Peb cov npoj yaig BeLove Kuv twb ua tej yam zoo li no lawm muab tso ua ke txog xya xyoo dhau los. Nws yog qhov nthuav kom pom cov cuab yeej twg tau khaws thiab ntxiv dag zog rau lawv txoj haujlwm, thiab cov twg tau ploj mus rau hauv keeb kwm yav dhau thiab tam sim no tsis tshua siv.
* Tshawb nrhiav Internet web archives: ArchiveIt, ArchiveToday, Arquivo, LoCARchive, OpenUKArchive, UKGovArchive, Wayback;
Kev koom ua ke nrog Maltego;
Muab cov kev pabcuam ua tiav tshaj plaws ntawm txoj haujlwm tshawb nrhiav DNS subdomains.
Txais:
Ceev faj nrog amass.netdomains - nws yuav sim hu rau txhua tus IP chaw nyob hauv cov txheej txheem txheeb xyuas thiab tau txais cov npe sau los ntawm rov qab DNS lookups thiab TLS daim ntawv pov thawj. Qhov no yog cov txheej txheem "high-profile", nws tuaj yeem qhia koj cov haujlwm txawj ntse hauv lub koomhaum hauv kev tshawb nrhiav.
Kev siv lub cim xeeb siab, tuaj yeem haus txog li 2 GB ntawm RAM hauv cov chaw sib txawv, uas yuav tsis tso cai rau koj khiav cov cuab yeej no hauv huab ntawm pheej yig VDS.
Altdns
Altdns - Cov cuab yeej Python rau sau cov phau ntawv txhais lus rau suav DNS subdomains. Tso cai rau koj los tsim ntau yam sib txawv ntawm subdomains siv kev hloov pauv thiab kev hloov pauv. Rau qhov no, cov lus uas feem ntau pom nyob rau hauv subdomains yog siv (piv txwv li: test, dev, staging), tag nrho cov kev hloov thiab permutations raug siv rau cov subdomains twb paub lawm, uas tuaj yeem xa mus rau Altdns input. Cov zis yog ib daim ntawv teev cov variations ntawm subdomains uas muaj nyob, thiab daim ntawv no yuav tom qab ntawd siv rau DNS brute quab yuam.
Tshaj:
Ua haujlwm zoo nrog cov ntaub ntawv loj.
dej hiav txwv
dej hiav txwv - yav dhau los paub zoo tias yog lwm lub cuab yeej rau kev tshawb nrhiav subdomains, tab sis tus sau nws tus kheej tso tseg qhov no hauv kev pom zoo ntawm Amass tau hais tseg. Tam sim no aquatone tau rov sau dua hauv Go thiab tau npaj ntau dua rau kev soj ntsuam ua ntej ntawm cov vev xaib. Txhawm rau ua qhov no, aquatone mus dhau ntawm cov npe teev tseg thiab tshawb xyuas cov vev xaib ntawm cov chaw nres nkoj sib txawv, tom qab ntawd nws sau tag nrho cov ntaub ntawv hais txog lub xaib thiab siv lub screenshot. Yooj yim rau kev tshawb nrhiav ua ntej sai ntawm cov vev xaib, tom qab ntawd koj tuaj yeem xaiv lub hom phiaj tseem ceeb rau kev tawm tsam.
Tshaj:
Cov zis tsim ib pab pawg ntawm cov ntaub ntawv thiab cov folders uas yooj yim siv thaum ua haujlwm ntxiv nrog lwm yam cuab yeej:
* HTML daim ntawv qhia nrog sau screenshots thiab cov lus teb cov npe pab pawg los ntawm qhov zoo sib xws;
MassDNS NWS yog lwm lub cuab yeej los nrhiav DNS subdomains. Nws qhov sib txawv tseem ceeb yog tias nws ua rau cov lus nug DNS ncaj qha rau ntau qhov sib txawv DNS daws teeb meem thiab ua li ntawd ntawm kev ceev ceev.
Tshaj:
Ceev ceev - muaj peev xwm daws tau ntau dua 350 txhiab lub npe ib ob.
Txais:
MassDNS tuaj yeem ua rau muaj teeb meem loj ntawm DNS daws teeb meem hauv kev siv, uas tuaj yeem ua rau txwv tsis pub cov servers lossis kev tsis txaus siab rau koj ISP. Tsis tas li ntawd, nws yuav tso cov khoom loj ntawm lub tuam txhab DNS servers, yog tias lawv muaj lawv thiab yog tias lawv muaj lub luag haujlwm rau cov npe koj tab tom sim daws.
Cov npe ntawm cov neeg daws teeb meem tam sim no tsis tu ncua, tab sis yog tias koj xaiv cov kev daws teeb meem DNS tawg thiab ntxiv cov neeg paub tshiab, txhua yam yuav zoo.
Screenshot ntawm aquatone v0.5.0
nsq 3 map
nsq 3 map yog lub cuab yeej Python kom tau txais cov npe tag nrho ntawm DNSSEC-tiv thaiv cov thawj.
Zoo li sqlmap, nws tsis tsuas pom muaj qhov tsis zoo, tab sis kuj tshawb xyuas qhov ua tau ntawm nws txoj kev siv rau MongoDB thiab CouchDB.
Txais:
Tsis txhawb NoSQL rau Redis, Cassandra, kev txhim kho tab tom ua hauv cov lus qhia no.
oxml_xx ib
oxml_xx ib - ib lub cuab tam rau embedding XXE XML exploits rau hauv ntau hom ntaub ntawv uas siv cov XML hom nyob rau hauv ib co daim ntawv.
Tshaj:
Txhawb ntau hom ntawv xws li DOCX, ODT, SVG, XML.
Txais:
Kev them nyiaj yug rau PDF, JPEG, GIF tsis ua tiav;
Tsim ib daim ntawv xwb. Txhawm rau daws qhov teeb meem no koj tuaj yeem siv lub cuab yeej docem, uas tuaj yeem tsim ntau cov ntaub ntawv payload nyob rau ntau qhov chaw.
Cov khoom siv saum toj no ua haujlwm zoo ntawm kev sim XXE thaum thauj cov ntaub ntawv uas muaj XML. Tab sis kuj tseem nco ntsoov tias cov neeg tuav ntaub ntawv XML tuaj yeem pom nyob rau hauv ntau qhov xwm txheej, piv txwv li, XML tuaj yeem siv los ua cov ntaub ntawv hom tsis yog JSON.
Yog li ntawd, peb xav kom koj ua tib zoo mloog rau cov chaw khaws cia hauv qab no, uas muaj ntau qhov sib txawv ntawm cov khoom thauj: PayloadsAllTheThings.
tplm ua
tplm ua - lub cuab yeej Python rau kev txheeb xyuas thiab siv Server-Side Template Injection vulnerabilities; nws muaj kev teeb tsa thiab chij zoo ib yam li sqlmap. Siv ntau hom kev sib txawv thiab vectors, suav nrog kev txhaj tshuaj tsis pom kev, thiab tseem muaj cov txheej txheem rau kev ua tiav cov lej thiab thauj khoom / xa tawm cov ntaub ntawv tsis txaus ntseeg. Tsis tas li ntawd, nws muaj nyob rau hauv nws cov txheej txheem arsenal rau ntau lub tshuab qauv sib txawv thiab qee cov tswv yim rau kev tshawb nrhiav eval()-zoo li code txhaj hauv Python, Ruby, PHP, JavaScript. Yog tias ua tiav, nws qhib qhov kev sib tham sib console.
Tshaj:
Muaj ntau ntau hom kev sib txawv thiab vectors;
Txhawb ntau template rendering cav;
Muaj ntau txoj kev ua haujlwm.
CeWL
CeWL - lub tshuab hluav taws xob phau ntawv txhais lus hauv Ruby, tsim los rho tawm cov lus tshwj xeeb los ntawm lub vev xaib uas tau teev tseg, ua raws cov kev sib txuas ntawm lub xaib mus rau qhov tob uas tau teev tseg. Cov phau ntawv txhais lus muab tso ua ke ntawm cov lus tshwj xeeb tom qab tuaj yeem siv los brute yuam passwords ntawm cov kev pabcuam lossis brute force cov ntaub ntawv thiab cov npe ntawm tib lub vev xaib, lossis tawm tsam qhov tshwm sim uas siv hashcat lossis John the Ripper. Muaj txiaj ntsig thaum sau cov npe "lub hom phiaj" ntawm cov passwords muaj peev xwm.
Tshaj:
Yooj yim rau siv.
Txais:
Koj yuav tsum tau ceev faj nrog kev tshawb nrhiav qhov tob kom tsis txhob ntes tus sau ntxiv.
Weakpass
Weakpass - ib qho kev pabcuam uas muaj ntau phau ntawv txhais lus nrog tus password tshwj xeeb. Muaj txiaj ntsig zoo rau ntau yam dej num ntsig txog tus password tawg, xws li los ntawm kev yooj yim online brute quab yuam ntawm cov nyiaj ntawm cov phiaj xwm kev pabcuam, mus rau off-line brute quab yuam ntawm tau txais hashes siv hassab los yog John Lub Ripper. Nws muaj txog 8 billion tus passwords txij li 4 txog 25 tus cim ntev.