渗透信息收集小汇总

信息收集

先知社区之信息收集一
先知社区之信息收集二

整体目标

IP地址段
域名信息
邮件地址
敏感目录
端口扫描
旁站C段
整站分析
谷歌hacker
URL采集
信息分析

详细目标

域名：子域名、DNS、CDN，
IP：whois、c端、真实

端口：开放的端口服务、服务版本

邮箱：邮箱服务器地址、邮箱系统软件版本、相关漏洞

企业信息：员工信息（手机号码、邮箱、姓名），组织框架、企业法人、企业综合信息

web信息：cms版本，漏洞历史、http方法、

网站客服：QQ、邮箱、电话

网站敏感文件\信息：备份文件、测试文件、久项目文件

网络收集

• 敏感信息

  html源码：明显的代码，注释
  DS_store（存储文件夹的显示属性如文件显示属性）导致文件泄露
  robots.txt（一个协议，定义了不允许爬行的目录）
  屏蔽：使用/*作为通配符和更改后台名字
  网站备份压缩文件（备份文件放到网站目录下，可直接下载）：zip,rar,bak
  vim编辑器备份文件：生成的swp文件
  WEB-INF/web.xml泄露
  github（初始化代码库的时候会寒生一个.git的隐藏文件，使用后可用来恢复源代码）：邮箱，QQ，主机等用户名密码
  SVN（开放源代码的版本控制系统 ）：未删除的源码程序
  crossdomin.xml

• 搜索引擎
  zoomeye，shodaw，bing搜索，fofa，谛听，Google,天眼查

• 在线工具搜索：
  站长工具，站长帮手，爱站，https://phpinfo.me/bing.php

工具收集

• 端口探测
  nmap
• dns枚举工具
  nslookup,dig,whois,dnsenum,fierce
• 目录，文件查询
  dirbuster,Maltego,nikto,御剑
• 利用搜索引擎工具
  theharvester
• 子域名爆破工具
  layer子域名检测，dmitry，k8，subDomainsBrute

步骤

被动信息收集

DNS

• 域名解析成IP地址
• 域名记录：A（主机记录：域名解析到IP地址上）,C name（别名记录：域名解析成另一个域名）,NS（域名服务器地址）,MX（邮件交换记录）
• IP解析成域名：ptr
  工具：
  一、 nslookup

1. set type=a/mx/nx/ptr type=q
2. nslookup 域名 -type=any/a/mx/nx 指定DNS服务器
   二、 dig
3. dig 域名 查询类型（any/a/mx/nx）@DNS服务器
   输出结果参数
   +noall 啥都不显示
   +noall +answer 只看answer
   -x 反向查询（ptr）
4. 查看bind（DNS服务器软件）版本信息
   dig +noall +answer txt chaos VERSION.BIND @DNS服务器
5. DNS追踪
   +trace 域名
   三、 DNS区域传输：拿到DNS服务器主机记录
   dig @域名服务器 域名 axfr
host -T（时间） -l（axfr） 域名
   四、 DNS字典爆破
6. fierce -dnssever 8.8.8.8 -dns sina.com.cn -wordlist /usr/share/fierce/hosts.txt

搜索引擎

一、SHODAN
搜索互联网的设备
banner:http ftp ssh telnet
常见filter:
net: city: country: port: os:"windows 2000" Hostname: server：
二、google语法
关键字和说明
+/- 包含/不包含该关键字
“” 准确查找引号内的内容
site:指定域名
intext:正文中存在关键字的网页
intitle:标题中存在关键字的网页
info:一些基本信息
inurl:URL存在关键字的网页
filetype:搜索指定文件类型
linkbaidu.com即表示返回所有和百度做了链接的URL
cache:搜索GOOGLE里关于某些内容的缓存
注意
Google只能查询出蜘蛛爬行过的网页，蜘蛛遵照网站根目录robots.txt的约定爬行，若不希望一些敏感目录被爬行，则可以写在网站根目录中

工具

一、theharvester
一个社会工程学工具，它通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email，子域名，主机，雇员名，开放端口和banner信息
一般需要
命令格式
theharvester -d dominname -l limitnumber -b searchengine
二、metagoofil
是一种搜索提取目标公司公开文档（pdf，doc，xls，ppt，docx，pptx，xlsx）中元数据的信息收集工具。
metagoofil -d dominname -l limitnumber -o 下载的位置 -n 下载的数量 -f输出到的文件
三、maltego
强大的社工工具
四、cupp
生成个人密码字典
五、exiftool
查看图片信息
六、recon-ng
全特性的web侦察框架，web信息搜索框架
需要代理

主动信息收集

数据链层发现 arp协议

• 工具和命令
  1. arping
     -c 发送数量 -d预防arp欺骗
  2. nmap (二层扫描)（很强大的工具）
     nmap -sn 不扫描端口
  3. Netdiscover
     专用于二层发现
     可用无线和交换网络环境
     主动和被动探测
     主动
     netdiscover -i eth0 -r 1.1.1.0/24
netdiscover -l iplist
     被动
     netdiscover -p（不容易被发现）
  4. Scapy（强大的交互式数据包处理程序）（这里实现二层扫描）
     python库，也可以是工具
     抓包分析创建修改注入网络流量
     sr1()发送请求

IP，ICMP协议

• 可路由，容易被边界防火墙过滤
  5. ping
  6. ping -R（返回远的接口ip）/ traceroute(返回近的) ps：TTL值了解一下
  7. Scapy
  8. nmap
  -sn 局域网发一个arp包，外网发icmp包
  9. fping类似于ping
  fping -g 起始ip 结束ip
  10. Hping

TCP和UDP 端口扫描

• 可路由，不容易被过滤
  UDP：ICMP（在路由器和IP主机传递控制信息）端口不可达
  TCP：未经请求的ACK-RST,SYN-SYN/ACK（端口打开则返回）、RST（关闭则返回）
  隐蔽扫描（syn）

  • 不建立完整连接
  • 应用日志不记录扫描行为
    僵尸扫描
  • 可伪造源地址
  • 闲置系统
  • IPID递增
  11. namp （UDP）

  ip -PU/A端口号 -sn（表示不做端口扫描）
  -sU ip UDP端口扫描
  

  12. namp（TCP）

  -sS ip -p port (--open只显示打开的)
  -sT ip -p port默认1000个常用端口
  

  13. namp

  发现僵尸机
  -p port ip --script=ipidseq.nse
  扫描目标
  ip -sl ip -Pn -p port
  

服务扫描

• 识别开放在端口上的应用

• 识别目标操作系统

• 提高攻击效率

  • Banner
    • 软件开发商
    • 名称
  • 服务类型
  • 版本号
    14. nmap
    -sT ip -p port --script=banner

• service

  15. nmap

  ip -p port -sV 通过指纹特征匹配服务

• snmp

  • 简单网络管理协议
    • Community strings
    • 信息查询或重新配置
  • firewall

操作系统识别

• TTL起始值
  • Windows：128（65 - 128）
  • Linux/Unix：64（1-64）
  • 某些Unix：255
    16. nmap
    -O
• 被动识别
  • IDS
  • 抓包分析
  • p0f

SNMP扫描

• snmp

  简单网络管理协议，用于IP网络管理网络节点（服务器，路由器，交换机等）属于应用层协议

• MIB Tree

  • 树形的网络设备管理功能数据库

  • 1.3.6.1.4.1.77.1.2.25

    17. onesixtyone
        ip public
-c dict.txt -i hosts -o my.log -w 100

    18. snmpwalk
        ip -c public -v snmp版本 如1c，2c，3c

    19. snmpcheck

        -t ip -c 团队名 -v

SMB扫描

• Sever Message Block通信协议

• 空会话访问（SMB1）

  • 用户名

  • 密码

  • 用户，组SID

    20. nmap

        -v -p port ip

        ip -p port --script=smb-os-discovery.nse

    21. enum4linux
        -a ip

SMTP扫描

• 邮件服务器

  22. nmap

      ip -p25 --script=smtp-enum-users.nse --script-args=smtp-enumusers.methods={VRFY}

      smtp.163.com -p25 --script=smtp-open-relay.nse

防火墙识别

• 一般规则
• 通过检测回包
  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aa4dk2FU-1588123595056)( kali渗透测试.assets\1563245886778.png)]
  23. nmap
  -sA ip -p port

负载均衡扫描

• DNS和HTTP
  24. lbd
  lbd ip

WAF

• web应用防火墙

  25. wafw00f

      -l查看能探测的防火墙

  26. nmap

umusers.methods={VRFY}`

  `smtp.163.com -p25 --script=smtp-open-relay.nse`

防火墙识别

• 一般规则
• 通过检测回包
  [外链图片转存中…(img-aa4dk2FU-1588123595056)]
  23. nmap
  -sA ip -p port

负载均衡扫描

• DNS和HTTP
  24. lbd
  lbd ip

WAF

• web应用防火墙

  25. wafw00f

      -l查看能探测的防火墙

  26. nmap

      ip --script=http-waf-detect.nse