渗透测试信息收集

收集域名信息

whois

Who is是一个标准的互联网协议， 可用于收集网络注册信息，注册的域名、 IP地 址，域名服务商、域名拥有者，以及他们的邮箱、电话、 地址等信息

• kali下的whois
  
• 在线whois查询：
• 爱站网https://whois.aizhan.com
• 站长之家 http://whois.chinaz.com
• VirusTotalhttps://www.virustotal.com

备案号信息查询

网站备案是根据国家法律法规规定，需要网站的所有者向国家有关部门申请的备案。

• ICP备案查询网： http://www.beianbeian.como
• 天眼查：http://www.tianyancha.com

敏感信息

Google黑客语法

关键字	含义
site	指定域名
inurl	url含有关键字
intitle	标题含有关键字
intext	返回正文含有关键字
allintitle	返回多个指定词
allinurl	返回多个关键字
filetype	指定网页类型
link	返回指向关键字的网页
related	返回关键字相似的网页
cache	搜索 Google 里关于某些内容的缓存
define	返回关键字的定义
index of/	目录浏览
phonebook	电话簿
info	查找指定站点的一些基本信息

乌云漏洞表：http://wy.zone.ci/

子域名信息

子域名也就是二级域名 ， 是指顶级域名下的域名。
工具： maltego,dnsenum ，layer，wydomain，subDomainsBrute、dnsmaper,Sublist3r等

• layer
  
• dnsenum -f /usr/share/dnsenum/dns.txt +域名/ip
  

1.搜索： google语法 site:baidu.com
2.第三方网站：

• https://dnsdumpster.com
• ip域名反查：http://tool.chinaz.com/dns/
• ip域名反查：http://dns.aizhan.com

3.证书透明度公开日志枚举:

• https://crt.sh
• https://censys.io

crt.sh

端口

工具：nmap，无状态端口扫描工具Masscan.nmap扫描的准确性较高，但是扫描的比较慢。masscan扫描的比较快，但是准确性较低
文件共享服务

端口号	端口说明	攻击手段
21/22/69	FTP/TFTP 文件传输协议	允许匿名的上传，下载，爆破，嗅探操作
2049	NFS服务	配置不当
139	Samab服务	爆破，未授权访问，远程代码执行
389	Ldap目录访问协议	注入，允许匿名访问，弱口令

远程连接服务

端口号	端口说明	攻击手段
22	ssh远程连接	爆破，ssh隧道内网代理转发，文件传输
23	telnet远程连接	爆破，嗅探，弱口令
3389	rdp远程连接桌面	shift后门(win03以下)，爆破
5900	VNC	弱口令爆破
5632	PyAnywhere服务	代码执行，抓密码

Web应用服务

端口号	端口说明	攻击手段
80/443/8080	常见的web服务端口	web漏洞，爆破，服务对应版本漏洞
7001/7002	weblogic控制台	Java反序列化，弱口令
8080/8089	Jboss/Resin/Jetty/Jenkins	反序列化，控制台弱口令
9090	websphere控制台	Java反序列化，弱口令
4848	Glass Fish控制台	弱口令
1352	Lotus domino 邮件服务	弱口令，信息泄露，爆破
10000	webmin-web控制面板	弱口令

数据库服务

端口号	端口说明	攻击手段
3306	Mysql	注入,提权，爆破
1433	Mssql数据库	注入，提权，SA弱口令，爆破
1521	Oracle数据库	TNS爆破，注入，反弹shell
5432	PostgreSql	爆破，注入，弱口令
27017/27018	MongoDB	爆破，未授权访问
6379	Redis数据库	未授权访问，弱口令
5000	sysbase/DB2数据库	爆破，注入

邮件服务

端口号	端口说明	攻击手段
25	SMTP邮件服务	伪造
110	POP3协议	爆破，嗅探
143	IMAP协议	爆破

网络协议

端口号	端口说明	攻击手段
53	DNS域名解析	允许区域传送
67/68	DHCP服务	劫持，欺骗
161	SNMP	爆破，搜集目标内网信息

特殊服务

端口号	端口说明	攻击手段
2181	ZooKeeper服务	未授权访问
8069	Zabbix服务	远程执行，SQL注入
9200/9300	Elasticsearch 服务	远程执行
11211	Memcache 服务	未授权访问
512/513/514	Linux Rexec 服务	爆破，Rlogin登录
873	Rsyns服务	匿名访问，文件上传
3690	Svn服务	Svn泄漏，未授权访问
50000	SAP Management Console	远程执行

指纹识别

web指纹：应用名称（版本）、服务器软件（版本）、编程语言（版本）、应用框架（版本）

• 常见cms：Dedecms （织梦）、 Discuz、 PHPWEB、 PHPWind、 PHPCMS、 ECShop、 Dvbbs、 SiteWeaver、 ASPCMS、帝国、 Z-Blog、 WordPress

• 工具：whatweb ，御剑web指纹识别等。

• 网站：

  • 云悉指纹： http://www.yunsee.cn/finger. html
  • bugscaner：http://whatweb.bugscaner.com/look/
  • whatweb：https://www.whatweb.net/
  • 利用 https://bugs.shuimugan.com 网站查询指定CMS的漏洞。

真实IP

目标范围存在CDN
CDN:内容分发网络，主要解决因传输距离和不同运营商节点造成的网络速度 性能低下的问题。
1.判断是否有cdn

• nslookup +域名
• http://ping.chinaz.com/进行ping目标IP
• 若返回ip值不唯一，则存在cdn

2.绕过CDN找真实IP

• 内部邮箱源：通过目标网站用户支注册，查看邮件头的邮件服务器域名IP。
• 敏感信息。phpinfo，test等
• 分站域名，ping一些二级域名或一些C段，判断目标IP段
• 国外访问，CDN往往仅对国内用户访问加速。通过代理网站App Synthetic Monitor https://asm.ca.com/en/ping.php
• 查询域名的解析记录，通过网站NETC RAFT https://www.netcraft.com/观察域名IP历史记录，大致分析目标IP段
• 通过网站的APP，利用Fiddler/burp suite抓包

3.验证IP

• 直接访问IP
• 利用工具IP段端口，对开发80，443，8080的IP进行访问

敏感目录文件

• 后台目录：弱口令，万能密码，爆破
• 安装包：获取数据库信息，甚至是网站源码
• 上传目录：截断、上传图片马等
• mysql管理接口：弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell
• 安装页面 ：可以二次安装进而绕过
• phpinfo：会把你配置的各种信息暴露出来
• 编辑器：fck、ke、等
• iis短文件利用：条件比较苛刻 windows、apache等

探测目标网站后台目录的工具有： wwwscan 、御剑 、 dirbuster、cansina，dirb 等

其他

1.脚本类型(php/jsp/asp/aspx)

• 可以根据网站URL来判断
• site:xxx filetype:php

2.数据库类型(Mysql/Oracle/Accees/Mqlserver)

• 常见搭配：
• ASP 和 ASPX：ACCESS、SQL Server
• PHP：MySQL、PostgreSQL
• JSP：Oracle、MySQL

3.旁站和C段扫描
旁站指的是同一服务器上的其他网站.C段同一IP网段的web服务。

• 旁站和C段在线查询地址：
• http://www.webscan.cc
• https://phpinfo.me/bing.php

4.网站漏洞扫描
网站漏洞扫描就是直接对网站进行漏洞探测了。网站漏洞扫描也有很多工具。比如 AWVS、AppScan、OWASP-ZAP、nessuss等等

6.经纬度

• http://lbsyun.baidu.com/index.php?title=webapi/ip-api
• https://www.ipip.net/ip.html