WEB安全攻防——学习笔记一（信息收集）

简介

渗透测试之前尽可能多的收集信息，知己知彼，百战百胜。
在信息收集中最重要的就是收集服务器的配置信息和网站的敏感信息。其中包括域名及子域名信息、目标网站系统、CMS指纹、目标网站真实IP、开放的端口。

1、收集域名信息

whois查询

whois是一个标准得互联网协议，可用于收集网络注册信息，注册的域名，IP地址等信息。

收集敏感信息

（1）使用搜索引擎搜索
site：指定域名
Inurl：URL中存在关键字的网页
Intext：网页正文中的关键字
filetype：指定文件类型
intitle：网页标题中关键字
link：link：baidu.com 返回所有和baidu.com做了连接的URL
info：查找指定站点的一些基本信息
cache：搜索缓存
（2）Burt suite的repeater模块也可以获取到服务器信息，如运行的server的类型与版本，php的版本信息等。

收集域名信息

（1）子域名检测工具
layer 暴力枚举
（2）搜索引擎枚举
site：sanfor.com.cn

收集常用端口信息

应用的默认端口和在端口上映射的服务，最常见工具是nmap
常见端口说明与攻击方向

（1）文件共享服务端口

1. 21/69 FTP/TFTP文件传输协议；允许匿名的上传、下载、爆破和嗅探操作
2. 2049 NFS服务；配置不当
3. 139 samba服务；爆破、未授权访问、远程代码执行
4. 389 Ldap目录访问协议；注入、允许匿名访问、弱口令

（2）远程连接服务端口

5. 22 SSH远程连接 ；爆破、SSH隧道及内网代理转发、文件传输
6. 23 telnet 远程连接 ；爆破、嗅探、弱口令
7. 3389 RDP远程桌面连接 ；shift后门、爆破
8. 5900 VNC；弱口令爆破
9. 5632 Pyanywhere服务；代码执行

web应用服务端口

10. 80 443 常见web服务端口；web攻击、爆破、对应服务器版本探测
11. 7001/7002 weblogic控制台；Java反序列化、弱口令
12. 8080/8090 jboss ；反序列化、控制台弱口令
13. 9090 websphere ；Java反序列化、弱口令
14. 4848 glassfish控制台；弱口令
15. 1352 lotus domino 邮件服务 ；弱口令、信息泄露、爆破
16. webmin-web控制面板 ；弱口令

数据库服务端口

17. 3306 mysql ；注入、提权、爆破
18. 1433 mssql ；注入、提权、弱口令、爆破
19. 1521 oracle ；TNS爆破、注入、反弹shell
20. 5432 postgreSQL ；爆破、注入、弱口令
21. 27017/27018 MongoDB ；爆破、未授权访问
22. 6379 redis数据库；可尝试未授权访问、弱口令爆破
23. 5000 sysbase DB2数据库 ；爆破、注入

邮件服务端口

24. 25 SMTP ；邮件伪造
25. 110 POP3 ；爆破、嗅探
26. 143 IMAP ；爆破

网络常见协议端口

27. 53 DNS ；允许区域传送、DNS劫持、缓存投毒、欺骗
28. 67/68 DHCP；劫持、欺骗
29. 161 SNMP；爆破、搜集目标内网信息

特殊服务端口

30. 2181 zookeeper服务；未授权访问
31. 8069 zabbix服务；远程执行、SQL注入
32. 9200/9300 elasticsearch服务；未授权访问
33. 11211 memcache服务 ； 未授权访问
34. 512/513/514 LINUX rexec服务；爆破、rlogin登录
35. 873 rsync ；匿名访问、文件上传
36. 3690 svn服务 ；svn泄露，未授权访问
37. 5000 SAP management console 远程执行

指纹识别

应用程序在HTML、CSS、JS等文件中多多少少会包含一些特征码，比如word press在roboot.txt中包含wp-admin等，这个特征就是这个CMS的指纹。
CMS（content mangement system）文章系统，识别工具在线识别如云悉指纹：http://www.yunsee.cn/finger.html

查找真实IP

网站使用了CDN服务后，ping域名，得到的并非真正的目标web服务器ip，而是离我们最近的cdn服务器
（1）判断是否使用CDN，直接ping
（2）绕过CDN寻找真实IP

• 内部邮箱源；一般邮件系统在内部，没有经过cdn解析，注册用户相应账号后，ping邮箱域名
• 扫描网站测试文件，如phpinfo，test
• 子域名；ping二级域名（二级域名可能没有挂CDN）
• 国外访问；使用国外代理工具
• 如果有APP，用burp suite抓取app请求
  （3）验证获取到的ip

收集敏感目录文件

dirbuster探测web服务器目录与文件。
在线工具www.webscan.cc

社会工程学

心理学