渗透测试-信息收集
信息收集的分类
- 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)
- 网站指纹识别(包括,cms,cdn,证书等) dns记录
- whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
- 子域名收集,旁站,C段等
- google hacking针对化搜索,word/电子表格/pdf文件,中间件版本,弱口令扫描等
- 扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等
- 传输协议,通用漏洞,exp,github源码等
- 常见的方法有
-
whois查询 -
收集子域名 -
端口扫描 -
查找真实ip
企业的网站,为了提高访问速度,或者避免黑客攻击,用了cdn服务,用了cdn之后真实服务器ip会被隐藏。
5. 探测旁站及C段
旁站:一个服务器上有多个网站 通过ip查询服务器上的网站
c段:查找同一个段服务器上的网站。可以找到同样网站的类型和服务器,也可以获取同段服务器进行下一步渗透。
6. 网络空间搜索引擎
通过这些引擎查找网站或者服务器的信息,进行下一步渗透。
7. 扫描敏感目录/文件
8. 指纹识别
2
收集子域名
1.1. 子域名作用
收集子域名可以扩大测试范围,同一域名下的二级域名都属于目标范围。
1.1子域名在线查询1
https://phpinfo.me/domain/
https://www.t1h2ua.cn/tools/
https://dnsdumpster.com/
https://site.ip138.com/moonsec.com/domain.htm
https://hackertarget.com/find-dns-host-records/
1.2FOFA搜索子域名
https://fofa.so/
语法:domain=“baidu.com”
1.3 360测绘空间
https://quake.360.cn/
domain:“*.freebuf.com”
1.4 Layer子域名挖掘机
1.5 SubDomainBrute
pip install aiodns
subDomainsBrute.py freebuf.com --full -o freebuf2.txt
1.6 Sublist3r
https://github.com/aboul3la/Sublist3r
1.7OneForALL
pip3 install --user -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/
python3 oneforall.py --target baidu.com run /收集/
1.8 Wydomain
1.9FuzzDomain
端口扫描当确定了目标大概的ip段后,可以先对ip的开放端口进行探测,一些特定服务可能开起在默认端口上,探测开放端口有利于快速收集目标资产,找到目标网站的其他功能站点
端口扫描工具:
1.msscan端口扫描
msscan -p 1-65535 ip --rate=1000
https://gitee.com/youshusoft/GoScanner/
- 御剑端口扫描工具
3.nmap扫描端口和探测端口信息
4.在线端口检测
http://coolaf.com/tool/port
1.1. 渗透常见端口及对应服务
1.web类(web漏洞/敏感目录)
第三方通用组件漏洞strutsthinkphp jboss ganglia zabbix
80 web
80-89 web
8000-9090 web
2.数据库类(扫描弱口令)
1433 MSSQL
1521 Oracle
3306 MySQL
5432 PostgreSQL
3.特殊服务类(未授权/命令执行类/漏洞)
443 SSL心脏滴血
873 Rsync未授权
5984 CouchDB http://xxx:5984/_utils/
6379 redis未授权
7001,7002 WebLogic默认弱口令,反序列
9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
11211 memcache未授权访问
27017,27018 Mongodb未授权访问
50000 SAP命令执行
50070,50030 hadoop默认端口未授权访问
4.常用端口类(扫描弱口令/端口爆破)
21 ftp
22 SSH
23 Telnet
2601,2604 zebra路由,默认密码zebra
3389 远程桌面
5.端口合计详情
21 ftp
22 SSH
23 Telnet
80 web
80-89 web
161 SNMP
389 LDAP
443 SSL心脏滴血以及一些web漏洞测试
445 SMB
512,513,514 Rexec
873 Rsync未授权
1025,111 NFS
1433 MSSQL
1521 Oracle:(iSqlPlus Port:5560,7778)
2082/2083 cpanel主机管理系统登陆 (国外用较多)
2222 DA虚拟主机管理系统登陆(国外用较多)
2601,2604 zebra路由,默认密码zebra
3128 squid代理默认端口,如果没设置口令很可能就直接漫游内网了
3306 MySQL
3312/3311 kangle主机管理系统登陆
3389 远程桌面
4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网
5432 PostgreSQL
5900 vnc
5984 CouchDB http://xxx:5984/_utils/
6082 varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网
6379 redis未授权
7001,7002 WebLogic默认弱口令,反序列
7778 Kloxo主机控制面板登录
8000-9090 都是一些常见的web端口,有些运维喜欢把管理后台开在这些非80的端口上
8080 tomcat/WDCP主机管理系统,默认弱口令
8080,8089,9090 JBOSS
8083 Vestacp主机管理系统(国外用较多)
8649 ganglia
8888 amh/LuManager 主机管理系统默认端口
9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 memcache未授权访问
27017,27018 Mongodb未授权访问
28017 mongodb统计页面
50000 SAP命令执行50070,50030
hadoop默认端口未授权访问
查找真实ip
1.1. 多地ping确认是否使用CDN
http://ping.chinaz.com/
http://ping.aizhan.com/
1.2. 查询历史DNS解析记录
1.3DNSDB
https://dnsdb.io/zh-cn/
1.4微步在线
https://x.threatbook.cn/
1.5. phpinfo
如果目标网站存在phpinfo泄露等,可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR"]找到真实ip
旁站和C段
1.1站长之家
同ip网站查询http://stool.chinaz.com/same
https://chapangzhan.com/
1.2在线c段 webscan.cc
webscan.cc
https://c.webscan.cc/
1.4Nmap,Msscan扫描等
例如:nmap -p 80,443,8000,8080-Pn 192.168.0.0/24
扫描敏感目录/文件
扫描敏感目录需要强大的字典,需要平时积累,拥有强大的字典能够更高效地找出网站的管理后台,敏感文件常见的如.git文件泄露,.svn文件泄露,phpinfo泄露等,这一步一半交给各类扫描器就可以了,将目标站点输入到域名中,选择对应字典类型,就可以开始扫描了,十分方便。
1.1. 御剑
https://www.fujieace.com/hacker/tools/yujian.html
1.2kbstorm
https://github.com/7kbstorm/7kbscan-WebPathBrute
1.3 bbscan
https://github.com/lijiejie/BBScan
- 扫描单个web服务www.target.com
python BBScan.py --host www.target.com - 扫描www.target.com和www.target.com/28下的其他主机
python BBScan.py --host www.target.com --network 28 - 扫描txt文件中的所有主机
python BBScan.py -f wandoujia.com.txt
1.4. dirmap
https://github.com/H4ckForJob/dirmap
单个目标
python3 dirmap.py -i https://target.com-lcf
多个目标
python3 dirmap.py -iF urls.txt -lcf
1.5. dirsearch
https://gitee.com/Abaomianguan/dirsearch.git
unzipdirsearch.zip
python3dirsearch.py -u http://m.scabjd.com/ -e *
1.6. gobuster
网站文件
- robots.txt
- crossdomin.xml (跨域)
- sitemap.xml (网站地图)
- 后台目录
- 网站安装包
- 网站上传目录
- mysql管理页面
- phpinfo
- 网站文本编辑器
- 测试文件
- 网站备份文件(.rar、zip、.7z、.tar.gz、.bak)
- DS_Store 文件
- vim编辑器备份文件(.swp)
- WEB—INF/web.xml文件
15 .git
16 .svn (一个开放源代码的版本控制系统)
扫描网页备份
例如
config.php
config.php~
config.php.bak
config.php.swp
config.php.rar
conig.php.tar.gz
.
网站头信息收集
1.1通过浏览器获取
1.2http://whatweb.bugscaner.com/look/
1.3火狐的插件Wappalyzer
1.4curl命令查询头信息
curlhttps://www.moonsec.com -i
敏感文件搜索
1.1. GitHub搜索
in:name test #仓库标题搜索含有关键字test
in:descripton test #仓库描述搜索含有关键字
谷歌搜索
site:Github.com sapassword
site:Github.com rootpassword
SVN 信息收集
site:Github.com svn
site:Github.com svnusername
1.2. Google-hacking
inurl: url中存在的关键字网页
intext:网页正文中的关键词
filetype:指定文件类型
1.3. wooyun漏洞库
cms识别收集好网站信息之后,应该对网站进行指纹识别,通过识别指纹,确定目标的cms及版本,方便制定下一步的测试计划,可以用公开的poc或自己累积的对应手法等进行正式的渗透测试.
1.1. 云悉
http://www.yunsee.cn/info.html
1.2. 潮汐指纹
http://finger.tidesec.net/
1.3. CMS指纹识别
http://whatweb.bugscaner.com/look/
https://github.com/search?q=cms识别
1.1. whatcms
1.2. 御剑cms识别
https://github.com/ldbfpiaoran/cmscan
https://github.com/theLSA/cmsIdentification/
SSL/TLS证书查询
SSL/TLS证书通常包含域名、子域名和邮件地址等信息,结合证书中的信息,可以更快速地定位到目标资产,获取到更多目标资产的相关信息。
SSL证书搜索引擎:
https://certdb.com/domain/github.com
https://crt.sh/?Identity=%.moonsec.com
https://censys.io/
资产收集神器
ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统
https://github.com/TophantTechnology/ARL
AssetsHunter
https://github.com/rabbitmask/AssetsHunter
一款用于src资产信息收集的工具
https://github.com/sp4rkw/Reaper
domain_hunter_pro
https://github.com/bit4woo/domain_hunter_pro