网络安全——信息收集

一.资产收集

对于目标的资产收集有域名，ip，邮箱，管理员，网站源码，网站架构

1.域名
通过网站收集的子域名和whois信息和在线子域名爆破
2.ip
ip主要通过域名解析ip，对于主ip可进行ipc段扫描
3.网站源码
可从github搜寻，通过网站的前期查询了解是否使用cms
 

二.常见端口服务利用

● FTP (21/TCP)
默认用户名密码 anonymous:anonymous
暴力破解密码
● SSH (22/TCP)
部分版本SSH存在漏洞可枚举用户名
暴力破解密码
● Telent (23/TCP)
暴力破解密码
嗅探抓取明文密码
● SMTP (25/TCP)
无认证时可伪造发件人
● DNS (53/UDP & 53/TCP)
域传送漏洞
DNS劫持
DNS缓存投毒
DNS欺骗
SPF / DMARC Check
DDoS
DNS Query Flood
DNS 反弹
DNS 隧道
● DHCP 67/68
劫持/欺骗
● HTTP (80/TCP)

网页渗透，查找漏洞
● Kerberos (88/TCP)
主要用于监听KDC的票据请求
用于进行黄金票据和白银票据的伪造
● POP3 (110/TCP & 995/TCP)
爆破
● RPC (135/TCP)
wmic 服务利用
● NetBIOS (137/UDP & 138/UDP)
未授权访问
弱口令
● NetBIOS / Samba (139/TCP)
未授权访问
弱口令
● SNMP (161/TCP & 161/UDP)
Public 弱口令
● LDAP (389/TCP)
用于域上的权限验证服务
匿名访问
注入
● HTTPS (443/TCP)
● SMB (445/TCP)
Windows 协议簇，主要功能为文件共享服务
net use \\192.168.1.1 /user:xxx\username password
● Linux Rexec (512/TCP & 513/TCP & 514/TCP)
弱口令
● Rsync (873/TCP)
未授权访问
● RPC (1025/TCP)
NFS匿名访问
● Java RMI (1090/TCP & 1099/TCP)
反序列化远程命令执行漏洞
● MSSQL (1433/TCP)
弱密码
差异备份 GetShell
SA 提权
● Oracle (1521/TCP)
弱密码
● NFS (2049/TCP)
权限设置不当
showmount
● ZooKeeper (2171/TCP & 2375/TCP)
无身份认证
● Docker Remote API (2375/TCP)
未限制IP / 未启用TLS身份认证
http://docker.addr:2375/version
● MySQL (3306/TCP)
弱密码
日志写WebShell
UDF提权
MOF提权
● RDP / Terminal Services (3389/TCP)
弱密码
● Postgres (5432/TCP)
弱密码
执行系统命令
● VNC (5900/TCP)
弱密码
● CouchDB (5984/TCP)
未授权访问
● WinRM (5985/TCP)
Windows对WS-Management的实现
在Vista上需要手动启动，在Windows Server 2008中服务是默认开启的
● Redis (6379/TCP)
无密码或弱密码
绝对路径写 WebShell
计划任务反弹 Shell
写 SSH 公钥
主从复制 RCE
Windows 写启动项
● Kubernetes API Server (6443/TCP && 10250/TCP)
https://Kubernetes:10250/pods
● JDWP (8000/TCP)
远程命令执行
● ActiveMQ (8061/TCP)
● Jenkin (8080/TCP)
未授权访问
● Elasticsearch (9200/TCP)
代码执行
http://es.addr:9200/_plugin/head/
http://es.addr:9200/_nodes
● Memcached (11211/TCP & 11211/UDP)
未授权访问
● RabbitMQ (15672/TCP & 15692/TCP & 25672/TCP)
● MongoDB (27017/TCP)
无密码或弱密码
● Hadoop (50070/TCP & 50075/TCP)
未授权访问

三.端口扫描方式

● 1.全扫描
扫描主机尝试使用三次握手与目标主机的某个端口建立正规的连接，若成功建立连接，则端口处于开放状态，反之处于关闭状态。

全扫描实现简单，且以较低的权限就可以进行该操作。但是在流量日志中会有大量明显的记录。

nmap -sT 192.168.1.1

●2. 半扫描
半扫描也称SYN扫描，在半扫描中，仅发送SYN数据段，如果应答为RST，则端口处于关闭状态，若应答为SYN/ACK，则端口处于监听状态。不过这种方式需要较高的权限，而且现在的大部分防火墙已经开始对这种扫描方式做处理。

nmap -sS 192.168.1.1

●3. FIN扫描
FIN扫描是向目标发送一个FIN数据包，如果是开放的端口，会返回RST数据包，关闭的端口则不会返回数据包，可以通过这种方式来判断端口是否打开。
这种方式并不在TCP三次握手的状态中，所以不会被记录，相对SYN扫描要更隐蔽一些。

nmap -sF 192.168.1.1