欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

教你如何获取360网站安全检测扫描官方御用字典

来源:vuln.cn 作者:Sofia 时间:2017-05-02 TAG: 我要投稿

 这是我之前发表在土司的一篇文章,在这里也分享给大家

360是个恶心的东西大家都懂的,但是有的时候我们可以小小的利用下。
先上个图:

360平台扫描 
360网站在线扫描是可以扫描任意网站的,什么意思呢?我可以直接输入别人的网址,360会直接进行扫描,但是如果想看到扫描报告,那就得验证站长权限了。

获取360平台扫描字典

既然360会扫描那就会有日志,那么我们就可以直接获得360扫描所用的字典。


把这些内容正则匹配一下就直接得到一个字典日志。


另外也可以用反向代理来扫描漏洞,在这里给大家贴一个我自己用的nginx反向代理配置,直接可用其中:www.vuln.cn为自己域名,www.test.com为目标网站

server
    {
        listen 80 ;
        #listen [::]:80 default_server ipv6only=on;
        server_name www.vuln.cn;
        index index.html index.htm index.php;
        root  /home/wwwroot/default;
        proxy_set_header Host www.test.com;
        proxy_set_header x-forwarded-for $remote_addr;
        location / {
        proxy_pass http://www.test.com;
        sub_filter 'www.test.com'  '$host';
        sub_filter_once off;
        sub_filter_types *;
        proxy_set_header Accept-Encoding "";
        proxy_buffering off;
        }
        index index.html index.htm index.php;

        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf|js|css)$
           {
               proxy_pass http://www.test.com;

               if (-f $request_filename) {

                 expires 1d;

                 break;

                 }

          }

error_page   404   /404.php;
        include enable-php.conf;

        location /nginx_status
        {
            stub_status on;
            access_log   off;
        }

        location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
        {
            expires      30d;
        }

        location ~ .*\.(js|css)?$
        {
            expires      12h;
        }

        location ~ /\.
        {
            deny all;
        }

        access_log  /home/wwwlogs/access.log  access;


          #这里填写360验证站长的txt文件名,
        location ~ 360认证文件名.(txt)$ {
#放到本地站点根目录,当get这个地址的时候就会请求本地。
        root /home/wwwroot/default/;

        }
        }

配置好,重启nignx,访问自己域名即可返回www.test.com内容,所以,当扫描自己网站的时候实际请求的是www.test.com


获取扫描日志:
将404文件修改为:

$data = $_SERVER['REQUEST_URI'] . "\n";
if ($_POST) {
    foreach ($_POST as $key => $value) {
        $data.= "$key=$value" . '\n';
    }
}
file_put_contents("log.txt", $data, FILE_APPEND);
或者还是直接看access.log

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载