-07-05 3楼
我和我的小伙伴们都惊呆了,一下就发生100次X关系啊。
301 2013-07-05
@mujj 轮流发生100次关系。
init5 (1级) 2013-07-05
@mujj 亮成马了
李双江老湿 2013-07-05 4楼
我儿子是大黑阔!
小伙伴 2013-07-05 5楼
我又惊呆了!
sowhat 2013-07-05 6楼
作者id碉堡了,目测一大堆coser在靠近
softbug (2级) MYIIS-VIF网络安全专家 | www.iisu... 2013-07-05 7楼
个人猜猜:这种站点应该是大数据应用的数据展示。同时也体现了公司业务量大,数据海量,其对数据的一种挖掘展示。至于可以拿来做什么就是仁者见仁智者见智了,比如APP统计展示。还是要感谢有公司能提供这样的站点,提供数据分享。
该站“由 SCANV网站安全中心 技术驱动”。
李天一的爸爸 2013-07-05 8楼
天一,做的不错!
哥特复兴 (1级) 我小时候的理想是做一名诗人作家,但我终究没有成为年少... 2013-07-05
@李天一的爸爸 老李你好,记得我不,我是你老同事,小侄这件事干得不错啊···
eip_0x (6级) 职业网络渗透工程师 2013-07-05 9楼
火药在中国成为了鞭炮,在国外成为了枪炮。。。
一个好的东西看你怎么用,只有站的更高,看的更远才能看到一个东西的价值。。。
zglxw (1级) 2013-07-05 10楼
可想而知他们手里留了多少存活呵呵。太恐怖了亲们。
global_hacker (3级) 2013-07-05 11楼
你妹子啊 多发 黑阔 小心 创于 搞基
李天一的男朋友 2013-07-05 12楼
干的不错,以后会对你温柔点。
noname 2013-07-05 13楼
楼主碉堡了
啊啊 2013-07-05 14楼
楼主碉堡了
superhacker 2013-07-05 15楼
靠,牛叉!
李天二 2013-07-05 16楼
哥,你碉堡了
Freedom (1级) 有梦想,无所谓 2013-07-05 17楼
一大拨黑产帝接近中
发图更健康 2013-07-05 18楼
天一的小伙伴很累的~
命运 2013-07-05 19楼
链接呢
davie (1级) 2013-07-05 20楼
李天一兄弟给力啊 !!
Zhou小灰 (1级) 2013-07-05 21楼
不错的检索工具啊!
雨路 2013-07-05 22楼
http://www.shodanhq.com/search?q=wordpress
http://zoomeye.scanv.com/search?q=wordpress
r3dh4t (1级) 2013-07-08
@雨路 我是来顶这个的。
Liuker (2级) 2013-07-08
@雨路 我擦 露露 你也开发一个 雨露之眼哇 专门搜索AV
batfree 2013-07-05 23楼
为了100楼,兄弟们加把劲啊!
张道陵 2013-07-05 24楼
我感到鸭梨很大
抓鬼的都不务正业去搞站了
lemon (2级) 2013-07-05 25楼
表示既无亮点,也没看出技术含量--
ghost7 2013-07-05 26楼
好吧,为兄弟们支持下
天一 2013-07-05 27楼
继续顶,顶到100楼啊!!
root 2013-07-05 28楼
aaaa
死亡警察 2013-07-05 29楼
警察来到可以放一下
emodark (1级) 脚本小子 2013-07-05 30楼
发工具。
sb 2013-07-06 31楼
打着网络安全的旗号,做着傻逼的事情,还说自己是清白的;做了妓女还想立牌坊?知道创于还解释?
发代码 2013-07-06 32楼
发代码发代码发代码发代码发代码发代码
黑黑的白猫 (1级) 2013-07-06 33楼
我的小伙伴啊~~~~~~~~~~~~~~~~~~
bigfatcat (1级) 2013-07-06 34楼
这个平台估计是收集攻击手法和ip地址吧,然后把他们卖给其他安全公司来赚钱的……..
Yut2 2013-07-06 35楼
发代码发代码发代码发代码发代码发代码 http://www.yut2.com
holyzhou 2013-07-07 36楼
才这么几个 顶一把。
yaya 2013-07-07 37楼
顶满一百楼吧。。·
千秋丶千年 (2级) 2013-07-08 38楼
我也觉得这玩意是方便黑阔。。。LZ的昵称给FB带来了很多新人啊
李双江 2013-07-08 39楼
几楼啦?
HJKing 2013-07-08 40楼
轮流发生X关系了
admin1 2013-07-08 41楼
@hume 兄弟别跨了,累不累
admin 2013-07-05
@hume 兄弟别跨了,累不累