Icon_hash在渗透测试中的作用

最新推荐文章于 2025-05-13 10:37:55 发布
原创 最新推荐文章于 2025-05-13 10:37:55 发布 · 5.4k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#哈希算法 #安全 #算法

本文介绍了如何利用icon_hash技术进行快速的目标相关资产信息收集。通过获取网站的favicon.ico并计算其哈希值,可以辅助在fofa等平台中定位目标资产。提供的脚本展示了从URL获取favicon并计算哈希的步骤,实现在信息安全领域的应用。
该文章已生成可运行项目,

文章前言

在渗透测试过程中我们首先要做的就是信息收集,那么如何快速的确定目标相关资产呢?icon_hash为我们提供了较大的便利。

由于每家企业都有自己的商标,其对应的网站也有对应的log,常以favicon.ico的形式作为网站的静态资源进行加载,本篇文章主要介绍如何借助icon_hash来实现对目标相关的资产的信息收集

信息收集

脚本如下:

import mmh3
import sys
import requests
import urllib3
urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)

def hashico(url):
	target=url+"/favicon.ico"
	response = requests.get(url=target,verify=False)
	favicon = response.content.encode('base64')
	hash = mmh3.hash(favicon)
	print(hash)
if __name__ == '__main__':
	hashico(sys.argv[1])

运行实例:

之后结合fofa快速定位目标相关资产:

本文章已经生成可运行项目
渗透测试--信息收集
2302_80097039的博客
07-27 822
CMS:快速搭建网站的内容管理系统,系统模板Web应用框架:快速二次开发的Web应用框架,例如网站,小程序。
从实践中学习Kali Linux渗透测试
cc123489ll的博客
06-19 1192
1.1.1 黑盒测试黑盒测试(Black-box Testing)也称为外部测试(ExternalTesting)。采用这种方式,测试者将从一个远程网络位置评估目标网络基础设施,并没有任何目标网络内部拓扑等相关信息。完全模拟真实网络环境中的外部攻击者,采用流行技术与工具有组织、有步骤的对目标组织进行渗透和入侵,揭示目标网络中一些已知或未知的安全漏洞,并评估这些漏洞能否被利用。优点:有利于挖掘出系统潜在的漏洞,以及脆弱环节和薄弱点。缺点:测试较为费时和费力,同时需要渗透测试者具备较高的技术能力。
iconhash_py:Python的Icon Hash
05-16
图标哈希 我们正在制作DCGAN,以根据随机噪声输入生成更新的变体(链接到训练数据集)。 这个卷积生成对抗网络包括两个不同的网络,生成器和鉴别器。 生成器试图从随机噪声中生成图像,而鉴别器试图从生成的图像中区分出真实图像。 生成器模型包括一个由块归一化,上采样,后跟卷积与relu激活的卷积组成的层。 有4个这样的块,其tanh函数用作卷积层的激活。 鉴别器模型是一个简单的深度卷积网络。 组合后的模型经过编译的亚当优化器(学习率= 0.0002),具有二元交叉熵损失。 下面的gif中显示了7000个第一次迭代的训练过程: 依存关系 pip install 的Python 3 脾气暴躁的 Hashlib 大熊猫 西皮 Keras 2.0.6+ TensorFlow 1.2.1+ 用法 # iconhash.py script requires generator.json (
Web安全—信息收集
hdwlwang的博客
04-14 1889
前言:在渗透测试过程中,信息收集是非常重要的一个环节,此环节的信息将影响到后续成功几率,掌握信息的多少将决定发现漏洞的机会的大小,换言之决定着是否能完成目标的测试任务。也就是说:渗透测试的思路就是从信息收集开始,你与大牛的差距也是这里开始的。
FOFA搜索引擎语法---信息收集篇,从零基础到精通,收藏这篇就够了!
Javachichi的博客
01-19 8060
FOFA作为一个搜索引擎,其查询语法和google类似。domainhostiptitleserverheaderbodyportcertcountrycityosappservermiddlewarelanguagetagsuser_tag等等,支持的逻辑运算符包括:==,!= ,&&,||。欢迎大家关注,接下来更多精彩内容。
通过icon hash查IP地址
Kevin's Blog
06-03 7791
一、说明   网络空间测绘搜索引擎FOFA 和 物联网暗黑搜索引擎Shodan可以通过网站的icon计算出一个用来搜索目标的hash值:iconhash,信息收集过程中我们也可以通过iconhash去反差使用此icon的所有站点。 二、通过站点拿到iconhash 这里使用csdn的icon来举例 》》查看csdn官网,右键查看源代码,拿到icon的地址 》》访问此地址,将icon另存为本地(下载下来) 》》访问fofa将图片上传,即可查到此icon对应的iconhash 》》icon_hash
计算icon_hash(fofa)
bqnagus
05-13 652
计算icon_hash(fofa)
计算fofa的icon_hash值来提高刷漏洞的速度
kjssy的博客
08-21 2871
通过icon_hash可以批量识别同一资产的网站,便于通过一个漏洞利用多个站点来打。
关于hash和ico的一些关联
weixin_33676492的博客
04-14 201
最近測试提出一个bug。说某几个页面中的ico不显示,于是针对此问题排查原因。 首先,确保页面中的link已引入favicon.ico。经查看,发现是js中的location.hash导致了ico不显示。原因是在ico未载入完成时设置了location.hash从而导致ico不显示。 location.hash在项目中经经常使用到。用于url定位,比如http://h.liepin.c...
打造高效Fofa采集工具,实现一键查询与自动icon_hash生成
它主要针对IT安全从业人员、渗透测试人员和网络安全研究者,提供一种快速查找和获取目标网络或域名下所有资产信息的手段。用户可以利用这类工具进行信息搜集,以帮助进行漏洞评估、网络攻防演练等安全操作。 2. ...
除了渗透测试icon hash还有哪些应用场景?
最新发布
11-21
渗透测试外,icon hash还有以下应用场景: ### 品牌识别与监测 在互联网的海量信息中,品牌方需要监测自身品牌形象的使用情况。通过计算品牌图标的hash值,可在全网范围内搜索和比对,及时发现未经授权使用品牌...
js中hash和ico的关联分析
12-03
本文实例分析了js中hash和ico的一些关联。分享给大家供大家参考。具体如下: 近期测试提出一个bug,说某几个页面中的ico不显示,于是针对此问题排查原因。 首先,确保页面中的link已引入favicon.ico。经查看,发现是js中的location.hash导致了ico不显示。原因是在ico未加载完毕时设置了location.hash从而导致ico不显示。 location.hash在项目中经常用到,用于url定位,例如http://h.liepin.com/#job-manage中的“#job-manage”。 解决方法如下(以当前项目为例,具体情况具体分析): 项目要点: 1、页面
40-渗透测试工具Cobalt strike-1.CS介绍与配置
XLbb的博客
05-28 1479
Cobalt Strike是一款美国Red Team开发的渗透测试神器,常被业界人称为CS。最近这个工具大火,成为了渗透测试中不可缺少的利器。创建监听器名字:test1(自定义)- 这是你为监听器设置的名称,方便识别和管理。Payload:Beacon HTTP- 这表明你选择的通信协议是HTTP,用于与目标系统交互。Payload options- 这里列出了与payload相关的配置选项。 文件名逆序显示 文件重命名在gnp前右击选择插入 Unicode 控制字符(1)选择RLO
渗透测试 | 信息收集之贯穿全局
enomothem的博客
02-15 1350
这个世界上只有两种人,黑客和被黑客攻击的人。
shodan 中 http.favicon.hash使用
e5pool的博客
07-22 745
这样就完成了利用favicon来找其他也具备这个icon的站点,当然没被shodan收录的,这里也就自然找不到,如果你拿百度,谷歌这些来找,结果会更多。http.favicon.hash可以用来寻找具有相同favicon的站点,具体就是通过站点iconhash值来实现的。图上被我圈出来的就是要找的hash,点一个就会根据这个hash进行搜索具有相同icon的站点,结果如下图,找到了23条记录。我们可以利用shodan已收录的这些hash值,来寻找带有这个icon的站点。......
FOFA shodan iconhash 算法的java与python结果不同的问题解决
山塘小鱼儿的博客
12-01 3211
iconhash作为FOFA和shodan的icon搜索的目标值,可以搜索出所有一样icon的网站的域名的关键值,但是发现python的结果和java不同,经过调试发现原来是base64转码的问题,java的base64转码后出现\r\n,但是python只有\n,去掉就可以了,代码如下: python: _icon = mmh3.hash(codecs.lookup('base64').encode(requests.get('http://www.baidu.com/favicon.ico').c
icon资源获取方式
ccccsky的博客
03-23 964
在我们软件开发的过程中总会遇到需要使用一些ICON.在一些大公司会有美工会为你解决,但小公司可能就需要你自己解决了,推荐几个好的获取方式:1.AS自带2.https://material.io/icons/3.http://www.iconfont.cn(强烈推荐,反正我一直是从这里面拿icon的,还提供svg/png/AI三种模式给你选择下载)4.Adobe AI/Sketch...
关于计算ico文件hash值脚本
weixin_45859734的博客
12-14 6514
如何利用ico文件查找出网站的真实IP地址,分享一个计算网站ico文件hash值的工具(python2和python3双版本代码)python2的工具脚本代码python3的工具脚本代码 python2的工具脚本代码 import mmh3 import requests response = requests.get('https://www.xxxx.com/favicon.ico') favicon = response.content.encode('base64') hash = mmh3.has
icon_hash
03-28
<think>好的,我现在需要回答用户关于icon_hash的问题。首先,用户提到了“icon_hash”,但根据提供的引用内容,并没有直接提到这个术语。我需要先确定icon_hash可能指什么,再结合现有的引用内容来回答。 查看引用[1],里面提到了hashicon,这是一个生成哈希值图标的项目。可能icon_hash指的是类似的哈希可视化技术,比如将哈希值转换为图标,用于识别或美化显示。因此,用户可能想了解如何生成这样的哈希图标,其算法、实现、功能和使用场景。 接下来,我需要将hashicon的信息与用户的问题结合起来。根据引用[1],hashicon能够生成美观的哈希表示,项目地址是给定的。因此,我可以解释icon_hash的功能是生成哈希的图形表示,算法可能基于哈希值生成唯一图案,实现可参考hashicon项目,使用场景包括用户身份标识、数据可视化、安全验证等。 然后,需要确保回答符合系统级指令:使用正确的中文,行内数学公式用$...$,独立公式用$$...$$,并生成相关问题。同时,引用相关文献,如引用[1]中的hashicon。 可能用户的问题中“icon_hash”是拼写错误或不同命名,但结合引用内容,hashicon是最相关的。因此,回答应围绕hashicon展开,说明其算法、实现、功能和使用场景,并引用[^1]。 最后,生成的相关问题要涉及技术实现、应用场景、与其他哈希技术的对比等,确保问题与主题相关,并参考已有的引用内容,比如引用[2]中的一致性哈希和哈希槽,但可能相关性较低,所以主要参考引用[1]。 需要确保回答结构清晰,分点说明,并自然添加引用标识。同时检查LaTeX语法是否正确,但可能这里不需要数学公式,所以暂时不需要使用。如果有涉及算法步骤,可能需要用公式,但此处可能不需要,所以保持回答简洁明了即可。</think>### icon_hash 算法与实现 **icon_hash** 通常指将哈希值转换为可视化图标的算法或工具,例如 **hashicon** 项目[^1]。其核心目标是通过图形化方式表示哈希值,提升数据的可识别性和美观性。 --- #### 1. **算法与功能** - **算法原理**: 将输入数据(如字符串)通过哈希函数(如 SHA-1、MD5)生成固定长度的哈希值,再将哈希值的二进制或十六进制编码映射到图形参数(如颜色、形状、对称性)。例如,哈希值的前几位可能决定颜色,中间部分决定形状,最后几位控制对称模式。 $$ \text{颜色} = f(\text{哈希}_{0:3}), \quad \text{形状} = g(\text{哈希}_{4:7}) $$ - **功能特性**: - **唯一性**:不同哈希生成不同图标。 - **可视化**:将抽象哈希转化为易理解的图形。 - **可配置性**:支持调整颜色、复杂度等参数。 --- #### 2. **实现示例(以 hashicon 为例)** ```python # 示例代码(简化逻辑) def generate_hashicon(hash_str, size=64): # 将哈希值转换为颜色和形状参数 color = "#" + hash_str[:6] # 取前6位作为颜色 pattern = int(hash_str[6:8], 16) % 4 # 取中间两位生成形状模式 # 生成SVG或位图(此处为伪代码) return f'<svg width="{size}" height="{size}" style="background:{color}">{render_pattern(pattern)}</svg>' ``` --- #### 3. **使用场景** 1. **用户身份标识**:将用户 ID 的哈希值转换为头像图标,替代传统头像。 2. **数据指纹**:在日志或监控系统中快速识别不同数据源的哈希指纹。 3. **安全验证**:通过图标辅助人工验证哈希一致性(如文件完整性检查)。 4. **去中心化应用**:在区块链或分布式系统中可视化交易或地址信息[^2]。 --- #### 4. **相关工具** - **hashicon**:开源库,支持多种编程语言实现,项目地址:[hashicon](https://gitcode.com/gh_mirrors/ha/hashicon)。 - **Identicon**:类似技术,广泛用于 GitHub 默认头像生成。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值