常用的信息搜集和整理方法_公司合并整合工作方案
——本文參考自t7前輩的課程,侵刪
信息收集
一、簡(jiǎn)介
什么是信息搜集?
信息搜集也稱踩點(diǎn),信息搜集毋庸置疑就是盡可能的搜集目標(biāo)的信息,包括端口信息、DNS信息、員工郵箱等等看似并不起眼的一些信息都算是信息搜集,這些看似微乎其微的信息,對(duì)于滲透測(cè)試而言就關(guān)乎到成功與否了。
信息搜集的重要性
信息搜集是滲透測(cè)試的最重要的階段,占據(jù)整個(gè)滲透測(cè)試的60%,可見信息搜集的重要性。根據(jù)收集的有用信息,可以大大提高我們滲透測(cè)試的成功率。
信息搜集的分類
1、主動(dòng)式信息搜集(可獲取到的信息較多,但易被目標(biāo)發(fā)現(xiàn))
2、通過直接發(fā)起與被測(cè)目標(biāo)網(wǎng)絡(luò)之間的互動(dòng)來獲取相關(guān)信息,如通過Nmap掃描目標(biāo)系統(tǒng)。
3、被動(dòng)式信息搜集(搜集到的信息較少,但不易被發(fā)現(xiàn))
4、通過第三方服務(wù)來獲取目標(biāo)網(wǎng)絡(luò)相關(guān)信息。如通過搜索引擎方式來搜集信息。
二、搜索引擎
1. Google hacking
常用搜索語法:
intitle:KEYWORD //搜索網(wǎng)頁標(biāo)題中含有關(guān)鍵詞的網(wǎng)頁
intext:KEYWORD //搜索站點(diǎn)正文中含有關(guān)鍵詞的網(wǎng)頁
inurl:KEYWORD //搜索URL中包含有指定字符串的網(wǎng)址
inurl:php?id= //搜索PHP網(wǎng)頁
site:DOMAIN //在指定站點(diǎn)內(nèi)查找相關(guān)的內(nèi)容
filetype:FILE //搜索指定類型的文件
我們可以同時(shí)附加多個(gè)條件進(jìn)行篩選,比如 inurl:admin intitle:農(nóng)具
兩個(gè)篩選條件之間用空格隔開
2. Shodan
Shodan與Google這種搜索網(wǎng)址的搜索引擎不同的是,Shodan是用來搜索網(wǎng)絡(luò)空間中在線設(shè)備的。
3. Zoomeye(鐘馗之眼)
ZoomEye是一款針對(duì)網(wǎng)絡(luò)空間的搜索引擎,收錄了互聯(lián)網(wǎng)空間中的設(shè)備、網(wǎng)站及其使用的服務(wù)或組件等信息。
搜索語法
1、app:nginx 組件名
2、ver:1.0 版本
3、os:windows 操作系統(tǒng)
4、country:”China” 國(guó)家
5、city:”hangzhou” 城市
6、port:80 端口
7、hostname:google 主機(jī)名
8、site:thief.one 網(wǎng)站域名
9、desc:nmask 描述
10、keywords:nmask’blog 關(guān)鍵詞
11、service:ftp 服務(wù)類型
12、ip:8.8.8.8 ip地址
13、cidr:8.8.8.8/24 ip地址段
通過以上不同種類的搜索引擎我們可以獲得相當(dāng)多的有用的信息,甚至平時(shí)搜索東西我們也可以通過zoomeye來找到自己想要的東西
三、企業(yè)信息
1. 天眼查
天眼查是一款“都能用的商業(yè)安全工具”,根據(jù)用戶的不同需求,實(shí)現(xiàn)了企業(yè)背景、企業(yè)發(fā)展、司法風(fēng)險(xiǎn)、經(jīng)營(yíng)風(fēng)險(xiǎn)、經(jīng)營(yíng)狀況、知識(shí)產(chǎn)權(quán)方面等多種數(shù)據(jù)維度的檢索。
2. 企業(yè)信用信息公示系統(tǒng)
3. 工業(yè)和信息化部ICP/IP地址/域名信息備案管理系統(tǒng)
以上幾個(gè)可以用來深入了解滲透目標(biāo)網(wǎng)站所屬企業(yè)的相關(guān)信息
四、whois信息
whois(讀作“Who is”,非縮寫)是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議。
whois信息可以獲取關(guān)鍵注冊(cè)人的信息,包括注冊(cè)商、聯(lián)系人、聯(lián)系郵箱、聯(lián)系電話、創(chuàng)建時(shí)間等,可以進(jìn)行郵箱反查域名,爆破郵箱,社工,域名劫持,尋找旁站等等。
常用的工具有:
站長(zhǎng)工具、愛站、微步在線
…
五 Nslookup的用法
例如:
1.設(shè)置類型為ns
2.下面的例子查詢baidu.com使用的DNS服務(wù)器名稱:
3.下面的例子展示如何查詢baidu.com的郵件交換記錄:
4.查看網(wǎng)站cname值。
5.查看郵件服務(wù)器記錄(-qt=MX)
6.同樣nslookup也可以驗(yàn)證是否存在域傳送漏洞,步驟如下:
- nslookup進(jìn)入交互式模式
- Server 設(shè)置使用的DNS服務(wù)器
- ls命令列出某個(gè)域中的所有域名
但是實(shí)際應(yīng)用中,可能會(huì)出現(xiàn)問題,所以這個(gè)不做過多介紹
六、子域名收集
子域名收集可以發(fā)現(xiàn)更多滲透測(cè)試范圍內(nèi)的域名/子域名,以增加漏洞發(fā)現(xiàn)機(jī)率;探測(cè)到更多隱藏或遺忘的應(yīng)用服務(wù),這些應(yīng)用往往可導(dǎo)致一些嚴(yán)重漏洞。
常用的工具有:子域名挖掘機(jī)Layer、subDomainsBrute、Dnsenum、Dnsmap …
這里推薦一個(gè)在線收集子域名的網(wǎng)站 https://phpinfo.me/domain/ 但是可能會(huì)出現(xiàn)遇到泛解析防御機(jī)制的情況
七、真實(shí)IP獲取
現(xiàn)在大多數(shù)的網(wǎng)站都開啟了CDN加速,導(dǎo)致我們獲取到的IP地址不一定是真實(shí)的IP地址。
什么是CDN呢?
CDN的全稱是Content Delivery Network,即內(nèi)容分發(fā)網(wǎng)絡(luò)。其基本思路是盡可能避開互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié),使內(nèi)容傳輸?shù)母臁⒏€(wěn)定。通過在網(wǎng)絡(luò)各處放置節(jié)點(diǎn)服務(wù)器所構(gòu)成的在現(xiàn)有的互聯(lián)網(wǎng)基礎(chǔ)之上的一層智能虛擬網(wǎng)絡(luò),CDN系統(tǒng)能夠?qū)崟r(shí)地根據(jù)網(wǎng)絡(luò)流量和各節(jié)點(diǎn)的連接、負(fù)載狀況以及到用戶的距離和響應(yīng)時(shí)間等綜合信息將用戶的請(qǐng)求重新導(dǎo)向離用戶最近的服務(wù)節(jié)點(diǎn)上。其目的是使用戶可就近取得所需內(nèi)容,解決 Internet網(wǎng)絡(luò)擁擠的狀況,提高用戶訪問網(wǎng)站的響應(yīng)速度。
如果想獲取真實(shí)IP,我們可以使用以下幾種方法
1.多地Ping法:由CDN的原理,不同的地方去Ping服務(wù)器,如果IP不一樣,則目標(biāo)網(wǎng)站肯定使用了CDN。
這里推薦一個(gè)網(wǎng)站可以多個(gè)地點(diǎn)ping服務(wù)器,https://asm.ca.com/en/ping.php
2.二級(jí)域名法:目標(biāo)站點(diǎn)一般不會(huì)把所有的二級(jí)域名放cdn上。通過在線工具如站長(zhǎng)幫手,收集子域名,確定了沒使用CDN的二級(jí)域名后。本地將目標(biāo)域名綁定到同IP(修改host文件),如果能訪問就說明目標(biāo)站與此二級(jí)域名在同一個(gè)服務(wù)器上;如果兩者不在同一服務(wù)器也可能在同C段,掃描C段所有開80端口的IP,然后挨個(gè)嘗試。
3.nslookup法:找國(guó)外的比較偏僻的DNS解析服務(wù)器進(jìn)行DNS查詢,因?yàn)榇蟛糠諧DN提供商只針對(duì)國(guó)內(nèi)市場(chǎng),而對(duì)國(guó)外市場(chǎng)幾乎是不做CDN,所以有很大的幾率會(huì)直接解析到真實(shí)IP。
4.Ping法:直接ping example.com而不是www.example.com,因?yàn)楝F(xiàn)有很多CDN廠商基本只要求把www.example.com cname到CDN主服務(wù)器上去,那么直接ping example.com有可能直接獲得真實(shí)IP。
八、指紋識(shí)別
通過識(shí)別目標(biāo)網(wǎng)站所使用的操作系統(tǒng)、CMS、服務(wù)器與中間件信息,可以幫助我們進(jìn)一步了解滲透測(cè)試環(huán)境,可以利用已知的一些CMS漏洞或中間件漏洞來進(jìn)行攻擊。
1.可以在以下地方獲取信息:
1.指定路徑下指定名稱的js文件或代碼。
2.指定路徑下指定名稱的css文件或代碼。
<title>中的內(nèi)容,有些程序標(biāo)題中會(huì)帶有程序標(biāo)識(shí),但不是很多。
4.meta標(biāo)記中帶程序標(biāo)識(shí)<meta name="description"/><meta name="keywords"/><meta name="generator"/><meta name="author"/><meta name="copyright"/>
5.display:none中的版權(quán)信息。
6.頁面底部版權(quán)信息,關(guān)鍵字? Powered by等。
7.readme.txt、License.txt、help.txt等文件。
8.指定路徑下指定圖片文件,如一些小的圖標(biāo)文件,后臺(tái)登錄頁面中的圖標(biāo)文件
等,一般管理員不會(huì)修改它們。
9.注釋掉的html代碼中<!–
10.http頭的X-Powered-By中的值,有的應(yīng)用程序框架會(huì)在此值輸出。
11.cookie中的關(guān)鍵字
12.robots.txt文件中的關(guān)鍵字
robots.txt 中禁止的路徑很可能說明站點(diǎn)就有這些路徑 而且robots.txt 多是可訪問的
13.404頁面
14.302返回時(shí)的旗標(biāo)
2.大小寫
訪問網(wǎng)站:
http://www.xxx.com/index.html
http://www.xxx.com/inDex.html
Windows操作系統(tǒng)不區(qū)分大小寫,Linux系統(tǒng)大小寫敏感,用此方法能夠判斷是Windows還是Linux系統(tǒng)。
工具 :云悉指紋、Whatweb、httprint、Bugscanner、瀏覽器插件 wappalyzer
有的時(shí)候HTTP返回報(bào)文的server也可能泄露相關(guān)信息,詳見我的HTTP學(xué)習(xí)筆記
九、端口掃描
掃描端口可以使用Nmap,masscan進(jìn)行掃描探測(cè),盡可能多的搜集開啟的端口好已經(jīng)對(duì)應(yīng)的服務(wù)版本,得到確切的服務(wù)版本后可以搜索有沒有對(duì)應(yīng)版本的漏洞。
常見的端口信息及滲透方法:
端口 ———————————— 服務(wù) —————————— 滲透用途(加黑斜體為重點(diǎn))
tcp 20,21 FTP 允許匿名的上傳下載,爆破,嗅探,win提權(quán),遠(yuǎn)程執(zhí)行(proftpd 1.3.5),各類后門(proftpd,vsftp 2.3.4)
tcp 22 SSH 可根據(jù)已搜集到的信息嘗試爆破,v1版本可中間人,ssh隧道及內(nèi)網(wǎng)代理轉(zhuǎn)發(fā),文件傳輸?shù)鹊?/p>
tcp 23 Telnet 爆破,嗅探,一般常用于路由,交換登陸,可嘗試弱口令
tcp 25 SMTP 郵件偽造,vrfy/expn查詢郵件用戶信息,可使用smtp-user-enum工具來自動(dòng)跑
tcp/udp 53 DNS 允許區(qū)域傳送,dns劫持,緩存投毒,欺騙以及各種基于dns隧道的遠(yuǎn)控
tcp/udp 69 TFTP 嘗試下載目標(biāo)及其的各類重要配置文件
tcp 80-89,443,8440-8450,8080-8089 各種常用的Web服務(wù)端口 可嘗試經(jīng)典的topn,vpn,owa,webmail,目標(biāo)oa,各類Java控制臺(tái),各類服務(wù)器Web管理面板,各類Web中間件漏洞利用,各類Web框架漏洞利用等等……
tcp 110 POP3 可嘗試爆破,嗅探
tcp 111,2049 NFS 權(quán)限配置不當(dāng)
tcp 137,139,445 Samba 可嘗試爆破以及smb自身的各種遠(yuǎn)程執(zhí)行類漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143 IMAP 可嘗試爆破
udp 161 SNMP 爆破默認(rèn)團(tuán)隊(duì)字符串,搜集目標(biāo)內(nèi)網(wǎng)信息
tcp 389 LDAP ldap注入,允許匿名訪問,弱口令
tcp 512,513,514 Linux rexec 可爆破,rlogin登陸
tcp 873 Rsync 匿名訪問,文件上傳
tcp 1194 OpenVPN 想辦法釣VPN賬號(hào),進(jìn)內(nèi)網(wǎng)
tcp 1352 Lotus 弱口令,信息泄漏,爆破
tcp 1433 SQL Server 注入,提權(quán),sa弱口令,爆破
tcp 1521 Oracle tns爆破,注入,彈shell…
tcp 1500 ISPmanager 弱口令
tcp 1723 PPTP 爆破,想辦法釣VPN賬號(hào),進(jìn)內(nèi)網(wǎng)
tcp 2082,2083 cPanel 弱口令
tcp 2181 ZooKeeper 未授權(quán)訪問
tcp 2601,2604 Zebra 默認(rèn)密碼zerbra
tcp 3128 Squid 弱口令
tcp 3312,3311 kangle 弱口令
tcp 3306 MySQL 注入,提權(quán),爆破
tcp 3389 Windows rdp shift后門[需要03以下的系統(tǒng)],爆破,ms12-020
tcp 3690 SVN svn泄露,未授權(quán)訪問
tcp 4848 GlassFish 弱口令
tcp 5000 Sybase/DB2 爆破,注入
tcp 5432 PostgreSQL 爆破,注入,弱口令
tcp 5900,5901,5902 VNC 弱口令爆破
tcp 5984 CouchDB 未授權(quán)導(dǎo)致的任意指令執(zhí)行
tcp 6379 Redis 可嘗試未授權(quán)訪問,弱口令爆破
tcp 7001,7002 WebLogic Java反序列化,弱口令
tcp 7778 Kloxo 主機(jī)面板登錄
tcp 8000 Ajenti 弱口令
tcp 8443 Plesk 弱口令
tcp 8069 Zabbix 遠(yuǎn)程執(zhí)行,SQL注入
tcp 8080-8089 Jenkins,JBoss 反序列化,控制臺(tái)弱口令
tcp 9080-9081,9090 WebSphere Java反序列化/弱口令
tcp 9200,9300 ElasticSearch 遠(yuǎn)程執(zhí)行
tcp 11211 Memcached 未授權(quán)訪問
tcp 27017,27018 MongoDB 爆破,未授權(quán)訪問
tcp 50070,50030 Hadoop 默認(rèn)端口未授權(quán)訪問
PS:個(gè)人感覺8888端口也比較容易出現(xiàn)管理后臺(tái),可以嘗試弱口令爆破一波
十、Nmap
Nmap是一個(gè)網(wǎng)絡(luò)連接端口掃描軟件,用來掃描網(wǎng)上電腦開放的網(wǎng)絡(luò)連接端口。確定哪些服務(wù)運(yùn)行在哪些連接端口,并且推斷計(jì)算機(jī)運(yùn)行哪個(gè)操作系統(tǒng)。它是網(wǎng)絡(luò)管理員必用的軟件之一,以及用以評(píng)估網(wǎng)絡(luò)系統(tǒng)安全。
功能:
1、 主機(jī)發(fā)現(xiàn)
2、 端口掃描
3、 版本偵測(cè)
4、 OS偵測(cè)
nmap工具的使用會(huì)在另一篇博客提到,就不在這里細(xì)說了。
十一、旁站C段查詢
旁站:是和目標(biāo)網(wǎng)站在同一臺(tái)服務(wù)器上的其它的網(wǎng)站。
旁注:通過入侵安全性較差的旁站,之后可以通過提權(quán)跨目錄等手段拿到目標(biāo)服務(wù)器的權(quán)限。
工具:K8_C段旁注工具、WebRobot、御劍、明小子 …
C段:每個(gè)IP有ABCD四個(gè)段,也就是說是D段1-255中的一臺(tái)服務(wù)器,然后利用工具嗅探拿下該服務(wù)。比如192.168.3.0-255的設(shè)備都處于同一個(gè)c段。
C段入侵:目標(biāo)ip為192.168.1.128,可以入侵192.168.1.*的任意一臺(tái)機(jī)器,然后利用一些黑客工具嗅探獲取在網(wǎng)絡(luò)上傳輸?shù)母鞣N信息。
工具:Cain、Sniffit 、Snoop、Tcpdump、Dsniff …
十二、其他信息
Web敏感文件
robots.txt、crossdomin.xml、sitemap.xml、源碼泄漏文件 …
WAF信息
WAF識(shí)別大多基于Headers頭信息,還可以使用Wafw00f,Sqlmap的waf腳本,Nmap的http-waf-detect和http-waf-fingerprint腳本等等。
相關(guān)漏洞
漏洞查詢站點(diǎn):exploitdb、hackerone、CNVD、0day5、烏云漏洞庫(kù)鏡像站 …
總結(jié)
以上是生活随笔為你收集整理的常用的信息搜集和整理方法_公司合并整合工作方案的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SAP OData的CSRF校验开关
- 下一篇: CreateFileMapping 函数