渗透测试信息搜集
http://bbs.ichunqiu.com/thread-16020-1-1.html
测试信息搜集
本文原创作者:icq6a70641f,本文属i春秋原创奖励计划,未经许可禁止转载
0X00前言
渗透测试按照
PETS执行标准(http://www.doc88.com/p-7784047461299.html)来说,分为7个阶段,信息搜集阶段占很大的比重,本篇结合自己的一些实例来展开渗透测试中的信息搜集阶段。
0X01我们都关注什么
Whois,真实ip,子域,端口,服务,关联度高的目标,备案,企业资料,历史漏洞,员工邮箱
whois和子域,备案
http://www.freebuf.com/articles/system/58096.html
http://www.dmzlab.com/77396.html
关于kali下的信息搜集,其实这类文章都很齐全了,上面链接可以参考,主要涉及到whois,dnsenum,dig,host,dnsdict6,fierce,dmitry,maltego,theharvester,foca
########[关于kali下使用信息搜集系列工具,需要调用google,所以kali连上,笔者采用的是自己的美国vps,搭的一个基于pptp协议的,当然你也可以用物理机,虚拟机nat连接,都是可行的方案]########
http://www.dmzlab.com/77396.html
关于kali下的信息搜集,其实这类文章都很齐全了,上面链接可以参考,主要涉及到whois,dnsenum,dig,host,dnsdict6,fierce,dmitry,maltego,theharvester,foca
########[关于kali下使用信息搜集系列工具,需要调用google,所以kali连上,笔者采用的是自己的美国vps,搭的一个基于pptp协议的,当然你也可以用物理机,虚拟机nat连接,都是可行的方案]########
子域搜集篇参考(http://www.freebuf.com/articles/web/117006.html)
主要涉及google hacking语法采集,暴力猜解,基于https证书,DNS,遇到域传送就更好了,crossdomain.xml文件
需要补充的一几点(ICP备案和app里的子域和威胁情报平台子域及第三方子域)
主要涉及google hacking语法采集,暴力猜解,基于https证书,DNS,遇到域传送就更好了,crossdomain.xml文件
需要补充的一几点(ICP备案和app里的子域和威胁情报平台子域及第三方子域)
http://www.beianbeian.com/search-1/%E4%BA%ACICP%E8%AF%81030173%E5%8F%B7
查备案
App里的那些二级或者多级子域
威胁情报平台里的那些子域
威胁感知里的那些子域
第三方
端口和服务
nmap -sT -P0 -sV -O --script=banner -p T:21-25,80-89,110,143,443,513,873,1080,1433,1521,1158,3306-3308,3389,3690,5900,6379,7001,8000-8090,9000,9418,27017-27019,50060,111,11211,2049 只扫一些常见端口,极大增强效率
nmap检测web漏洞
nmap检测web漏洞
cd /usr/share/nmap/scripts/
wget http://www.computec.ch/projekte/ ... _vulscan-2.0.tar.gz && tar xzf nmap_nse_vulscan-2.0.tar.gz
nmap -sS -sV --script=vulscan/vulscan.nse target
nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv target
nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv -p80 target
nmap -PN -sS -sV --script=vulscan –script-args vulscancorrelation=1 -p80 target
nmap -sV --script=vuln target
nmap -PN -sS -sV --script=all –script-args vulscancorrelation=1 target
根据端口服务来方便下一个阶段的攻击
github和svn
http://www.freebuf.com/sectool/107996.html github技巧
http://www.2cto.com/article/201407/318742.html github使用技巧 http://www.myhack58.com/Article/html/3/7/2015/69241.htm BBscan敏感信息及文件扫描
真实ip
绕过
CDN查看网站真实IP的一些办法 (参考lovesec公众号的)
1、验证是否存在CDN最简单的办法
通过在线的多地ping,通过每个地区ping的结果得到IP
看这些IP是否一致,如果都是一样的,极大可能不存在cdn,但不绝对
如果这些IP大多都不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN
通过在线的多地ping,通过每个地区ping的结果得到IP
看这些IP是否一致,如果都是一样的,极大可能不存在cdn,但不绝对
如果这些IP大多都不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN
**0、验证IP和域名是否真实对应最简单的办法** 修改本地hosts文件,强行将域名与IP解析对应
然后访问域名查看页面是否变化
然后访问域名查看页面是否变化
1、ping
假设如下存在cdn
➜ ~ ping www.sysorem.xyz
PING 539b1c6d114eec86.360safedns.com (221.204.14.177): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
可以尝试➜ ~ ping sysorem.xyz
很多厂商可能让www使用cdn,空域名不使用CDN缓存。
所以直接ping sysorem.xyz可能就能得到真实IP
假设如下存在cdn
➜ ~ ping www.sysorem.xyz
PING 539b1c6d114eec86.360safedns.com (221.204.14.177): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
可以尝试➜ ~ ping sysorem.xyz
很多厂商可能让www使用cdn,空域名不使用CDN缓存。
所以直接ping sysorem.xyz可能就能得到真实IP
2、分站域名
很多网站主站的访问量会比较大。所以往往主站都是挂了CDN的
但是分站就不一定了,毕竟CDN要钱,而且也不便宜
所以可能一些分站就没有挂CDN,所以有时候可以尝试通过查看分站IP
可能是同个IP或者同个站都是没准的。Zoomeye.org, shodan.io ,fofa.so,微步在线,是我们不错的选择,使用api效果更佳
很多网站主站的访问量会比较大。所以往往主站都是挂了CDN的
但是分站就不一定了,毕竟CDN要钱,而且也不便宜
所以可能一些分站就没有挂CDN,所以有时候可以尝试通过查看分站IP
可能是同个IP或者同个站都是没准的。Zoomeye.org, shodan.io ,fofa.so,微步在线,是我们不错的选择,使用api效果更佳
3、国外访问
国内的CDN往往只会针对国内用户访问加速
所以国外就不一定了。因此通过国外代理访问就能查看真实IP了
或者通过国外的DNS解析,可能就能得到真实的IP
国内的CDN往往只会针对国内用户访问加速
所以国外就不一定了。因此通过国外代理访问就能查看真实IP了
或者通过国外的DNS解析,可能就能得到真实的IP
4、MX 及 邮件
mx记录查询,一般会是c段。
一些网提供注册服务,可能会验证邮件,
还有RSS订阅邮件、忘记密码等等
可能服务器本身自带sendmail可以直接发送邮件,当然使用第三方的除外(如网易、腾讯的等)
通过邮件发送地址往往也能得到服务器IP
当然这个IP也要验证是否为主站的
Web版的邮件管理,可以通过常看网页源代码看到IP
mx记录查询,一般会是c段。
一些网提供注册服务,可能会验证邮件,
还有RSS订阅邮件、忘记密码等等
可能服务器本身自带sendmail可以直接发送邮件,当然使用第三方的除外(如网易、腾讯的等)
通过邮件发送地址往往也能得到服务器IP
当然这个IP也要验证是否为主站的
Web版的邮件管理,可以通过常看网页源代码看到IP
5、xss
同4、是让服务器主动连接我们的一种方式
同4、是让服务器主动连接我们的一种方式
6、找彩蛋phpinfo();之类的探针
你懂的,不解释
你懂的,不解释
7、DOS
DDOS耗尽CDN流量、那么就会回源,这样就能得到真实IP
不设防的cdn 量大就会挂,高防cdn 要增大流量。
DDOS耗尽CDN流量、那么就会回源,这样就能得到真实IP
不设防的cdn 量大就会挂,高防cdn 要增大流量。
8、社会工程学
比如勾搭卖这CDN的客服妹子,他们可能有权限
或者查看域名注册方的一些信息如电话啊、邮件地址啊、姓名啊,
有时候会有些人注册一堆域名可以尝试从这些突破
比如勾搭卖这CDN的客服妹子,他们可能有权限
或者查看域名注册方的一些信息如电话啊、邮件地址啊、姓名啊,
有时候会有些人注册一堆域名可以尝试从这些突破
9、查看历史
查看IP与域名绑定的历史记录,说不定就能找到使用CDN前的记录
http://www.17ce.com
http://toolbar.netcraft.com/site_report?url=
查看IP与域名绑定的历史记录,说不定就能找到使用CDN前的记录
http://www.17ce.com
http://toolbar.netcraft.com/site_report?url=
10、DNS社工库
这个同9,传闻有些人去买dns解析记录
这个同9,传闻有些人去买dns解析记录
11、cloudflare
http://www.freebuf.com/articles/web/41533.html
http://www.freebuf.com/articles/web/41533.html
12.全网扫描
Zmap号称44分钟扫完全网。。
Zmap号称44分钟扫完全网。。
详细的企业信息查询
历史漏洞
查询历史漏洞,我们就要借助乌云和补天了,
nosec.org有一个乌云9W版本的,其他的乌云历史漏洞查询在cmcc.ml
Nosec.org你需要基础版才能体验哦,不过你可以提交威胁情报去获取金币兑换基础版的使用时间。
以前没改标题前,效果很好的,后来改标题了,大家懂的
社工库
S.70sec.org
Findmima.com
总结
总之以上是笔者在信息搜集阶段主要使用到的一些方法和技巧,有更多的技巧欢迎您的精彩回复哦。
0X02参考
http://www.freebuf.com/articles/system/58096.html
http://www.dmzlab.com/77396.html
http://www.freebuf.com/articles/web/117006.html
http://www.beianbeian.com
http://www.bangcle.com
http://haosec.cn
https://x.threatbook.cn/
http://www.zoomeye.org
http://www.shodan.io
http://www.fofa.so
http://www.haosec.cn
http://www.17ce.com
http://toolbar.netcraft.com/site_report?url=
http://toolbar.netcraft.com/site_report?url=
http://www.17ce.com
http://www.tianyancha.com
http://nosec.org
http://www.tianyancha.com
http://nosec.org
http://cmcc.ml