【福利抽奖】用网空测绘ZoomEye主动发现被黑的网站

原创 pbuff07 增益安全 2024-12-02 10:34

ZoomEye用来干啥的不多说了，没听过没见过的直接点下方链接学习下～

除了可以用来发现资产、找漏洞外，还可以主动监控全网哪些网站被黑了，对于甲方或者监管可以快速监控和响应，下面介绍几个办法（也是目前我所采用的方式）。

1、使用被黑的关键字

黑客黑掉某个网页后多多少少会留下一些提示信息，比如”hacked by”、”xxxx黑客，联系QQ”之类的。

通过搜索http.body=”hacked by”，大约有9.7K的网站源代码中包含该关键词，也就说有这么多网站被黑了，
中国还是挺多的仅次于美国。

https://www.zoomeye.org/v2/searchResult/report?q=aHR0cC5ib2R5PSJoYWNrZWQgYnki

随便打开几个看看

人还挺好，Webshell地址都给你了

用API写个监控轮询关键词查询数据并判断下是不是自家资产就可以实现实时预警了，不会写后台圈我，我免费教你写。

2、搜索一些Webshell的名称或者特征

有些黑客会利用Gayhub公开的的一些Webshell进行攻击，不排除没有修改名字直接上传的。

比如搜索：http.body=”>wso.php“，有43多个站点被黑，网站被植入了wso.php木马文件。

https://www.zoomeye.org/v2/searchResult?q=aHR0cC5ib2R5PSI%2Bd3NvLnBocDwvYT4i

Gayhub搜webshell可以搜到很多乱七八糟的Webshell，拿到ZoomEye去搜就行了。

wso.php是一个Webshell木马文件，Gayhub一搜就有很多

搜集多点Webshell的名称，在ZoomEye多搜搜能发现很多被黑的站点，和上面一样写个脚本轮询监控就行，不过这种方式查出来的数据不那么准确，可能还要进一步用“人工”智能审查一下是不是到底被黑了。

PS：
甲方让马喽看、监管让乙方看，乙方有自己的牛马看。

3、供应链攻击

前段时间听说xxx前端大量使用的一个js三方库域名过期了被黑产抢注了，导致使用了这个库的网站访问就会加载一些“奇奇怪怪”的东西或者直接跳转到黑产的赌博、色情页面等。

这类事情的核心是网站前端中过分信任某些三方库，直接用