#### 20160712 更新

  原API的访问方式是以 HTTP 的方式访问的,根据官网最新文档,现在已经修改成 HTTPS 方式,测试可以正常使用API了。

0x 00 前言

  ZoomEye 的 API 在前几天正式对外部开发,这对网络渗透人员来说是一件开心的事

  可以说“妈妈再也不用担心批量测(x)试(zhan)没有资源了。”

  官方的 API 帮助文档在下面:

  https://www.zoomeye.org/api/

  看了下,使用方法是先提交账户,密码获得一个唯一的访问令牌(access_token)

  然后每次调用 API 的时候在 HTTP 的 Headers 里加上格式化后的 access_token 就可以使用了

  官方文档为了方便使用给出的是 cURL 方式调用 API ,在这里我给出一个用 Python 调用 API 的 Demo

0x 01 Code

  该 Demo 抓取 ZoomEye 上 搜索 dedecms 的所有结果并把前 100 个IP保存到 文件中

# coding: utf-8

# author  : evilclay

# datetime: 20160330

# http://www.cnblogs.com/anka9080/p/ZoomEyeAPI.html

import os

import requests

import json

access_token = ''

ip_list = []

def login():

    """

        输入用户米密码 进行登录操作

    :return: 访问口令 access_token

    """

    user = raw_input('[-] input : username :')

    passwd = raw_input('[-] input : password :')

    data = {

        'username' : user,

        'password' : passwd

    }

    data_encoded = json.dumps(data)  # dumps 将 python 对象转换成 json 字符串

    try:

        r = requests.post(url = 'https://api.zoomeye.org/user/login',data = data_encoded)

        r_decoded = json.loads(r.text) # loads() 将 json 字符串转换成 python 对象

        global access_token

        access_token = r_decoded['access_token']

    except Exception,e:

        print '[-] info : username or password is wrong, please try again '

        exit()

def saveStrToFile(file,str):

    """

        将字符串写如文件中

    :return:

    """

    with open(file,'w') as output:

        output.write(str)

def saveListToFile(file,list):

    """

        将列表逐行写如文件中

    :return:

    """

    s = '\n'.join(list)

    with open(file,'w') as output:

        output.write(s)

def apiTest():

    """

        进行 api 使用测试

    :return:

    """

    page = 1

    global access_token

    with open('access_token.txt','r') as input:

        access_token = input.read()

    # 将 token 格式化并添加到 HTTP Header 中

    headers = {

        'Authorization' : 'JWT ' + access_token,

    }

    # print headers

    while(True):

        try:

            r = requests.get(url = 'https://api.zoomeye.org/host/search?query="dedecms"&facet=app,os&page=' + str(page),

                         headers = headers)

            r_decoded = json.loads(r.text)

            # print r_decoded

            # print r_decoded['total']

            for x in r_decoded['matches']:

                print x['ip']

                ip_list.append(x['ip'])

            print '[-] info : count ' + str(page * 10)

        except Exception,e:

            # 若搜索请求超过 API 允许的最大条目限制 或者 全部搜索结束,则终止请求

            if str(e.message) == 'matches':

                print '[-] info : account was break, excceeding the max limitations'

                break

            else:

                print  '[-] info : ' + str(e.message)

        else:

            if page == 10:

                break

            page += 1

def main():

    # 访问口令文件不存在则进行登录操作

    if not os.path.isfile('access_token.txt'):

        print '[-] info : access_token file is not exist, please login'

        login()

        saveStrToFile('access_token.txt',access_token)

    apiTest()

    saveListToFile('ip_list.txt',ip_list)

if __name__ == '__main__':

    main()

  

0x 03 运行测试

  

  打开 access_token.txt 文件:

  

  打开 ip_list.txt 文件:

  

  题外话: 使用 Firefox 的 Modify Headers 添加上 Authentication 这个 头信息后在浏览器里可以

  直接看到返回的 JSON 字符串结果,如下

  

『Python』Python 调用 ZoomEye API 批量获取目标网站IP的更多相关文章

  1. 调用ZoomEye API获取信息

    最近在提高自己编程能力,拿一些实用的小工具练下.该脚本为python语言,主要涉及模块urllib,json,os模块. 功能:调用ZoomEye API获取信息 import urllib.requ ...

  2. 【Python项目】简单爬虫批量获取资源网站的下载链接

    简单爬虫批量获取资源网站的下载链接 项目链接:https://github.com/RealIvyWong/GotDownloadURL 1 由来 自己在收集剧集资源的时候,这些网站的下载链接还要手动 ...

  3. shell中调用jenkins API批量运行历史任务

    shell中调用jenkins API批量运行jenkins带参数的任务: #!/bin/sh #startdate=20150127 startdate=20150201 while [ " ...

  4. 『009』Python

    『004』索引-Language Python 准备更新中

  5. 谷歌、腾讯、百度相应API批量获取地理位置坐标信息及其优缺点

    目录: 申请ak 批量获取地理位置 目的:通过给定的地理位置名称(如:北京市海淀区上地十街十号),获取经纬度信息. 1.申请ak 以百度Geocoding API为例:http://lbsyun.ba ...

  6. 『Python』为什么调用函数会令引用计数+2

    一.问题描述 Python中的垃圾回收是以引用计数为主,分代收集为辅,引用计数的缺陷是循环引用的问题.在Python中,如果一个对象的引用数为0,Python虚拟机就会回收这个对象的内存. sys.g ...

  7. Python调用zabbix API批量添加主机 (读取Excel)

    本文转载自:http://blog.mreald.com/178 Zabbix可以通过自发现添加主机,不过有时候不准确,通过API添加会更加准确! 脚本使用的跟zabbix相关的内容.参考的是zabb ...

  8. Python利用百度地图api批量获取地址经纬度

    1.pip安装xlrd,xlwt,requests模块. 2.在工程目录处放置地点Excel文件. python2.7.13代码: #coding:utf-8 import xlrd import x ...

  9. python链式调用REST API把参数放到URL中

    需求格式:GET /users/:user/repos 程序: class Chain(object): def __init__(self,path=''): self._path=path def ...

随机推荐

  1. poj2255

    题目大意: 树恢复??树复原?? 小Valentine非常喜欢玩二叉树的游戏,他非常喜欢在二叉树的树根上随机的写上一下大写字母,这是她创造的一个例子: D / \ / \ B E / \ \ / \ ...

  2. 使用atomic一定是线程安全的吗

    这个问题很少遇到,但是答案当然不是.atomic在set方法里加了锁,防止了多线程一直去写这个property,造成难以预计的数值.但这也只是读写的锁定.跟线程安全其实还是差一些.看下面. @inte ...

  3. call, apply的用法意义以及区别是什么

    call和apply没有什么大的区别,两者的作用都是:改变对象的this指向的内容. 他们的写法不同,如下: func.call(func1, var1, var2, var3); func.appl ...

  4. UNIX编程之冲洗内存流与null追加策略(APUE F5-15)

    博文链接:http://haoyuanliu.github.io/2016/04/29/mysql/ 对,我是来骗访问量的!O(∩_∩)O~~ 最近一直在拜读APUE(Advanced Program ...

  5. 为什么使用spring Struts 等框架开发

    转载自:http://www.cnblogs.com/sharpxiajun/p/3936268.html 今年我一直在思考web开发里的前后端分离的问题,到了现在也颇有点心得了,随着这个问题的深入, ...

  6. C++重载解析

    重载解析(overloading resolution)的规则决定了编译器为一个函数调用选用哪个函数定义.一般过程如下: 将名称相同的函数/模板函数找到并创建候选列表 从中挑选参数数目正确,符合完全匹 ...

  7. slidingmenu+fragment实现经常使用的側滑效果(包含Fragment状态的保存)

    一.需求 关于fragment的问题,一直想写一篇博客了.应该当初自己也是对这玩意一点都不熟悉到如今也大概知道个日常的使用的地步. 一个側滑的导航栏,内有4个条目.每个选项点击进入相应的界面,每个界面 ...

  8. debian7 安装配置

    最近几天折腾了一下Debian 7 (gnome桌面DVD版,KDE桌面CD版最后会提到),总的来说收获还是挺大的,对比以前使用ubuntu,debian 7给我的感觉像是一个新生婴儿,不带多余的花俏 ...

  9. Java8特性详解 lambda表达式 Stream

    1.lambda表达式 Java8最值得学习的特性就是Lambda表达式和Stream API,如果有python或者javascript的语言基础,对理解Lambda表达式有很大帮助,因为Java正 ...

  10. Quartz简单使用

    官方的Quartz会提供例子的,例子看个前三四个感觉就够用了,主要就是起Timer的作用,但是比timer稳定,而且功能更全. UpdateClientTimer.task(ClearJob.clas ...