第一章:渗透测试之信息搜集
生活随笔
收集整理的這篇文章主要介紹了
第一章:渗透测试之信息搜集
小編覺得挺不錯的,現在分享給大家,幫大家做個參考.
1.收集域名信息
??????(1)Whois查詢
??????(2)備案信息查詢
2.收集敏感信息
3.收集子域名信息
4.收集常用端口信息
5.指紋識別
6.查找真實IP
7.收集敏感目錄文件
8.社會工程學
1.收集域名信息
(1)Whois查詢
Whois是標準的互聯網協議,可用于收集域名注冊信息(注冊人名,郵箱信息),注冊域名,IP地址等。
示例:
注:
- whois查詢的網址不需要www
- 在線Whois查詢網站:愛站工具網(https://whois.aizhan.com),站長之家(http://whois.chinaz.com),VirusTotal(https://www.virustotal.com/gui/home/search)(需翻墻)
(2)備案信息查詢
主要針對國內網站,國外網站不需要備案 常用網站:- ICP備案查詢網:http://www.beianbeian.com
- 天眼查:http://www.tianyancha.com
2.收集敏感信息
使用搜索引擎(Google)并構造關鍵字語法查找所需信息
- site:指定域名
- inurl:url中存在關鍵字的網頁
- intext:網頁正文中的關鍵字
- filetype:指定文件類型
- intitle:網頁標題中的關鍵字
- link:link:baidu.com,即表示返回所有和baidu.com做了鏈接的url
- info:查找指定站點的一些基本信息
- cache:搜索Google里關于某些內容的緩存
舉例:
- site xxx.com intext:后臺
- inurl:php?id=
…
注:
- 百度搜索和google差不多,因此,使用搜索引擎我們可以收集數據庫文件、SQL注入、配置信息、源代碼泄露、未授權訪問、robots.txt等敏感信息
- 也可以使用bp的repeater獲取服務器信息
- 使用github獲取數據庫連接信息、郵箱密碼、uc-key、阿里的osskey,源碼…
- 烏云漏洞列表(https://wooyun.shuimugan.com)查詢歷史漏洞信息(需翻墻)
3.收集子域名信息
子域名是二級域名,是頂級域名以下的域名。1.子域名檢測工具 (綠色為常用):
- Layer子域名挖掘機
- K8
- wydomain
- Sublist3r
- dnsmaper
- subDomainsBrtute(使用小字典遞歸發現三級、四級、五級等域名)
- Maltego CE
2.搜索引擎搜索:site:baidu.com
3.DNS偵察:https://dnsdumpster.com/ (需翻墻)
4.證書透明度公開日志枚舉
每一個SSL/TLS證書通常包含域名、子域名和郵件地址;查找某個域名所屬證書最簡單的方法就是使用搜索引擎搜索一些公開的CT日志
網站:
- https://crt.sh
- https://censys.io
5.在線域名查詢:
- https://phpinfo.me/domain/
4.收集常用端口信息
常用工具:- Nmap(使用方法:https://blog.csdn.net/qq_41617034/article/details/91129340)
- Masscan(這是最快的Internet端口掃描程序。它可以在6分鐘內掃描整個互聯網,每秒傳輸1000萬個數據包)
masscan -p80,8000-8100 10.0.0.0/8 - ZMap(Linux下使用,ZMap是一款掃描軟件,由Durumeric領導密歇根大學研究團隊開發。這一工具能在一個小時內掃描整個公共互聯網,顯示近40億在線設備的信息。)
- 御劍高速TCP端口掃描工具
常用端口:
文件共享服務端口:
| 端口號 | 端口說明 | 攻擊方向 |
| 21/22/69 | FTP/Tftp文件傳輸協議 | 允許匿名的上傳、下載、爆破和嗅探操作 |
| 2049 | Nfs服務 | 配置不當 |
| 139 | Samba服務 | 爆破、未授權訪問、遠程代碼執行 |
| 389 | Ldap目錄訪問協議 | 注入、允許匿名訪問、弱口令 |
遠程連接服務端口:
| 端口號 | 端口說明 | 攻擊方向 |
| 22 | SSH遠程連接 | 爆破、SSH及內網代理轉發、文件傳輸 |
| 23 | Telnet遠程連接 | 爆破、嗅探、弱口令 |
| 3389 | Rdp遠程桌面連接 | Shift后門(需要Windows Server 2003以下的系統)、爆破 |
| 5900 | VNC | 弱口令爆破 |
| 5632 | PyAnywhere服務 | 抓密碼、代碼執行 |
Web應用服務端口:
| 端口號 | 端口說明 | 攻擊方向 |
| 80/443/8080 | 常見的Web服務端口 | Web攻擊、爆破、對應服務器版本漏洞 |
| 7001/7002 | WebLogic控制臺 | Java反序列化、弱口令 |
| 8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制臺弱口令 |
| 9090 | WebSphere控制臺 | Java反序列化、弱口令 |
| 4848 | GlassFish控制臺 | 弱口令 |
| 1352 | Lotus domino郵件服務 | 弱口令、信息泄露、爆破 |
| 10000 | Webmin-Web控制面板 | 弱口令 |
數據庫服務端口:
| 端口號 | 端口說明 | 攻擊方向 |
| 3306 | Mysql | 注入、提權、爆破 |
| 1433 | MSSQL數據庫 | 注入、提權、SA弱口令、爆破 |
| 1521 | Oracle數據庫 | TNS爆破、注入、反彈Shell |
| 5432 | PostgreSQL數據庫 | 爆破、注入、弱口令 |
| 27017/27018 | MongoDB | 爆破、未授權訪問 |
| 6379 | Redis數據庫 | 可嘗試未授權訪問、弱口令爆破 |
| 5000 | SysBase/DB2數據庫 | 爆破、注入 |
郵件服務端口:
| 端口號 | 端口說明 | 攻擊方向 |
| 21 | SMTP郵件服務 | 郵件偽造 |
| 110 | POP3協議 | 爆破、嗅探 |
| 143 | IMAP協議 | 爆破 |
網絡常見協議端口:
| 端口號 | 端口說明 | 攻擊方向 |
| 53 | DNS域名服務器 | 允許區域傳送、DNS劫持、緩存投毒、欺騙 |
| 67/68 | DHCP服務 | 劫持、欺騙 |
| 161 | SNMP協議 | 爆破、搜集目標內網信息 |
特殊服務端口:
| 端口號 | 端口說明 | 攻擊方向 |
| 2181 | Zookeeper | 未授權訪問 |
| 8069 | Zabbix服務 | 遠程執行、SQl注入 |
| 9200/9300 | ElasticSearch服務 | 遠程執行 |
| 11211 | Memcache服務 | 未授權訪問 |
| 512/513/514 | Linux Rexec服務 | 爆破、Rlogin登陸 |
| 873 | Rsync服務 | 匿名訪問、文件上傳 |
| 3690 | Svn服務 | Svn泄露、未授權訪問 |
| 50000 | SAP Management Console服務 | 遠程執行 |
5.指紋識別
對目標服務器進行指紋識別,也就是識別相應的Web容器或者CMS(整站系統或文章系統)- 常見CMS:Dedecms(織夢)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝國、Z-Blog、WordPress
- 指紋識別工具:
1.御劍web指紋識別
2.WHatWeb
3.WebRobo
4.椰樹
5.輕量web指紋識別 - 在線網站查詢CMS指紋識別
1.BugScaner:http://whatweb.bugscaner.com/look/
2.云溪指紋:http://www.yunsee.cn/finger.html
3.WhatWeb:http://whatweb.net
6.查找真實IP
通過目標服務器域名來確定其真實IP,若目標服務器不存在CDN,可以直接通過http://www.ip138.com獲取目標的一些IP及域名信息
下面幾種方法介紹如何繞過CDN尋找目標服務器的真實IP
1.目標服務器存在CDN
- CDN即內容分發網絡,主要解決因傳輸距離和不同運營商節點造成的網路速度性能低下的問題。
- 如果目標購買了CDN服務,可以直接ping目標的域名,但得到的并非真正的目標Web服務器,只是離我們最近的一臺目標節點的CDN服務器,這就導致我們無法獲取目標的真實IP段范圍
2.判斷目標是否使用CDN
通常通過ping目標主域,觀察域名解析情況,以此來判斷是否使用了CDN
還可以利用在線網站17CE(https://www.17ce.com)進行全國多地區的ping服務器操作,然后對比每個地區ping出的ip結果,查看這些ip是否一致,如果一致,極有可能不存在CDN,。如果ip大多不太一樣或者規律性很強,可以嘗試查詢這些ip歸屬地,判斷是否存在CDN
3。繞過CDN尋找真實IP(在確認目標使用CDN后)
- 內部郵箱源。一般郵箱系統都在內部,沒有經過CDN解析,通過目標網站用戶注冊或者RSS訂閱功能,查看郵件、尋找著郵件頭中的郵件服務器域名ip,ping這個郵件服務器的域名,就可以獲得真實ip(注意:必須是目標服務器自己的郵件服務器,第三方或公共郵件服務器無用)
- 掃描網站測試文件,如phpinfo、test
- 分站域名。很多網站主站訪問量較大會掛CDN,但是分站可能并沒有掛CDN,可以通過ping二級域名獲取分站ip,可能會出現分站和主站不是同一IP但在同一C段,從而判斷目標的真實IP段
- 國外訪問。國內的CDN往往只對國內用戶的訪問加速,而國外CDN就不一定。因此,通過國外在線代理網站App Synthetic Monitor:https://asm.ca.com/en/ping.php
- 查詢域名解析記錄。也許目標很久以前并未使用CDN,可以通過網站NETCRAFT:https://www.netcraft.com 來觀察域名IP歷史記錄,也可以大致分析出目標的真實IP段
- 如果目標網站有自己的App,可以嘗試利用Fiddler或Burpsuite抓取App的請求,從中找到目標的真實IP
- 繞過CloudFlare CDN查找真實IP。現在很多網站使用CloudFlare提供的CDN服務,在確定了目標網站使用CDN后,可以先嘗試通過在線網站CloudFlareWatch
4。驗證獲取的IP
找到目標的真實IP后,如何驗證其真實性呢?
-如果是Web,直接嘗試用IP訪問,查看響應頁面和訪問域名返回的是否一樣;或者在目標端比較大的情況下,借助類似Masscan的工具批量掃描對應IP段中所有開了80、443、8080端口的IP,然后逐個嘗試IP訪問,觀察響應結果是否為目標站點
7.收集敏感目錄文件
在滲透測試中,探測Web目錄結構和隱藏的敏感文件是必不可少的一件事,從中我們可以獲得網站的后臺管理頁面、文件上傳頁面、源代碼等1.網站目錄掃描
- DirBuster
- 御劍后臺掃描
- wwwscan
- Spinder.py(輕量級快速單文件目錄后臺掃描)
- Sensitivefilescan(輕量級快速單文件目錄后臺掃描)
- Weakfilescan(輕量級快速單文件目錄后臺掃描)
2.在線工具 - WebScan(http://www.webscan.cc)
8.社會工程學
目標郵箱、QQ、電話、姓名、域名服務商等等,知道一個賬號的密碼后進行撞庫總結
以上是生活随笔為你收集整理的第一章:渗透测试之信息搜集的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 植树节的意义
- 下一篇: JDK8 SE安装步骤