知己知彼,百战不殆。
安全的高度,取决于最薄弱的地方,木桶中最短的那一块板。
信息搜集,就是搜集薄弱资产。
安全的防护,讲究外紧内松,内网有大量的弱密码、通杀漏洞。
1、whois
域名注册时留下的信息,比如留下管理员的名字、电话号码、邮箱。
域名注册人可能就是网站管理员,可以尝试对其进行社工、套路,查询是不是注册了其他域名,以扩大攻击范围。
站长之家
whois反查
whois
查找隐藏的联系方式,搜索联系方式,判断从事方向
贴吧
不同的搜索引擎会得到不同的内容。
信息搜集不一定会得到想要的结果。
天眼查
搜索公司,搜索法人的名字
密码字典生成器
2、子域名
顶级域名下的二级域名或者三级甚至更多级的域名都属于子域名,有一些直接ip访问的WEB站也归结于子域名收集范围。
子域名可以扩大攻击范围,同一个域名下的二级域名都属于相同资产,一般而言都有相关的联系。
baidu.com
www.baidu.com
旁站:
同IP站点
www.a.com -> 127.1.1.1
www.b.com -> 127.1.1.1
同IP不代表同服务器:
(1)同IP同服务器
(2)同IP不同服务器,同一个内网
站长工具:同IP查询
ping查询
ping检测
IP反查域名
爱站网
reverseip
微步在线
潮汐指纹
CDN加速
访问到的IP不是真实的IP,而是CDN提供的IP。可以通过ping检测,查看其IP是否改变。
通过访问同IP站点的错误文件,查看其报错是否相同,如果相同,很大可能是使用了同一个web容器,很大可能搭建在同一台服务器上。
对报错页面进行分析,可能得到一些漏洞。
403禁止访问,证明文件存在
404找不到文件
寻找功能点、后台地址
例如尝试查找admin文件
ab.com/admin/login.asp
子域名挖掘机:
爆破DNS,只写顶级域名,不会伤害目标站点,但可能造成自身网络堵塞。
使用工具爆破DNS服务器
subDomainsBrute
3、目录扫描技术(御剑)
有些网站可能某个目录下是一个新的网站,有的时候目录扫描直接下载了压缩包源码、编辑器目录、一些废弃的页面(会报错)
未经授权进行扫描,可能会因为访问次数过多,而被认为是恶意访问。最好降低访问速度,比如使用单线程(1s访问1次),延时扫描。
如果IP被封,稍微等一下,一般可以解决,如果长时间被封,则需要更换IP,手机热点则重启手机,拨号上网则重启路由器。实在不行,就挂代理。
当然,虽然蜜罐没有那么常见,但还是小心为上。
小技巧:查看君子协议robots.txt
4、端口探测(Nmap)
有些危险端口易与入侵,例如445、3306、22、1433、6379,可以尝试爆破或者是使用某些端口存在漏洞的服务。
高危端口:
21 FTP
22 ssh
3306 mysql
8080 其他web站
6379 redis未授权访问
1433 MSSQL(爆破)
3389 RDP(0708)
445 smb(永恒之蓝)
这些大部分都是默认端口。
有可能一台服务器上面不同端口代表着不同的Web网站。
有域名的防护 > 无域名的防护
80或者443默认端口的防护 > 其他端口
总结,无域名的非80、443端口的防护相对较弱
6、C段扫描
例如192.168.1.1 ,那么192.168.1.1-192.168.1.255 都属于同一个C段,有些学校或者大公司,他们会持有整个IP段,这个IP段中所有的IP都是那个公司的资产,拿下一台可能有有用的计算机,可能在同一内网。
当然,这是一场赌博,可能会误伤他人。
7、谷歌语法
谷歌搜索
语法可联合使用
filetype:指定数据类型
site:指定域名
inurl:指定URL栏目,URL是统一资源定位符号,即网址
intitle:指定标题
intext:指定内容
link:包含指定网页链接的网页
谷歌搜索:
filetype:xls 学号
site:smqh.edu.cn
inurl:.php
intitle:PHP探针-UPUPW
谷歌搜索仍然强于其他搜索引擎。
我们可以使用谷歌搜索一些所需要的信息。
伪静态:本身是动态,但表现为静态
Goole Hacking
fofa.so
钟馗之眼
shodan
可以搜索到平时搜索不到的内容,比如可以搜索工控设备等等