全流程信息收集方法总结

栏目: 编程工具 · 发布时间: 5年前

内容简介:作为一名菜鸟,第一次写文章,有点紧张,希望大佬们轻点。 我写这个是对自己的一个总结和记录,也希望对新手有所帮助。信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们渗透测试的过程当中,是最重要的一环,这一环节没做好,没收集到足够多的可利用的信息,我们很难进行下一步的操作。

*本文原创作者:Jokong,本文属于FreeBuf原创奖励计划,未经许可禁止转载

作为一名菜鸟,第一次写文章,有点紧张,希望大佬们轻点。 我写这个是对自己的一个总结和记录,也希望对新手有所帮助。

信息收集

信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们渗透测试的过程当中,是最重要的一环,这一环节没做好,没收集到足够多的可利用的信息,我们很难进行下一步的操作。

信息收集主要收集什么呢?该如何进行收集呢?

一、 whois信息

很多网站上都可以收集到whois信息,比如说:

国外的who.is: https://who.is/

站长之家: http://whois.chinaz.com/

爱站: https://whois.aizhan.com/

微步: https://x.threatbook.cn/

这些网站都可以收集whois信息,而且还很全面,我主要关注:注册商、注册人、邮件、DNS解析服务器、注册人联系电话。

有需要的还可以查企业的备案信息,主要有三种方式:

天眼查: https://www.tianyancha.com/

ICP备案查询网: http://www.beianbeian.com/

国家企业信用信息公示系统: http://www.gsxt.gov.cn/index.html

注意:国外的服务器一般来说是查不到的,因为他们不需要备案。国内的基本上都可以查到。

全流程信息收集方法总结

小技巧:如果在站长之家上隐藏了信息,可在who.is上再次查看。

二、 子域名

子域名是在顶级域名下的域名,收集的子域名越多,我们测试的目标就越多,渗透的成功率也越大。往往在主站找不到突破口的时候,我们从子域名入手,有时候你会发现惊喜就到了(然后还是挖不到,和我一样,哈哈哈哈,皮一下,很开心!)。

大佬们都有自己用的顺手的一套方法或工具,我就简单收集了一些:

1.Google语法

可以利用Google和Bing这样的搜索引擎进行搜索查询(site: www.xxx.com

Google还支持额外的减号运算符,以排除我们对“网站:wikimedia.org -www -store ”不感兴趣的子域名。

全流程信息收集方法总结

2.有许多第三方服务聚合了大量的DNS数据集,并通过它们来检索给定域名的子域名。

(1)VirusTotal: https://www.virustotal.com/#/home/search

(2)DNSdumpster: https://dnsdumpster.com/

全流程信息收集方法总结

3.基于SSL证书查询

查找一个域名证书的最简单方法是使用搜索引擎来收集计算机的CT日志,并让任何搜索引擎搜索它们。前两种比较常用。

(1) https://crt.sh/

(2) https://censys.io/

(3) https://developers.facebook.com/tools/ct/

(4) https://google.com/transparencyreport/https/ct/

全流程信息收集方法总结

4.简单的在线子域名收集(不推荐)

(1) https://phpinfo.me/domain/

(2) http://i.links.cn/subdomain/

5.爆破枚举

这个就有很多 工具 可以用了,大佬们都有自己用的顺手的工具,比较常见的是:

(1)layer子域名挖掘机

(2)subDomainsBrute

(3)K8

(4)orangescan

(5)DNSRecon

这里重点推荐 layaer 和 subDomainsBrute 工具,可以从子域名入侵到主站。

小技巧:在 https://github.com/ 上也可以搜索子域名,运气好的话,会有意想不到的收获。

三、 IP段的收集

一般IP的话,我们在收集子域名的时候,就大概知道目标网站的IP段了。

也可以通过whois命令获取。即通过中国互联网信息中心 http://ipwhois.cnnic.net.cn/ 进行查询:

全流程信息收集方法总结

四、 开放端口探测

很多时候,网站都会开启CDN加速,导致我们查询到的IP不是真实的IP,所以得先查询到真实的IP地址。方法有很多,百度一大把。就说我觉得最准确的几种方法吧!

(1)通过让服务器给你发邮件(看邮箱头源 ip )找真实ip(最可靠)。

(2)通过 zmpap 全网爆破查询真实ip(可靠)。

(3)通过查询域名历史ip, http://toolbar.netcraft.com (借鉴)。

(4)通过国外冷门的DNS的查询:nslookup xxx.com国外冷门DNS地址(借鉴)。

收集到大量IP,那就要进行端口扫描了,看看有什么常见的漏洞。

最常用的就是神器Nmap了。命令:nmap  -T4  -sT  -p-  -sV  ip

端口服务对应图:

全流程信息收集方法总结

常见端口漏洞:

端口 服务 说明
21 FTP 主要看是否支持匿名,也可跑弱口令
22 SSH 弱口令爆破
22 SSH 弱口令爆破
23 telnet 弱口令爆破
80-90 WEB 常见WEB漏洞以及一些为管理后台
161 snmp public弱口令
389 ldap 是否为匿名访问
443 openssl 心脏出血以及一些WEB漏洞测试
445 smb 跑弱口令,检测是否有ms_08067等溢出
873 rsync 是否为匿名访问,也可以跑弱口令
1025 RPC NFS匿名访问
1099 java rmi 远程命令执行漏洞
1433 mssql 弱口令爆破
1521 oracle 弱口令爆破
2082/2083 cpanel主机管理系统登陆 弱口令爆破
2222 DA虚拟主机管理系统登陆 弱口令爆破
2601,2604 zebra路由器 默认密码zebra
3128 squid代理默认端口 如果没设置口令很可能就直接漫游内网
3306 mysql 弱口令爆破
3312/3311 kangle主机管理系统登陆 说明
3389 RDP 弱口令爆破,SHIFT后门,放大镜,输入法漏洞
4440 rundeck web
4848 GlassFish web中间件 弱口令admin/adminadmin
5432 postgres 弱口令爆破
5560,7778 iSqlPlus
5900,5901,5902 vnc 弱口令爆破
5984 CouchDB http://xxx:5984/_utils/
6082 varnish
6379 redis 一般无验证,直接访问
7001,7002 weblogic 弱口令爆破
7778 Kloxo 主机控制面板登录
8080 tomcat\jboss 弱口令爆破,jboss后台可能不验证
8649 ganglia
8080-8090 常见WEB端口
8083 Vestacp主机管理系统 (国外用较多)
8649 ganglia
8888 amh/LuManager 主机管理系统默认端口 说明
9000 fcgi fcgi php命令执行漏洞
9200 elasticsearch 代码执行
9043 websphere 弱口令爆破
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 memcache 内存泄露
27017,28017 mongodb 未授权访问
50000 Upnp SAP命令执行
50060,50030 hadoop WEB 未授权访问

常见端口列表整理如下:

21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060

五、 网站架构探测

当我们探测目标站点网站架构时,比如说:操作系统,中间件,脚本语言,数据库,服务器,web容器等等,可以使用以下方法查询。

(1)wappalyzer插件——火狐插件

(2)云悉: http://www.yunsee.cn/info.html

(3)查看数据包响应头

(4)CMS指纹识别: http://whatweb.bugscaner.com/look/

CMS指纹识别又有很多方法,比如说御剑指纹识别、Webrobot工具、whatweb工具、还有在线查询的网站等等。

全流程信息收集方法总结

六、 敏感文件、敏感目录探测

通常我们所说的敏感文件、敏感目录大概有以下几种:

(1)Git

(2)hg/Mercurial

(3)svn/Subversion

(4)bzr/Bazaar

(5)Cvs

(6)WEB-INF泄露

(7)备份文件泄露、配置文件泄露

敏感文件、敏感目录挖掘一般都是靠工具、脚本来找,当然大佬手工也能找得到。

常用的工具有:

(1)御剑(真的很万能,文末附上全家桶)

(2)爬虫(AWVS、Burpsuite等)

(3)搜索引擎(Google、Github等)

(4)wwwscan

(5)BBscan(一位巨佬写的 python 脚本: https://github.com/lijiejie/BBScan

(6)GSIL(也是一位巨佬写的python脚本: https://github.com/FeeiCN/GSIL

(7)社交平台(有事没事多加一些QQ群,本人亲身经历,在一个QQ群查找到某平台后台账号密码,水了一波操作提交之后,发现被前辈提交过了。。。。。)

七、 目标域名邮箱收集

一定要养成收集站点邮箱账号收集的习惯(因为好多官方后台都是用内部邮箱账号登录的,指不定哪天你就得到一个进后台的机会)。

(1)通过说明文档以及网站页面收集,或者网站发表者以及留言板信息处收集账号

(2)通过 teemo,metago,burpusit,awvs,netspker 或者 google 语法收集

(3)搜索相关 QQ 群收集相关企业员工的社交账号

用途: 可用来进行爆破或者弱口令登录以及撞裤攻击。

八、 WAF探测

Waf也叫Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。Waf的探测很多人都会忽略掉,其实当我们遇到Waf,第一想法是溜了溜了、告辞告辞(我是这样,别赞,要脸)。但当我们知道是什么Waf时,又有种去绕过它的冲动,很多大牛都喜欢挑战Waf,于是网上就出现了很多绕过Waf的教学视频。毕竟成功绕过之后的那种自豪感真的真的很舒服。

我常用的两种方式:

(1)手工(提交恶意数据,简单粗暴)

(2)Kaili工具(WAFW00F、Nmap)

Nmap探测WAF有两种脚本。

一种是http-waf-detect。

命令:nmap  -p80,443  --script=http-waf-detect  ip

一种是http-waf-fingerprint。

命令:nmap  -p80,443  --script=http-waf-fingerprint  ip

WAFW00F探测WAF

命令:wafw00f  -a  域名

全流程信息收集方法总结

九、 旁站、C段

旁站:是和目标网站在同一台服务器上的其它的网站。

C端:是和目标服务器ip处在同一个C段的其它服务器。

旁站和C段的查询方式:

(1)利用Bing.com,语法为: http://cn.bing.com/search?q=ip:111.111.111.111

(2)站长之家: http://s.tool.chinaz.com/same

(3)利用Google,语法:site:125.125.125.*

(4)利用Nmap,语法:nmap  -p  80,8080  –open  ip/24

(5)K8工具、御剑、北极熊扫描器等

(6)在线: http://www.webscan.cc/

全流程信息收集方法总结


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

图解CIO工作指南(第4版)

图解CIO工作指南(第4版)

[日] 野村综合研究所系统咨询事业本部 / 周自恒 / 人民邮电出版社 / 2014-3 / 39.00

《图解CIO工作指南(第4版)》是一本实务手册,系统介绍了企业运用IT手段提高竞争力所必需的管理方法和实践经验,主要面向CEO或CIO等企业管理人士。 《图解CIO工作指南(第4版)》分为三个部分。第1部分的主题为IT管理,着重阐述运用IT技术提高企业竞争力所必需的所有管理业务,具体包括制定作为企业方针的IT战略,以及统筹执行该战略时与IT相关的人力、物力、财力、风险等要素在内的一系列管理业......一起来看看 《图解CIO工作指南(第4版)》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试