文章前言
在渗透测试过程中我们首先要做的就是信息收集,那么如何快速的确定目标相关资产呢?icon_hash为我们提供了较大的便利。
由于每家企业都有自己的商标,其对应的网站也有对应的log,常以favicon.ico的形式作为网站的静态资源进行加载,本篇文章主要介绍如何借助icon_hash来实现对目标相关的资产的信息收集
信息收集
脚本如下:
import mmh3
import sys
import requests
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)
def hashico(url):
target=url+"/favicon.ico"
response = requests.get(url=target,verify=False)
favicon = response.content.encode('base64')
hash = mmh3.hash(favicon)
print(hash)
if __name__ == '__main__':
hashico(sys.argv[1])运行实例:
之后结合fofa快速定位目标相关资产:
