“感謝您閱讀本篇部落格!如果您覺得本文對您有所幫助或啟發,請不吝點贊和分享給更多的朋友。您的支援是我持續創作的動力,也歡迎留言交流,讓我們一起探討技術,共同成長!謝謝!🚀✨”
domain:"kuaishou.com" AND port:"80" 360網路空間檢索語句
(domain="qianxin.com")&&ip.port="80" 鷹圖
曾記得某位大佬說過“滲透測試的本質就是資訊收集”,那麼資訊收集,我們到底該收集啥?
資訊收集是指透過各種方式獲取所需要的資訊,以便我們在後續的滲透過程更好的進行需要收集的資訊:
目標主機的DNS資訊、目標IP地址、子域名、旁站和C段、CMS型別、敏感目錄、埠資訊、作業系統版本、網站架構、漏洞資訊、伺服器與中介軟體資訊、郵箱、人員、地址
\(資訊收集分類\)
主動資訊收集:直接訪問網站進行操作掃描等等,這種是有網路流量經過目標伺服器的收集方式
被動資訊收集:透過公開的東西比如搜尋引擎,在不與目標系統互動的情況下獲取資訊避免留下痕跡
收集的資訊
指紋識別CMS
眾多的子域名掃描出來後,我們要從中找到一個比較好挖的地方,進行該網站後就是指紋識別判斷該網站是何種框架
御劍CMS識別
使用工具或者肉眼確認是何種CMS再進行Nday利用進行掃描,此功能原理是透過拼接路徑來判斷是什麼CMS
御劍WEB指紋識別系統教程,圖文教程(超詳細)-CSDN部落格
Wappalyzer 外掛可以幫助我們看到網站的相關資訊 是一個指紋識別外掛,會顯示出是用何種語言編寫
御劍指紋識別
我們知道是這個某個框架之後,我們就可以去網上搜素相關的原始碼檔案,不需要審計程式碼,直接按著結構去訪問。例如discuz的後臺admin.php
收集網站
概念介紹
域名收集
域名:Domain Name 簡稱域名,是由一串用點分隔的名字組成,用在資料傳輸時標識計算機的電子位置
DNS: 域名系統是網際網路的一項服務,作為域名和IP地址相互對映的一個分散式資料庫能夠使人更方便地訪問網際網路 、
域名分類:
頂級域名 二級域名 三級域名 政府域名 商業域名 教育域名
.com baidu.com www.com .gov .com .edu
我們可以透過SRC給出的資產範圍,去愛企查或者別的軟體中搜尋相關的域名,透過域名找到網站的名稱,智慧財產權->網站備案中可以獲取測試範圍。
備案
如果是給到的域名不是很全的的情況下,就利用網站備案號去進行查詢 獲得更多的資產
網站備案是根據國家法律法規規定,需要網站的所有者向國家有關部門申請的備案,
這是國家資訊產業部對網站的一種管理,為了防止在網上從事非法的網站經營活動的發生.
查詢路徑:
天眼查
ICP備案
SEO綜合查詢
每個網站都有相對應的指標,seo綜合查詢就是輸入網址,就可以得到網址域名建立的時間、百度權重、移動權重和註冊郵箱等等基本資訊指標,所以想要得到一個網站的這些指標,就可以在seo綜合查詢上得知
在這裡我們可以看到權重,權重為1,一般的權重為0,1,2,3還是容易日的,大於3的直接pass,但是你厲害的話,可以忽略這話
子域名查詢
在滲透測試過程中,一般在目標的主站很少有發現漏洞點的存在,這時候我們就要從從主站之外的介面進行滲透測試,這時我們可以從域名出發收集資訊
我們通常使用子域名挖掘機等等一系列線上的工具,因為主站或許不存在漏洞但是主站下的子域名頁面就不一樣了
目標的子域是一個重要的測試點,你收集到的可用的子域名越多,意味著你的機會也就越多,所以說要儘可能的收集目標的子域名。子域名的收集方法有很多,這裡我分為兩種:
第一種線上子域名收集。第二種利用工具進行子域名收集。比較常見的線上子域名搜尋(爆破)的網站有:線上子域名爆破-子成君提供、線上子域名查詢等;
子域名掃描工具有fofa、layer子域名挖掘機、
這種的在主域名 .com 中的才是 真正的子域名 ab.baidu.com
這種的只能算是子頁面 不要搞錯了
另類子域名
收集到類似big-data.target.com子域名 使用工具對字首單詞進行爆破fuzz,嘗試獲取到更多的子域名
域名泛解析
泛域名指在一個根域名之下,所有未建立的子域名的合集。如果某子域名已經存在,那麼不在泛域名之中,用萬用字元* 做次級域名這樣所有的次級域名均指向同一IP地址
使用者的域名是abc.com,IP解析到:218.104.78.100。將主機名設定為萬用字元"*",表明 abc.com 之前的所有子域名都將解析到218.104.78.100,如 bbs.abc.com 或 123.234.abc.com,任意字元均可以指向到111.111.111.111這個IP地址。
Whois 查主域
猜密碼構造密碼,獲得公司名稱 註冊人 聯絡方式後, 透過社工字典生成器或者弱口令字典生成器網上都有教程文章去實現和生成
whois是用來查詢域名的IP以及所有者等資訊的傳輸協議。簡單說,whois就是一個用來查詢域名是否已經被註冊,以及註冊域名的詳細資訊的資料庫(如域名所有人、域名註冊商)
whois查詢的重要性:透過whois查詢可以獲得域名註冊者郵箱地址等資訊。一般情況下對於中小型網站域名註冊者就是網站管理員
利用搜尋引擎對whois查詢到的資訊進行搜尋,獲取更多域名註冊者的個人資訊
得到目標URL之後,我們可以透過站長之家來進行whios查詢這家公司的資訊。例如:公司名稱,註冊人或者機構、聯絡方式:郵箱,手機號碼,備案號,ip,域名,DNS,少量子域名等。
查詢路徑:
站長之家Whios查詢
愛站網
VIRUSTOTAL
敏感目錄資訊
目錄掃描也是一個滲透測試的重要點,如果你能從目錄中找到一些敏感資訊,那麼你的滲透過程就會輕鬆很多。例如掃描出後臺,原始碼,robots.txt的敏感目錄或者敏感資訊。目錄掃描我分為兩種:一種時線上目錄掃描,一種是利用工具掃描目錄
線上目錄掃描可以使用Google語法然後利用我們平時用的搜尋引擎(搜狗,百度,bing,Google等)進行搜尋,例子:
谷歌駭客語法
site:限制搜尋範圍的域名
inurl:限制搜尋的url中必須存在na的內容
intext:限制搜尋的頁面中必須存在的內容
intitle:限制搜尋的頁面的標題欄中的內容
filetype:限制搜尋的檔案型別
任意檔案下載:site:域名 filetype:zip|rar|zip|xml (任選其中一個)
敏感資訊(目錄):site:域名 index of、intitle:"Index of /admin"
未授權訪問:inurl:php? intext:CHARACTER_SETS,COLLATIONS, ?intitle:phpmyadmin、
後臺:site:xxx.com inurl:login|admin|manage|member|admin_login|login_admin|system|login|user、
敏感資訊洩露:
site:xxx.com intext:管理|後臺|登入|使用者名稱|密碼|系統|賬號|admin|login|managetem|password|username
sql注入:site:域名 inurl:?id=
掃描工具有:御劍,dirseach等。
GitHub敏感資訊
michenriksen/gitrob:GitHub 組織的偵測工具 工具
github資訊收集.docx
IP收集
判斷真實IP方法[1]
如果滲透目標為虛擬主機,那麼透過IP反查到的域名資訊很有價值,因為一臺電腦上上面可能執行多個虛擬主機。雖然虛擬機器裡有不同的域名,
但通常共用一個IP地址。如果你知道有哪些網站共用這臺伺服器,就有可能透過此臺伺服器上其他網站的漏洞獲取主機伺服器控制權,進而迂迴獲取滲透目標的許可權,這種技術也稱為“旁註”。
利用主機名下的東西對主機進行滲透,但是主機ping後的地址不一定是真實的IP,有的是虛擬的ip地址,我們透過別的手段獲取到真實IP
使用埠掃描工具掃描開了哪些埠,然後結合開放的埠直接訪問找到的IP,看看響應的頁面是不是和訪問域名返回的一樣
IP 反查
如果打野時出現一個網站是以IP形式出現的我們就可以透過 IP 去反差這個域名,一個IP下面肯可能有很多個域名,透過愛站網和或者別的工具來判斷
這個網站是個人的資產還是真正的企業.
CDN
內容分發網路是構建在網路之上的內容分發網路,依靠部署在各地的邊緣伺服器透過中心平臺的負載均衡、內容分發、排程等功能模組,使使用者就近獲取所需內容,降低網路擁塞,提高使用者訪問響應速度和命中率,也就是就近訪問web伺服器更快的獲取到內容;
CDN就是用來加速訪問的,在全國各處設定CDN節點,當使用者使某個網站時,其實就是在使用離使用者最近的CDN節點來搜尋內容。
判斷CDN
- 超級ping如果存在多個IP則可能採用 愛站網超級ping工具:https://ping.aizhan.com/ 站長之家超級ping工具:http://ping.chinaz.com/
CMD皮膚使用nslookup命令進行查詢 若目標存在多個IP的話,就很有可能有CDN服務
繞過CDN
- 網站對每個站都開啟了CDN價格是很高的,因為是按流量計費,我們可以利用國外的機房去全球
ping,如果得到的都是同一個地址那麼應該沒有開啟CDN且得到了真實IP - 主站有
CDN但是主站其他的子域名可能沒有 DNS歷史記錄,站點在使用CDN服務之前,它的真實IP地址可能被DNS伺服器所記錄到,此時我們就可以透過DNS歷史記錄找到目標真實IP
C段
C段就是同一網段,如192.168.100.0 --- 255.
p:ping baidu.com (獲取IP後掃描C段) 24:子網掩碼
獲得地址後對最好的位數進行爆破,找到同一網段下不同的站點,透過
1. IP去訪問
2. 使用IP反差域名訪問
探測工具nmap nmap -sP www.XXX.com/24 |[ nmap -sP 192.168.1.*
收集子域名後透過Eeyes掃描得到對應域名的IP和C段資訊
C段和旁站區別
收集到C段後可以在C段的基礎上再收集一次旁站
192.168.1.10:80 192.168.1.10:3306 // 旁站是同一IP下不同的網站,所開放的埠不一樣
192.168.1.10 192.168.1.11 // C段是同一網段下不同的IP
Cwebscanner
快速掃描C段web應用,獲取請求狀態code、server、title資訊
支援域名或ip地址形式,預設掃描80埠
支援自定義埠掃描
如果對方使用CDN技術則無法掃描,同時可以判斷對方使用了CDN
虛擬機器克隆github: git clone https://github.com/se55i0n/Cwebscanner.git 升級: git pull
--------------------------
github地址: https://github.com/se55i0n/Cwebscanner.git
支援域名或ip地址形式,預設掃描80埠
python Cwebscan.py www.baidu.com 指定域名掃描可以指定ip埠預設80
自定義埠掃描
python Cwebscan.py www.baidu.com -p80,8080
判斷網站作業系統型別
TTL值判斷
ping網站或者IP如果TTL值是128則是windows,Linux則是0-64範圍
大小寫
windows對大小學不銘感 linux對大小寫敏感
埠收集
埠簡介:
Internet上,各主機間透過TCP/IP協議傳送和接受資料包,
各個資料包根據其 目的主機的IP地址來進行網際網路絡中的路由選擇,從而順利的將資料包順利的傳送給目標主機
一個網站可能會開放多個不同的埠,而我們可以透過同一網站的不同埠進行測試,掃描開放埠的方法有很多,這裡我分為兩種:
第一種線上埠掃描,第二種利用工具掃描埠。
比較常見的線上埠掃描網站有:線上埠掃描,IP/伺服器埠線上掃描 - TooL.cc、線上埠檢測,埠掃描,埠開放檢查-線上工具-postjson等;埠掃描工具有nmap,goby等。
協議埠
根據提供服務型別的不同,埠可分為以下兩種:
TCP埠:TCP是一種面向連線的可靠的傳輸層通訊協議 給目標主機傳送資訊後,透過返回應該答確認資訊是否到達
UDP埠:UCP是一種無連線的不可靠的傳輸協議 給目標主機傳送服務後不會確認是否到達
TCP協議和UDP協議的是互相獨立的,因此各自的埠號也互相獨立
埠型別
周知埠: 大家都知道的埠號,範圍 0-1023 如80埠是WWW服務,就是我們資料庫等我們本地搭建的埠
註冊埠: 範圍1024-49151 用於分配給使用者程序或程式 我們可以進行使用
動態埠: 一般不會固定某種服務,範圍49132-65535 我們
埠作用
把伺服器比作房子,埠就是其中的很多道門,竊賊想要在沒經過房子主人允許進入房子,就需要破門而入;
竊賊在破門之前,得先了解到房子開了幾扇門,門後是什麼東西,也就是踩點;踩點得到的資訊越多對於竊賊順利的竊取有價值的東西至關重要。
滲透埠
FTP 21
FTP:檔案傳輸協議,使用TCP埠20,21,20用於傳輸資料,21用於傳輸控制資訊
(1)FTP基礎爆破:owasp的Bruter,hydra以及msf中的FTP爆破模組 (hydra) 爆破各種服務
(2)FTP匿名訪問:使用者名稱:anonymous 密碼為空或者任意郵箱,當檔案傳輸協議沒有開啟驗證的事情我們就可以透過這種方式竊取敏感資訊
(3)Vsftpd後門:Vsfrpd2到2.3.4版本存在後門漏洞,透過該漏洞獲取root許可權 Vsftdp:linux作業系統的伺服器
SSH 22
SSH:(secure shell)是目前比較可靠,專為遠端登入會話和其他網路服務提供安全性的協議
(1) 弱口令 可使用工具 hydra,msf中的ssh爆破模組
(2) SSH 後門
(3) openssh使用者列舉 CVE-2018-15473
Telnet 23
Telnet協議是TCP/IP協議族中的一員,是wbe遠端登入服務的標準協議和主要方式
(1) 暴力破解 使用hydra或者 msf中telnet模組對其破解
(2) 在linux系統中一般採用SSH進行遠端訪問,傳輸的敏感資料都是經過加密的。而對於windows下的telnet來說是脆弱的,因為預設沒有經過任何加密就在網路中井行傳輸。使用cain等嗅探工具可輕鬆截獲遠端登入密碼。
SMTP 25/465
郵件協議:在linix中預設開啟這個服務,可傳送釣魚郵件
預設埠: 25 265(smtps)
(1) 爆破: 弱口令 使用hydra
(2)SMTP 無認證偽造發件人
WWW 80
超文字傳輸協議(HTTP)開放埠,主要用於全球資訊網傳輸資訊的協議
(1) 中介軟體漏洞 如IIS apache ngix (我們利用OWAVPS 可以對80進行攻擊,也可以利用網站部署的這些微服務進行側面的攻擊滲透)
(2) 80埠一般透過web應用程式的常見漏洞進行攻擊
NetBIOS SessionService 139/445
139 提供windows檔案和印表機共享UNIX中的Samba服務
445 提供windows檔案和印表機共享
(1) 對於開放 139/445埠,嘗試利MS17010溢位漏洞漏洞攻擊
(2) 對於只開發445埠
(3) 利用IPC$ 連線進行滲透
MySQL-3306
3306 是MySQL資料庫預設的監聽埠
(1) mysql弱口令破解
(2) 弱口令登入mysql 上傳構造的惡意UDF自定義函式程式碼 透過呼叫惡意註冊的惡意函式執行系統命令
(3) SQL隱碼攻擊獲取資料庫敏感資訊 load_file() 函式讀取系統檔案 匯出惡意程式碼到指出路徑
RDP 3389
3389是windows遠端桌面服務預設監聽埠
(1) RDP暴力破解攻擊
(2) MS12_020死亡藍色畫面攻擊
(3) RDP遠端桌面漏洞 (CVE-2019-0708)
(4) MSF 開啟RDP 登錄檔開啟RDP
Redis 6379
開源的可基於記憶體的可持久化的日誌型資料庫
(1) 爆破弱口令
(2) redis未授權訪問結合ssh key提權
(3) 主從複製RCE (命令執行漏洞)
Weblogic 7001
(1) 弱口令 爆破 弱密碼 一般為weblogic / Oracle@123 or weblogic
(2) 管理後臺部署 war包後門
(3) weblogic SSRF
(4) 反序列化漏洞
Tomcat 8080
(1) Tomcat 遠端程式碼執行漏洞 (CVE-2019-0232)
(2) tocat 任意檔案上傳(CVE-2017-12615)
(3) tomcat 管理頁面弱口令getshell
nmap -A - T4 WWW.hetianlab.com
歷史漏洞收集
搜尋引擎高階搜尋指令
API
site() 用來搜尋某個域名在搜尋引擎收錄的所有檔案。百度、Google、雅虎等各大搜尋引擎都支援該指令。
site的語法格式:site:xxxx(域名)
site:sina.com site:edu.cn
link() 常用的高階指令,用於查詢url的反向連結,只有google支援該指令,但查詢結果不準確
linkdomain() 該指令也是用於查詢域名的反向連結,但只有雅虎支援,用雅虎來查網站的反向連結資料比較準確,所以都會用雅虎的linkdomain:命令查詢一個網站的反向連結
inurl() 用於搜尋查詢呈現在url 中的頁面,百度和google均支援該指令
指令格式:inurl:使用者登入 返回的結果是url包含“使用者登入”的頁面,支援中英文。
使用技巧:inurl命令可以準確查詢個人部落格的收錄情況,比如:我在百度申請了一個使用者名稱為jiangkanek的部落格,那麼我們準確的查詢部落格收錄呢?
正確的查詢方法是 site:hi.baidu.com inurl:jiankangek 這條命令的意思就是hi.baidu.com(百度空間域名) 包含jiankangek(使用者名稱)的頁面
allinurl()
與inurl相似,區別在於allinurl指令可以同時查詢多個關鍵詞
指令格式:allinurl:醫院網路營 推廣技巧 相當於inurl:醫院網路營銷 inurl:醫院推廣技巧
intitle()
該指令返回的結果是頁面title包含關鍵詞,baidu和google均支援該指令。
指令格式:intitle:醫院網路營銷
使用技巧:比如我們要查詢“醫院網路營銷”這個關鍵詞的競爭對手,那麼用intitle指令查詢返回的結果中將是你最強的競爭對手\
filetype()
用於搜尋特定檔案格式,baidu和google均支援該指令
指令格式:filetype:醫院網路方案 doc 返回的是包含“醫院網路方案”的文件
https://www.wolai.com/6827jZPTHDhsyZad8SpU8x#5YJKiULX9QR2vyVniyx5ao
子站報錯頁面
收集子域名後嘗試以解析ip不在CDN上的ip解析主站,真實ip成功被獲取到。 ↩︎