全流程信息收集方法總結
作為一名菜鳥,第一次寫文章,有點緊張,希望大佬們輕點。 我寫這個是對自己的一個總結和記錄,也希望對新手有所幫助!
信息收集
信息收集是指通過各種方式獲取所需要的信息,以便我們在后續的滲透過程更好的進行。最簡單的比如說目標站點的IP、中間件、腳本語言、端口、郵箱等等。我覺得信息收集在我們滲透測試的過程當中,是最重要的一環,這一環節沒做好,沒收集到足夠多的可利用的信息,我們很難進行下一步的操作。
信息收集主要收集什么呢?該如何進行收集呢?
一、whois信息
很多網站上都可以收集到whois信息,比如說:
國外的who.is:https://who.is/
站長之家:http://whois.chinaz.com/
愛站:https://whois.aizhan.com/
微步:https://x.threatbook.cn/
這些網站都可以收集whois信息,而且還很全面,我主要關注:注冊商、注冊人、郵件、DNS解析服務器、注冊人聯系電話。
有需要的還可以查企業的備案信息,主要有三種方式:
天眼查:https://www.tianyancha.com/
ICP備案查詢網:http://www.beianbeian.com/
國家企業信用信息公示系統:http://www.gsxt.gov.cn/index.html
注意:國外的服務器一般來說是查不到的,因為他們不需要備案。國內的基本上都可以查到。
小技巧:如果在站長之家上隱藏了信息,可在who.is上再次查看。
二、子域名
子域名是在頂級域名下的域名,收集的子域名越多,我們測試的目標就越多,滲透的成功率也越大。往往在主站找不到突破口的時候,我們從子域名入手,有時候你會發現驚喜就到了(然后還是挖不到,和我一樣,哈哈哈哈,皮一下,很開心!)。
大佬們都有自己用的順手的一套方法或工具,我就簡單收集了一些:
1.Google語法
可以利用Google和Bing這樣的搜索引擎進行搜索查詢(site:www.xxx.com)
Google還支持額外的減號運算符,以排除我們對“網站:wikimedia.org -www -store ”不感興趣的子域名。
2.有許多第三方服務聚合了大量的DNS數據集,并通過它們來檢索給定域名的子域名。
(1)VirusTotal:https://www.virustotal.com/#/home/search
(2)DNSdumpster:https://dnsdumpster.com/
3.基于SSL證書查詢
查找一個域名證書的最簡單方法是使用搜索引擎來收集計算機的CT日志,并讓任何搜索引擎搜索它們。前兩種比較常用。
(1)https://crt.sh/
(2)https://censys.io/
(3)https://developers.facebook.com/tools/ct/
(4)https://google.com/transparencyreport/https/ct/
4.簡單的在線子域名收集(不推薦)
(1)https://phpinfo.me/domain/
(2)http://i.links.cn/subdomain/
5.爆破枚舉
這個就有很多工具可以用了,大佬們都有自己用的順手的工具,比較常見的是:
(1)layer子域名挖掘機
(2)subDomainsBrute
(3)K8
(4)orangescan
(5)DNSRecon
這里重點推薦 layaer 和 subDomainsBrute 工具,可以從子域名入侵到主站。
小技巧:在https://github.com/ 上也可以搜索子域名,運氣好的話,會有意想不到的收獲。
三、IP段的收集
一般IP的話,我們在收集子域名的時候,就大概知道目標網站的IP段了。
也可以通過whois命令獲取。即通過中國互聯網信息中心http://ipwhois.cnnic.net.cn/進行查詢:
四、開放端口探測
很多時候,網站都會開啟CDN加速,導致我們查詢到的IP不是真實的IP,所以得先查詢到真實的IP地址。方法有很多,百度一大把。就說我覺得最準確的幾種方法吧!
(1)通過讓服務器給你發郵件(看郵箱頭源 ip )找真實ip(最可靠)。
(2)通過 zmpap 全網爆破查詢真實ip(可靠)。
(3)通過查詢域名歷史ip,http://toolbar.netcraft.com(借鑒)。
(4)通過國外冷門的DNS的查詢:nslookup xxx.com國外冷門DNS地址(借鑒)。
收集到大量IP,那就要進行端口掃描了,看看有什么常見的漏洞。
最常用的就是神器Nmap了。命令:nmap -T4 -sT -p- -sV ip
端口服務對應圖:
常見端口漏洞:
| 端口 | 服務 | 說明 | | --- | --- | --- | | 21 | FTP | 主要看是否支持匿名,也可跑弱口令 | | 22 | SSH | 弱口令爆破 | | 22 | SSH | 弱口令爆破 | | 23 | telnet | 弱口令爆破 | | 80-90 | WEB | 常見WEB漏洞以及一些為管理后臺 | | 161 | snmp | public弱口令 | | 389 | ldap | 是否為匿名訪問 | | 443 | openssl | 心臟出血以及一些WEB漏洞測試 | | 445 | smb | 跑弱口令,檢測是否有ms_08067等溢出 | | 873 | rsync | 是否為匿名訪問,也可以跑弱口令 | | 1025 | RPC | NFS匿名訪問 | | 1099 | java rmi | 遠程命令執行漏洞 | | 1433 | mssql | 弱口令爆破 | | 1521 | oracle | 弱口令爆破 | | 2082/2083 | cpanel主機管理系統登陸 | 弱口令爆破 | | 2222 | DA虛擬主機管理系統登陸 | 弱口令爆破 | | 2601,2604 | zebra路由器 | 默認密碼zebra | | 3128 | squid代理默認端口 | 如果沒設置口令很可能就直接漫游內網 | | 3306 | mysql | 弱口令爆破 | | 3312/3311 | kangle主機管理系統登陸 | 說明 | | 3389 | RDP | 弱口令爆破,SHIFT后門,放大鏡,輸入法漏洞 | | 4440 | rundeck | web | | 4848 | GlassFish web中間件 | 弱口令admin/adminadmin | | 5432 | postgres | 弱口令爆破 | | 5560,7778 | iSqlPlus | | 5900,5901,5902 | vnc | 弱口令爆破 | | 5984 | CouchDB | http://xxx:5984/_utils/ | | 6082 | varnish | | 6379 | redis | 一般無驗證,直接訪問 | | 7001,7002 | weblogic | 弱口令爆破 | | 7778 | Kloxo | 主機控制面板登錄 | | 8080 | tomcat\jboss | 弱口令爆破,jboss后臺可能不驗證 | | 8649 | ganglia | | 8080-8090 | 常見WEB端口 | | 8083 | Vestacp主機管理系統 (國外用較多) | | 8649 | ganglia | | 8888 | amh/LuManager | 主機管理系統默認端口 說明 | | 9000 | fcgi | fcgi php命令執行漏洞 | | 9200 | elasticsearch | 代碼執行 | | 9043 | websphere | 弱口令爆破 | | 10000 | Virtualmin/Webmin | 服務器虛擬主機管理系統 | | 11211 | memcache | 內存泄露 | | 27017,28017 | mongodb | 未授權訪問 | | 50000 | Upnp | SAP命令執行 | | 50060,50030 | hadoop | WEB 未授權訪問 |
常見端口列表整理如下:
21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060
五、網站架構探測
當我們探測目標站點網站架構時,比如說:操作系統,中間件,腳本語言,數據庫,服務器,web容器等等,可以使用以下方法查詢。
(1)wappalyzer插件——火狐插件
(2)云悉:http://www.yunsee.cn/info.html
(3)查看數據包響應頭
(4)CMS指紋識別:http://whatweb.bugscaner.com/look/
CMS指紋識別又有很多方法,比如說御劍指紋識別、Webrobot工具、whatweb工具、還有在線查詢的網站等等。
六、敏感文件、敏感目錄探測
通常我們所說的敏感文件、敏感目錄大概有以下幾種:
(1)Git
(2)hg/Mercurial
(3)svn/Subversion
(4)bzr/Bazaar
(5)Cvs
(6)WEB-INF泄露
(7)備份文件泄露、配置文件泄露
敏感文件、敏感目錄挖掘一般都是靠工具、腳本來找,當然大佬手工也能找得到。
常用的工具有:
(1)御劍(真的很萬能,文末附上全家桶)
(2)爬蟲(AWVS、Burpsuite等)
(3)搜索引擎(Google、Github等)
(4)wwwscan
(5)BBscan(一位巨佬寫的python腳本:https://github.com/lijiejie/BBScan )
(6)GSIL(也是一位巨佬寫的python腳本:https://github.com/FeeiCN/GSIL )
(7)社交平臺(有事沒事多加一些QQ群,本人親身經歷,在一個QQ群查找到某平臺后臺賬號密碼,水了一波操作提交之后,發現被前輩提交過了。。。。。)
七、目標域名郵箱收集
一定要養成收集站點郵箱賬號收集的習慣(因為好多官方后臺都是用內部郵箱賬號登錄的,指不定哪天你就得到一個進后臺的機會)。
(1)通過說明文檔以及網站頁面收集,或者網站發表者以及留言板信息處收集賬號
(2)通過 teemo,metago,burpusit,awvs,netspker 或者 google 語法收集
(3)搜索相關 QQ 群收集相關企業員工的社交賬號
用途:可用來進行爆破或者弱口令登錄以及撞褲攻擊。
八、WAF探測
Waf也叫Web應用防火墻,是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。Waf的探測很多人都會忽略掉,其實當我們遇到Waf,第一想法是溜了溜了、告辭告辭(我是這樣,別贊,要臉)。但當我們知道是什么Waf時,又有種去繞過它的沖動,很多大牛都喜歡挑戰Waf,于是網上就出現了很多繞過Waf的教學視頻。畢竟成功繞過之后的那種自豪感真的真的很舒服。
我常用的兩種方式:
(1)手工(提交惡意數據,簡單粗暴)
(2)Kaili工具(WAFW00F、Nmap)
Nmap探測WAF有兩種腳本。
一種是http-waf-detect。
命令:nmap -p80,443 --script=http-waf-detect ip
一種是http-waf-fingerprint。
命令:nmap -p80,443 --script=http-waf-fingerprint ip
WAFW00F探測WAF
命令:wafw00f -a 域名
九、旁站、C段
旁站:是和目標網站在同一臺服務器上的其它的網站。
C端:是和目標服務器ip處在同一個C段的其它服務器。
旁站和C段的查詢方式:
(1)利用Bing.com,語法為:http://cn.bing.com/search?q=ip:111.111.111.111
(2)站長之家:http://s.tool.chinaz.com/same
(3)利用Google,語法:site:125.125.125.*
(4)利用Nmap,語法:nmap -p 80,8080 --open ip/24
(5)K8工具、御劍、北極熊掃描器等
(6)在線:http://www.webscan.cc/
最后,附上幾個常用的搜索引擎:
ZoomEy:https://www.zoomeye.org/
FoFa:https://fofa.so/
Dnsdb:https://www.dnsdb.io/zh-cn/
Shodan:https://www.shodan.io/
Censys:https://censys.io/
御劍全家桶:http://www.moonsec.com/post-753.html
