渗透测试之信息收集

一、域名信息

# whois查询
	1、站长之家：http://whois.chinaz.com/

# whois反查
	1、站长之家：http://whois.chinaz.com
	2、查询域名所有人、域名注册商、注册日期、邮箱、电话等

# 备案信息查询
	1、常用备案信息查询网站，获取网站的详细信息
	2、ICP备案查询网：beian.miit.gov.cn/
	3、天眼查：https://www.tianyancha.com/
	4、爱站网：https://www.aizhan.com/

二、子域名信息

# 通过证书收集
	1、查询网站：https://censys.io/    https://crt.sh/

# 谷歌语法
	1、site:xxx.com
	
# 工具爆破
	1、子域名挖掘机layer
	2、御剑
	3、subdomainbrute
	4、K8

# 在线查询
   	1、http://tool.chinaz.com/subdomain/
	

三、旁站、C段

旁站：是和目标网站在同一台服务器上的其它网站

C端：是和服务器IP处在一个C段的其他服务器

# 在线收集
    1、https://webscan.cc/
    2、fofa、shodan在线工具 语法:ip="106.15.141.18/24"

# 本地收集
    1、namp工具：
    	·nmap -p 22,21,443,8080-Pn 172.178.40.0/24
    2、masscan工具：
        ·masscan -p 22,21,443,8080-Pn --rate=1000172.178.40.0/24
	3、goby自动探测当前网络空间存活的IP及解析域名到IP
	4、K8旁站 K8Cscan是款专用于大型内网渗透的高并发插件化扫描神器，可以用来扫描C段、旁站
	5、御剑1.5

四、网站信息收集

探测目标站点架构：操作系统、中间件、脚本语言、数据库、服务器、web容器。

# cms指纹识别
    1、cms指纹识别：http://whatweb.bugscaner.com/look/
    2、云悉：http://www.yunsee.cn/info.html
    3、潮汐指纹：http://finger.tidesec.net/
    4、工具有WhatWeb、WebRobo、椰树、御剑Web指纹识别
    5、手工识别：
        ·根据HTTP响应头判断，重点关注X-Powered-By、cookie等字段
        ·根据HTML 特征，重点关注 body、title、meta等标签的内容和属性。
        ·根据特殊的class判断。HTML 中存在特定 class 属性的某些 div 标签，如<body class="ke-content">

# 操作系统识别
	1、通过ping目标主机返回的TTL值判断服务器类型 win128 linux 64
	2、工具：namp、p0f
	3、大小写敏感区分
	
# 综合探测工具：
	1、shodan、fofa、钟馗之眼
	2、whatweb（kali集成）
	3、wappalyzer插件
	
# WAF信息
    1、扫描工具：whatwaf、wafw00f
    2、在线识别工具：https://scan.top15.cn/web  (中间件及waf)
    3、扫描IP C段，防火墙一般都会有web管理

五、敏感文件（目录）

# 敏感目录获取 
    1、Google语法：
    	·filetype: 指定文件类型，如.bak、.mdb、,inc等
		·site: 指定域名
		·例如查询Access数据库： filetype:mdb"standard jet"(password|username|user|pass)
    2、DirBuster（kali自带的一款扫描工具）
    3、Webdirscan（python编写的简易的扫描工具）
    4、御剑（操作简易方便）
    5、dirmap（一款高级web目录扫描工具，功能比较强大）
    6、常见文件：
        ·robots.txt
        .bak.zip.rar.tar.tar.gz(备份)
        .git
        .svn
        .swp
        .hg
        .DS_Store
	7、dirsearch工具：https://github.com/maurosoria/dirsearch

六、真实IP查询

# 确定有无CDN
    1.多地ping，看对应IP地址是否唯一，多地ping在线网站：
    	·http://ping.chinaz.com/
    2.nslookup，同样是看返回的IP地址的数量进行判断
       
# 绕过CDN查找网站真实IP
    1.DNS历史解析:
        ·查看IP与域名绑定的历史记录，可能会存在使用CDN前的记录，相关网站：
        ·https://dnsdb.io/zh-cn/
        ·https://community.riskiq.com
        ·https://x.threatbook.cn/
        ·https://tools.ipip.net/cdn.php

    2.查询子域名:
    	·毕竟CDN不便宜，所以很多站都是主站做了CDN，而很多小站没做CDN所以可以。
    3.网络空间引擎搜索法:
    	·通过shadan、fofa等搜索引擎，通过对目标网站的特征进行搜索，很多时候可以获取网站的真实IP
    4.利用SSL证书查询:
    	·https://censys.io/certificates/
    5.邮件订阅:
    	·一些网站有发送邮件的功能，如Rss邮件订阅，所以就可以通过邮箱获得真实的IP
    6.国外访问:
    	·一般的站点在国内可能会有CDN，但是在国外的用户覆盖率比较低

七、端口信息

# 端口信息探测
	1、nmap
	2、msscan
	3、御剑高速扫端口
	4、在线端口查询：
        ·http://coolaf.com/tool/port
        ·https://tool.lu/portscan/index.html

*端口*	*服务*	*攻击方向*
21、69	FTP/TFTP	允许匿名的上传、下载、爆破和嗅探
22	SSH	爆破、SSH隧道及内网代理转发、文件传输
23	telnet	爆破、嗅探、弱口令
25	SMTP	邮件伪造
53	DNS	允许区域传送、DNS劫持、缓存投毒、欺骗
67/68	DHCP	劫持、欺骗
80/443	Web服务	Web攻击、爆破、对应服务器版本漏洞
139	Samba服务	爆破、未授权访问、远程代码执行
110/143	POP3/IMAP	爆破
161	SNMP	爆破、搜索目标内网信息
1433/1521/3306	数据库服务	弱口令爆破
3389	Rdp	弱口令爆破，SHIFT后门，放大镜，输入法漏洞
7001/7002	weblogic	弱口令爆破

八、公开漏洞查询利用

# 公开漏洞查询
    1、确认网站的运行的cms或者运行的服务后，可通过公开漏洞进行查询：
        ·http://cve.mitre.org/find/search_tips.html
    2、通过查询cve漏洞库查找当前cms或者服务是否存在已知公开漏洞，结合google获取详细漏洞信息
        ·https://www.exploit-db.com/
    3、Google等搜索引擎确定cms或者服务后，在后面加上exp、poc、漏洞等词汇获取详细漏洞信息。
        ·https://vulners.com/

# 可通过漏洞相关关键字获取详细漏洞信息

# 历史漏洞查询
    1、确认网站所属单位，可通过查询历史漏洞或者该集团、单位历史漏洞辅助攻击（例如获取内网ip段、历史账号密码）
        ·seebug：https://www.seebug.org/
        ·CNVD：https://www.cnvd.org.cn/

九、谷歌语法

# 谷歌常用语法
	1、inurl: 搜索url中的关键字     inurl:asp?id=   inrul：login
	2、intext：搜索网站中的关键字    Intext：Powered by  Discuz    |：表示或
	3、intitle：搜索标题中的关键字
	4、site：定位某个网站
	5、filetype：搜索文件类型
	6、related：搜索相关信息
	7、link：搜索所有链接到此地址的网站
	8、info：搜索输入URL的摘要信息和其他相关信息
	9、allintitle：可输入多个关键字  allintitle：后台 博彩
	10、cache:搜索快照   cache:www.taobao.com  taobao
	11、 index of: 可查看网站目录
	
# 搜索敏感文件：
    1、site:xxx.com filetype:doc intext:pass
    2、site:xxx.com filetype:xls intext:pass
    3、site:xxx.com filetype:conf
    4、site:xxx.com filetype:inc
    5、filetype:log iserror.log

# 搜索管理后台
    1、site:xxx.com admin       后台、后台管理、管理员  guanlidenglu,admin
    2、site:xxx.com login
    3、site:xxx.com 管理
    4、intitle:登陆 intext:username inurl:login.jsp
    5、inurl：/admin/login.php
    6、inurl：/user/login.php
    7、inurl：/phpmyadmin/index.php
    .......
    
# 搜索敏感web路径
	1、site:xxx.com intitle:mongod inurl:28017
	2、site:xxx.com inurl:sql.php
	3、site:xxx.com inurl:phpinfo.php
	4、inurl:jsp/demo.jsp （查找kindedit文件上传页面）
	
# 目录遍历
    index of /admin
    index of /passwd
    index of /password
    index of /mail
    "index of /" +passwd
    "index of /" +password.txt
    "index of /" +.htaccess
    "index of /root"
    "index of /cgi-bin"
    "index of /logs"
    "index of /config"