一、信息收集篇

企业SRC

通过爱企查，查找对方公司的域名，小程序，APP之类的，一般专属src都有可测资产范围。然后使用360quake，OneForAll，鹰图进行子域名查询等等。

eduSRC

对于我们在挖edusrc的时候遇见最大的问题就是如何突破一站式服务大厅的网站，要突破这一点，我们就需要拥有教师的工号、身份证和学生的身份证、学号这些个人隐私信息，所以我们就需要做好信息收集：

利用好谷歌语法查找敏感信息：
site:xxx.edu.cn 这个语句是寻找这个学校的相关域名的站点，但是在这个后面加一些敏感信息就可以指定查找了，比如：
site:xxx.edu.cn 身份证 site:xxx.edu.cn 学号
一般直接可以从奖学金审批表、录取名单等获取很多信息，一般隐私信息都会以doc pdf xls 这些文件发布到网上，所以造成信息泄露（如果你不追求什么漏洞，上上rank 这一个都够你上几百rank 就谷歌搜：site:.edu.cn sfz filetype: pdf|xls|doc 即可。如果以上没有找到自己想要的信息，你就可以去找所在学校相关的教育局站点，因为助学金等奖励都会通过当地教育局进行展开，这样在相关教育局站点我们也可以收集到我们需要的信息。
利用谷歌语法查找脆弱的系统获取信息：
利用谷歌语法查找脆弱的系统获取信息： site:xxx.edu.cn 初始密码利用上面的语法可以查找许多相关弱口令系统，然后利用上面收集的信息，进行登录，从这些能登录进去的系统，我们也可以获取很多有用的信息，在进一步说，至少我们有学生权限的账号了，可以测试水平或者垂直漏洞，毕竟后台漏洞是要比前台多：

然后利用我们收集的信息大量尝试登录即可，如果二者缺一可以思考如何获取，这一点自己思考：
然后再利用我们的初始密码去大量爆破弱口令用户：

利用fofa找一些与edu有关的系统
语法：“系统” && org=“China Education and Research Network Center”

httpx

### Usage

- httpx -h

#### 基本

- -l，-list 域名列表
- -request raw 文件
- -slient 简洁模式

#### 探测

- -sc， -status-code 显示 Status Code

- -td, -tech-detect 显示基于 wappalyzer 的探测网站指纹
- -cl -content-lenght 显示 Content-Length
- -server，-web-server 显示 Server 头
- -ct -conten-type 显示 Content-Type 头
- -rt， -respond-time 显示服务器响应时间
- -title 显示网站标题
- -location 显示重定向 Location 头
- -method 显示请求方式
- -websocket 显示服务使用的 websocket
- -ip 显示主机 IP
- -cname 显示主机 cname
- -cnd 显示使用的 CND
- -probe 显示探测状态

#### 匹配 MATCHERS:

- -mc, -match-code 匹配 Respone 返回相关的状态码 (-mc 200,302)
- -ml, -match-length 匹配 Respone 返回相关的正文长度(-ml 100,102)
- -ms, -match-string 匹配 Respone 返回相关的字符
- -mr, -match-regex string 正则匹配 Respone
- -er, -extract-regex string 显示与正则表达式匹配的响应内容

#### 过滤 FILTERS:

- -fc, -filter-code string 过滤状态码 (-fc 403,401)
- -fl, -filter-length string 过滤返回长度(-fl 23,33)
- -fs, -filter-string string 过滤响应字符
- -fe, -filter-regex string 正则过滤响应字符

#### 速率

- -t,-threads 线程数，默认 50
- -rl, -rate-limit 每秒最大请求速，默认 150

#### 输出

- -o, -output string 保存探测结果
- -sr, -store-response 保存返回内容
- -srd, -store-response-dir string Custom directory to store HTTP responses (default “output”)
- -json 保存至 JSON 格式
- -irr, -include-response 在 JSON 输出中包含 HTTP 请求/响应（仅限-JSON）
- -include-chain 在 JSON 输出中重定向 HTTP 链（仅限-JSON）
- -store-chain 在响应中包含 HTTP 重定向链（仅限-sr）
- -csv 保存为 CSV

#### 配置

- -allow string[] 允许的 IP / CIDR 列表
- -deny string[] 拒绝的 IP / CIDR 列表
- -random-agent Random User-Agent(default true)
- -H, -header string[] 自定义请求头
- -http-proxy, -proxy string HTTP Proxy, eg http://127.0.0.1:8080
- -unsafe Send raw requests skipping golang normalization
- -resume Resume scan using resume.cfg
- -fr, -follow-redirects 跟随重定向
- -maxr, -max-redirects int 最大重定向的跟随数量（默认 10）
- -fhr, -follow-host-redirects Follow redirects on the same host
- -vhost-input Get a list of vhosts as input
- -x string 请求方式，使用“all” 为探测所有 HTTP 方法
- -body string Post body
- -s, -stream Stream mode - start elaborating input targets without sorting
- -sd, -skip-dedupe Disable dedupe input items (only used with stream mode)
- -pa, -probe-all-ips Probe all the ips associated with same host

#### 其他

- -tls-grab Perform TLS(SSL) data grabbing
- -tls-probe Send HTTP probes on the extracted TLS domains
- -csp-probe Send HTTP probes on the extracted CSP domains
- -pipeline HTTP1.1 Pipeline probe
- -http2 HTTP2 probe
- -vhost VHOST Probe
- -p, -ports string[] Port to scan (nmap syntax: eg 1,2-10,11)
- -path string File or comma separated paths to request
- -paths string File or comma separated paths to request (deprecated)