Web安全攻防:渗透测试实战指南

目录

第1章  渗透测试之信息收集

1.1收集域名信息

     1.1.1Whois查询

     1.1.2备案信息查询

1.2收集敏感信息

1.3收集子域名信息

1.4收集常用端口信息

1.5指纹识别

1.6查找真实IP

1.7收集敏感目录文件

1.8社会工程学

第1章   渗透测试之信息收集

    1.1   收集域名信息

①得知目标域名

②获取域名注册信息（域名DNS服务器信息和注册人联系信息）

    1.1.1    Whois查询

标准互联网协议，收集网络注册信息，注册域名，IP地址等

Kali下的Whois查询

常用网站:爱站工具网（https://whois.aizhan.com）

                     站长之家（http://whois.chinaz.com）

                     VirusTotal（https://www.virustotal.com）

     1.1.2    备案信息查询

针对国内网站，需进行备案，常用网站：

ICP备案查询网：http://www.beianbeian.com

天眼查：http://www.tianyancha.com

     1.2   收集敏感信息

Google世界上最强的搜索引擎之一，常用语法及其说明

①Site             指定域名

②Inurl             URL中存在关键字的网页

③Intext          网页正文中的关键字

④Filetype      指定文件类型

⑤Intitle         网页标题中的关键字

⑥link                link:baidu.com即表示返回所有和baidu.com做了链接的URL

⑦Info                查找指定站点的一些基本信息

⑧cache              搜索Google里关于某些内容的缓存

   1.3    收集子域名信息

子域名即二级域名，顶级域名下的域名

1.子域名检测工具

（Layer子域名挖掘机，在域名对话框中直接输入域名即可进行扫描）

2.搜索引擎枚举

（利用Google语法搜索子域名）

3.第三方聚合应用枚举

（第三方服务汇聚了大量DNS数据集，可通过它们检索某个给定域名的子域名）

4.证书透明度公开日志枚举

证书透明度是证书授权机构（CA）的一个项目

CA会将每个SSL/TLS证书发布到公共日志中；

一个SSL/TLS证书通常包含域名、子域名和邮件地址

推荐网站：

crt.sh:https://crt.sh

censys:https://censys.io

子域名爆破网站https://phpinfo.me/domain

IP反查绑定域名网站http://dns.aizhan.com

    1.4收集常用端口信息

在端口渗透信息收集过程中，常见扫描工具Nmap，无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具

一、文件共享服务端口

①21/22/69        Ftp/Tftp文件传输协议 

（允许匿名的上传、下载、爆破和嗅探操作）

②2049         Nfs服务 

（配置不当）

③139           Samba服务 

（爆破、未授权访问、远程代码执行）

④389           Ldap目录访问协议 

（注入、允许匿名访问、弱口令）

二、远程连接服务端口

①22       SSH远程连接 

（爆破、SSH隧道及内网代理转发、文件传输）

②23        Telnet远程连接 

（爆破、嗅探、弱口令）

③3389       Rdp远程桌面连接 

（Shift后门‘需要Windows Server 2003以下的系统’、爆破）

④5900       VNC 

（弱口令爆破）

⑤5632        PyAnywhere服务

 （抓密码、代码执行）

三、Web应用服务端口

①80/443/8080         常见的Web服务端口 

（Web攻击、爆破、对应服务器版本漏洞）

②7001/7002         WebLogic控制台

 （Java反序列化、弱口令）

③8080/8089         Jboos/Resin/Jentty/Jenkins 

（反序列化、控制台弱口令）

④9090           WebSphere控制台

（Java反序列化、弱口令）

⑤4848          GlassFish控制台 

（弱口令）

⑥1352           Lotus domino邮件服务 

（弱口令、信息泄露、爆破）

⑦10000         Webmin-Web控制面板 

（弱口令）

四、数据库服务端口

①3306       MySQL 

（注入、提取、爆破）

②1433       MSSQL数据库 

（注入、提权、SA弱口令、爆破）

③1521        Oracle数据库 

（TNS爆破、注入、反弹Shell）

④5432        PostgreSQL数据库 

（爆破、注入、弱口令）

⑤27017/27018            MongoDB 

（爆破、未授权访问）

⑥6379         Redis数据库 

（可尝试未授权访问、弱口令爆破）

⑦5000         SysBase/DB2数据库 

（爆破、注入）

五、邮件服务端口

①25        SMTP邮件服务 

（邮件伪造）

②110        POP3协议 

（爆破、嗅探）

③143       IMAP协议 

（爆破）

六、网络常见协议端口

①53           DNS域名系统 

（允许区域传送、DNS劫持、缓存投毒、欺骗）

②67/68            DHCP服务 

（劫持、欺骗）

③161            SNMP协议 

（爆破、搜集目标内网信息）

七、特殊服务端口

①2181         Zookeeper服务 

（未授权访问）

②8069          Zabbix服务

 （远程执行、SQL注入）

③9200/9300       Elasticsearch服务 

（远程执行）

④11211      Memcache服务 

（未授权访问）

⑤512/513/514        Linux Rexec服务 

（爆破、Rlogin登录）

⑥873         Rsync服务 

（匿名访问、文件上传）

⑦3690          Svn服务 

（Svn泄露、未授权访问）

⑧50000        SAP Management Console 

（远程执行）

   1.5指纹识别

指纹由于终身不变性，唯一性和方便性，成为生物特征识别代名词。本节所讲指纹指网站CMS指纹识别、计算机操作系统以及Web容器的指纹识别等。

应用程序一般在html、js、css等文件中会包含一些特征码，如：WordPress在robots.txt中会包含wp-admin，这个特征就是CMS指纹，当碰到其它网站也存在此特征时，可快速识别出CMS。

CMS又称整站系统或文章系统，渗透测试中，对目标服务器进行指纹识别，识别出相应的Web容器或CMS，查找与其相关漏洞，进行相应渗透操作。

常见的CMS有：Dedecms（织梦）、Discuz、PHPWind、PHPWEB、ASPCMS等

代表工具有御剑Web指纹识别，WhatWeb，WebRobo，轻量Web指纹识别等，可以快速识别一些主流CMS。如图1-9

•  BugScaner：http://whatweb.bugscaner.com/look/
• 云悉指纹：http://www.yunsee.cn/finger.html
• WhatWeb：https://whatweb.net/

  1.6查找真实IP

一、目标服务器存在CDN

二、判断目标是否使用了CDN

三、绕过CDN寻找真实IP

四、验证获取的IP

  1.7收集敏感目录文件

  1.8社会工程学