信息收集——外部打点

信息收集——外部打点

本文总结了在进行web站点外部打点时的主要信息收集途径和工具。

一、域名、资产收集

1.主域名、旁站收集

(一) 网站备案信息 ->爱企查、企查查
(二) whois查询 | IP反查 | SEO信息 ->站长之家
(三) host碰撞（有些网站不能直接以ip地址访问，需要用域名）->hostscan
(四) DNS记录查询 ->securitytrails.com
(五) 空间引擎Hunter、Fofa（IconHash、其他指纹）

2.CDN识别绕过

(一) 多地ping、海外ping
(二) 子域名（可能为了节约成本，不给子域名买CDN服务）
(三) 邮件源代码检查
(四) 源码硬编码检查
(五) 在线CDN识别网站->cdnplanet

二、web信息收集

主要是扩大web系统的暴露范围、识别特征并收集泄露的敏感信息或文件

1. 指纹

(一) CMS扫描及利用

1. WpScan

2. CMSeek

3. kali的searchsploit

2. 技术框架

(一) 浏览器插件Wappalzyer、Whatruns
(二) whatweb

3. 获取尽可能多的URL

(一) 目录路径（扫描时可以指定文件后缀名）

1. dirsearch
2. dir-buster
3. ferox-buster
4. 御剑目录扫描
5. 字典【fuzz-Dicts】

(二) 子域名

1. 空间搜索引擎
2. one for all
3. subfinder、Layer子域名挖掘机

(三) 端口号

1. nmap
2. 空间搜索引擎

4. 信息泄露

此处目标是收集隐藏接口、泄露配置文件、泄露的源代码文件、内存信息等

(一) HTTP报文泄露敏感信息、使用wfuzz来探测隐藏接口等
(二) 前端文件敏感信息->jsfinder、urlfinder、浏览器插件FindSomething
(三) 配置文件接口信息
(四) heapdump文件泄露
(五) github源文件泄露（还可关注硬编码用户口令）
(六) .git文件泄露->用GitHack还原出git文件

5. WAF识别

(一) wafw00f
(二) whatwaf
(三) 人工识别->https://cloud.tencent.com/developer/article/1872310

三、其他主机信息收集

1. 操作系统类型搜集

(一) nmap -O扫描
(二) icmp响应的TTL检查（64可能为Linux）
(三) Linux对大小写敏感

2. 开放服务Banner收集

(一) nmap扫描
(二) 常见端口号及粗浅利用

1. 文件共享服务
   • ftp：21 | 匿名访问（anonymous）
   • samba/smb：139/445 | 内网文件共享、ms17010等
   • LDAP：389 | 匿名访问（anonymous）
2. 远程连接服务
   • ssh：22 | 弱口令
   • telnet：23 | 弱口令
   • rdp：3389 | 弱口令、PTH
   • vnc：5900 | 弱口令
3. web app服务
   • weblogic：7001 | java反序列化
   • tomcat、jboss：8080 | 各类历史漏洞
4. 数据库服务
   • mssql：1433 | xp_cmdshell提权、sp_oacreate+sp_oamethod提权
   • oracle：1521
   • mysql：3306 | udf提权
   • postgresql：5432
   • redis：6379 | 未授权访问、写ssh公钥并使用私钥登录
   • mongoDB：27017
5. 邮件服务
   • smtp：25
   • pop3：110
   • imap：143
6. 其他服务
   • rsync：873 | 匿名访问
   • 宝塔面板：8888 | 弱口令
   • Elasticsearch：9200、9300 | 未授权访问
   • memcache：11211 | 未授权访问