常用的信息搜集和整理方法_公司合并整合工作方案
——本文參考自t7前輩的課程,侵刪
信息收集
一、簡介
什么是信息搜集?
信息搜集也稱踩點,信息搜集毋庸置疑就是盡可能的搜集目標的信息,包括端口信息、DNS信息、員工郵箱等等看似并不起眼的一些信息都算是信息搜集,這些看似微乎其微的信息,對于滲透測試而言就關乎到成功與否了。
信息搜集的重要性
信息搜集是滲透測試的最重要的階段,占據整個滲透測試的60%,可見信息搜集的重要性。根據收集的有用信息,可以大大提高我們滲透測試的成功率。
信息搜集的分類
1、主動式信息搜集(可獲取到的信息較多,但易被目標發現)
2、通過直接發起與被測目標網絡之間的互動來獲取相關信息,如通過Nmap掃描目標系統。
3、被動式信息搜集(搜集到的信息較少,但不易被發現)
4、通過第三方服務來獲取目標網絡相關信息。如通過搜索引擎方式來搜集信息。
二、搜索引擎
1. Google hacking
常用搜索語法:
intitle:KEYWORD //搜索網頁標題中含有關鍵詞的網頁
intext:KEYWORD //搜索站點正文中含有關鍵詞的網頁
inurl:KEYWORD //搜索URL中包含有指定字符串的網址
inurl:php?id= //搜索PHP網頁
site:DOMAIN //在指定站點內查找相關的內容
filetype:FILE //搜索指定類型的文件
我們可以同時附加多個條件進行篩選,比如 inurl:admin intitle:農具
兩個篩選條件之間用空格隔開
2. Shodan
Shodan與Google這種搜索網址的搜索引擎不同的是,Shodan是用來搜索網絡空間中在線設備的。
3. Zoomeye(鐘馗之眼)
ZoomEye是一款針對網絡空間的搜索引擎,收錄了互聯網空間中的設備、網站及其使用的服務或組件等信息。
搜索語法
1、app:nginx 組件名
2、ver:1.0 版本
3、os:windows 操作系統
4、country:”China” 國家
5、city:”hangzhou” 城市
6、port:80 端口
7、hostname:google 主機名
8、site:thief.one 網站域名
9、desc:nmask 描述
10、keywords:nmask’blog 關鍵詞
11、service:ftp 服務類型
12、ip:8.8.8.8 ip地址
13、cidr:8.8.8.8/24 ip地址段
通過以上不同種類的搜索引擎我們可以獲得相當多的有用的信息,甚至平時搜索東西我們也可以通過zoomeye來找到自己想要的東西
三、企業信息
1. 天眼查
天眼查是一款“都能用的商業安全工具”,根據用戶的不同需求,實現了企業背景、企業發展、司法風險、經營風險、經營狀況、知識產權方面等多種數據維度的檢索。
2. 企業信用信息公示系統
3. 工業和信息化部ICP/IP地址/域名信息備案管理系統
以上幾個可以用來深入了解滲透目標網站所屬企業的相關信息
四、whois信息
whois(讀作“Who is”,非縮寫)是用來查詢域名的IP以及所有者等信息的傳輸協議。
whois信息可以獲取關鍵注冊人的信息,包括注冊商、聯系人、聯系郵箱、聯系電話、創建時間等,可以進行郵箱反查域名,爆破郵箱,社工,域名劫持,尋找旁站等等。
常用的工具有:
站長工具、愛站、微步在線
…
五 Nslookup的用法
例如:
1.設置類型為ns
2.下面的例子查詢baidu.com使用的DNS服務器名稱:
3.下面的例子展示如何查詢baidu.com的郵件交換記錄:
4.查看網站cname值。
5.查看郵件服務器記錄(-qt=MX)
6.同樣nslookup也可以驗證是否存在域傳送漏洞,步驟如下:
- nslookup進入交互式模式
- Server 設置使用的DNS服務器
- ls命令列出某個域中的所有域名
但是實際應用中,可能會出現問題,所以這個不做過多介紹
六、子域名收集
子域名收集可以發現更多滲透測試范圍內的域名/子域名,以增加漏洞發現機率;探測到更多隱藏或遺忘的應用服務,這些應用往往可導致一些嚴重漏洞。
常用的工具有:子域名挖掘機Layer、subDomainsBrute、Dnsenum、Dnsmap …
這里推薦一個在線收集子域名的網站 https://phpinfo.me/domain/ 但是可能會出現遇到泛解析防御機制的情況
七、真實IP獲取
現在大多數的網站都開啟了CDN加速,導致我們獲取到的IP地址不一定是真實的IP地址。
什么是CDN呢?
CDN的全稱是Content Delivery Network,即內容分發網絡。其基本思路是盡可能避開互聯網上有可能影響數據傳輸速度和穩定性的瓶頸和環節,使內容傳輸的更快、更穩定。通過在網絡各處放置節點服務器所構成的在現有的互聯網基礎之上的一層智能虛擬網絡,CDN系統能夠實時地根據網絡流量和各節點的連接、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節點上。其目的是使用戶可就近取得所需內容,解決 Internet網絡擁擠的狀況,提高用戶訪問網站的響應速度。
如果想獲取真實IP,我們可以使用以下幾種方法
1.多地Ping法:由CDN的原理,不同的地方去Ping服務器,如果IP不一樣,則目標網站肯定使用了CDN。
這里推薦一個網站可以多個地點ping服務器,https://asm.ca.com/en/ping.php
2.二級域名法:目標站點一般不會把所有的二級域名放cdn上。通過在線工具如站長幫手,收集子域名,確定了沒使用CDN的二級域名后。本地將目標域名綁定到同IP(修改host文件),如果能訪問就說明目標站與此二級域名在同一個服務器上;如果兩者不在同一服務器也可能在同C段,掃描C段所有開80端口的IP,然后挨個嘗試。
3.nslookup法:找國外的比較偏僻的DNS解析服務器進行DNS查詢,因為大部分CDN提供商只針對國內市場,而對國外市場幾乎是不做CDN,所以有很大的幾率會直接解析到真實IP。
4.Ping法:直接ping example.com而不是www.example.com,因為現有很多CDN廠商基本只要求把www.example.com cname到CDN主服務器上去,那么直接ping example.com有可能直接獲得真實IP。
八、指紋識別
通過識別目標網站所使用的操作系統、CMS、服務器與中間件信息,可以幫助我們進一步了解滲透測試環境,可以利用已知的一些CMS漏洞或中間件漏洞來進行攻擊。
1.可以在以下地方獲取信息:
1.指定路徑下指定名稱的js文件或代碼。
2.指定路徑下指定名稱的css文件或代碼。
<title>中的內容,有些程序標題中會帶有程序標識,但不是很多。
4.meta標記中帶程序標識<meta name="description"/><meta name="keywords"/><meta name="generator"/><meta name="author"/><meta name="copyright"/>
5.display:none中的版權信息。
6.頁面底部版權信息,關鍵字? Powered by等。
7.readme.txt、License.txt、help.txt等文件。
8.指定路徑下指定圖片文件,如一些小的圖標文件,后臺登錄頁面中的圖標文件
等,一般管理員不會修改它們。
9.注釋掉的html代碼中<!–
10.http頭的X-Powered-By中的值,有的應用程序框架會在此值輸出。
11.cookie中的關鍵字
12.robots.txt文件中的關鍵字
robots.txt 中禁止的路徑很可能說明站點就有這些路徑 而且robots.txt 多是可訪問的
13.404頁面
14.302返回時的旗標
2.大小寫
訪問網站:
http://www.xxx.com/index.html
http://www.xxx.com/inDex.html
Windows操作系統不區分大小寫,Linux系統大小寫敏感,用此方法能夠判斷是Windows還是Linux系統。
工具 :云悉指紋、Whatweb、httprint、Bugscanner、瀏覽器插件 wappalyzer
有的時候HTTP返回報文的server也可能泄露相關信息,詳見我的HTTP學習筆記
九、端口掃描
掃描端口可以使用Nmap,masscan進行掃描探測,盡可能多的搜集開啟的端口好已經對應的服務版本,得到確切的服務版本后可以搜索有沒有對應版本的漏洞。
常見的端口信息及滲透方法:
端口 ———————————— 服務 —————————— 滲透用途(加黑斜體為重點)
tcp 20,21 FTP 允許匿名的上傳下載,爆破,嗅探,win提權,遠程執行(proftpd 1.3.5),各類后門(proftpd,vsftp 2.3.4)
tcp 22 SSH 可根據已搜集到的信息嘗試爆破,v1版本可中間人,ssh隧道及內網代理轉發,文件傳輸等等
tcp 23 Telnet 爆破,嗅探,一般常用于路由,交換登陸,可嘗試弱口令
tcp 25 SMTP 郵件偽造,vrfy/expn查詢郵件用戶信息,可使用smtp-user-enum工具來自動跑
tcp/udp 53 DNS 允許區域傳送,dns劫持,緩存投毒,欺騙以及各種基于dns隧道的遠控
tcp/udp 69 TFTP 嘗試下載目標及其的各類重要配置文件
tcp 80-89,443,8440-8450,8080-8089 各種常用的Web服務端口 可嘗試經典的topn,vpn,owa,webmail,目標oa,各類Java控制臺,各類服務器Web管理面板,各類Web中間件漏洞利用,各類Web框架漏洞利用等等……
tcp 110 POP3 可嘗試爆破,嗅探
tcp 111,2049 NFS 權限配置不當
tcp 137,139,445 Samba 可嘗試爆破以及smb自身的各種遠程執行類漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143 IMAP 可嘗試爆破
udp 161 SNMP 爆破默認團隊字符串,搜集目標內網信息
tcp 389 LDAP ldap注入,允許匿名訪問,弱口令
tcp 512,513,514 Linux rexec 可爆破,rlogin登陸
tcp 873 Rsync 匿名訪問,文件上傳
tcp 1194 OpenVPN 想辦法釣VPN賬號,進內網
tcp 1352 Lotus 弱口令,信息泄漏,爆破
tcp 1433 SQL Server 注入,提權,sa弱口令,爆破
tcp 1521 Oracle tns爆破,注入,彈shell…
tcp 1500 ISPmanager 弱口令
tcp 1723 PPTP 爆破,想辦法釣VPN賬號,進內網
tcp 2082,2083 cPanel 弱口令
tcp 2181 ZooKeeper 未授權訪問
tcp 2601,2604 Zebra 默認密碼zerbra
tcp 3128 Squid 弱口令
tcp 3312,3311 kangle 弱口令
tcp 3306 MySQL 注入,提權,爆破
tcp 3389 Windows rdp shift后門[需要03以下的系統],爆破,ms12-020
tcp 3690 SVN svn泄露,未授權訪問
tcp 4848 GlassFish 弱口令
tcp 5000 Sybase/DB2 爆破,注入
tcp 5432 PostgreSQL 爆破,注入,弱口令
tcp 5900,5901,5902 VNC 弱口令爆破
tcp 5984 CouchDB 未授權導致的任意指令執行
tcp 6379 Redis 可嘗試未授權訪問,弱口令爆破
tcp 7001,7002 WebLogic Java反序列化,弱口令
tcp 7778 Kloxo 主機面板登錄
tcp 8000 Ajenti 弱口令
tcp 8443 Plesk 弱口令
tcp 8069 Zabbix 遠程執行,SQL注入
tcp 8080-8089 Jenkins,JBoss 反序列化,控制臺弱口令
tcp 9080-9081,9090 WebSphere Java反序列化/弱口令
tcp 9200,9300 ElasticSearch 遠程執行
tcp 11211 Memcached 未授權訪問
tcp 27017,27018 MongoDB 爆破,未授權訪問
tcp 50070,50030 Hadoop 默認端口未授權訪問
PS:個人感覺8888端口也比較容易出現管理后臺,可以嘗試弱口令爆破一波
十、Nmap
Nmap是一個網絡連接端口掃描軟件,用來掃描網上電腦開放的網絡連接端口。確定哪些服務運行在哪些連接端口,并且推斷計算機運行哪個操作系統。它是網絡管理員必用的軟件之一,以及用以評估網絡系統安全。
功能:
1、 主機發現
2、 端口掃描
3、 版本偵測
4、 OS偵測
nmap工具的使用會在另一篇博客提到,就不在這里細說了。
十一、旁站C段查詢
旁站:是和目標網站在同一臺服務器上的其它的網站。
旁注:通過入侵安全性較差的旁站,之后可以通過提權跨目錄等手段拿到目標服務器的權限。
工具:K8_C段旁注工具、WebRobot、御劍、明小子 …
C段:每個IP有ABCD四個段,也就是說是D段1-255中的一臺服務器,然后利用工具嗅探拿下該服務。比如192.168.3.0-255的設備都處于同一個c段。
C段入侵:目標ip為192.168.1.128,可以入侵192.168.1.*的任意一臺機器,然后利用一些黑客工具嗅探獲取在網絡上傳輸的各種信息。
工具:Cain、Sniffit 、Snoop、Tcpdump、Dsniff …
十二、其他信息
Web敏感文件
robots.txt、crossdomin.xml、sitemap.xml、源碼泄漏文件 …
WAF信息
WAF識別大多基于Headers頭信息,還可以使用Wafw00f,Sqlmap的waf腳本,Nmap的http-waf-detect和http-waf-fingerprint腳本等等。
相關漏洞
漏洞查詢站點:exploitdb、hackerone、CNVD、0day5、烏云漏洞庫鏡像站 …
總結
以上是生活随笔為你收集整理的常用的信息搜集和整理方法_公司合并整合工作方案的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: SAP OData的CSRF校验开关
- 下一篇: CreateFileMapping 函数