全网最全信息打点，助力渗透

信息打点

欢迎交流

企业产权

特别注意，工具肯定会有误报，师傅们必须注意甄别个别信息，切勿完全信任去挖洞而浪费时间

标签	名称	地址
企业信息	爱企查	https://aiqicha.baidu.com/
企业信息	小蓝本	https://www.xiaolanben.com/
备案信息	备案信息查询	http://www.beianx.cn/
公众号信息	搜狗微信搜索	https://weixin.sogou.com/
注册域名	域名注册查询	https://buy.cloud.tencent.com/domain
IP 反查	微步	https://x.threatbook.com/
DNS 数据	dnsdumpster	https://dnsdumpster.com/
证书查询	CertificateSearch	https://crt.sh/
网络空间	FOFA	https://fofa.info/
网络空间	全球鹰	https://hunter.qianxin.com/
威胁情报	微步在线 情报社区	https://x.threatbook.com/
威胁情报	奇安信 威胁情报中心	https://ti.qianxin.com/
枚举解析	在线子域名查询	http://tools.bugscaner.com/subdomain/
枚举解析	DNSGrep 子域名查询	https://www.dnsgrep.cn/subdomain
枚举解析	工具强大的子域名收集器	https://github.com/shmilylty/OneForAll
指纹识别	TideFinger 潮汐	http://finger.tidesec.net/
指纹识别	WhatWeb	https://github.com/urbanadventurer/WhatWeb

爱企查需要SVIP，可以去拼多多1元购买7天

主要看知识产权，

无证书就是http协议

内网站点识别CMS

无法使用在线网站

cmseek、cmsmap

业务资产

1、WEB 应用

2、APP 应用

3、PC 端应用

4、小程序应用

5、微信公众号

6、其他产品等

WEB 单域名：

1、备案信息

2、企业产权

3、注册域名

4、反查解析

WEB 子域名：

1、DNS 数据

2、证书查询

3、网络空间

4、威胁情报

5、枚举解析

Web 架构资产：

1、程序语言

2、框架源码

3、搭建平台

4、数据库类

5、操作系统

源码泄露

源码泄漏原因：

1、从源码本身的特性入口

2、从管理员不好的习惯入口

3、从管理员不好的配置入口

4、从管理员不好的意识入口

5、从管理员资源信息搜集入口

源码泄漏集合：

composer.json git 源码泄露

svn 源码泄露

hg 源码泄漏

网站备份压缩文件

WEB-INF/web.xml 泄露

DS_Store 文件泄露

SWP 文件泄露

CVS 泄露

Bzr 泄露

GitHub 源码泄漏

开源-CMS 指纹识别源码获取方式

CMS 识别见上述项目

闭源-习惯&配置&特性等获取方式

后端-闭源-配置不当-源码泄漏参考：https://www.secpulse.com/archives/124398.html

备份：敏感目录文件扫描 CVS：https://github.com/kost/dvcs-ripper

GIT：https://github.com/lijiejie/GitHack

SVN：https://github.com/callmefeifei/SvnHack

DS_Store：https://github.com/lijiejie/ds_store_exp

闭源-托管资产平台资源搜索监控

1、从源码本身的特性入口

2、从管理员不好的习惯入口

3、从管理员不好的配置入口

4、从管理员不好的意识入口

5、从管理员资源信息搜集入口

后端-方向-资源 GITHUB-源码泄漏

解决 1：识别出大致信息却无下载资源

解决 2：未识别出信息使用码云资源获取

解决 3：其他行业开发使用对口资源站获取

涉及：

https://gitee.com/

https://github.com/

https://www.huzhan.com/

JS框架

CMS

Discuz、WordPress、Ecshop、蝉知等

前端技术

HTML5、jquery、bootstrap、Vue 等

开发语言

PHP、JAVA、Ruby、Python、C#，JS 等

Web 服务器

Apache 、Nginx、IIS、lighttpd、Apache等

应用服务器：

Tomcat、JBoss、Weblogic、websphere等

数据库类型：

Mysql、Sqlserver、Oracle、Redis、MongoDB等

操作系统信息

Linux、windows等

应用服务信息：

FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等

CDN信息

帝联、Clouudflare、网宿、七牛云、阿里云等

WAF信息

创宇盾、宝塔、ModSecurity、玄武盾、openRASP等

蜜罐信息

HFish、TeaPot、T-PoT、Glastopf等

其他组件信息

fastjson、shiro、log4j、OA办公等

前提：Web 应用可以采用后端或前端语言开发

-后端语言：php java python .NET 浏览器端看不到真实的源代码

-前端语言：JavaScript(JS)和 JS 框架 浏览器端看到真实的源代码

例子：

zblog：核心功能采用 PHP 语言去传输接受

vue.js：核心功能采用框架语法（JS）传输接受

JS 前端架构-识别&分析

在 Javascript 中也存在变量和函数，当存在可控变量及函数调用即可参数漏洞 JS 开发的 WEB 应用和 PHP，JAVA,NET 等区别在于即没有源代码，也可以通过浏览器的 查看源代码获取真实的点。获取 URL，获取 JS 敏感信息，获取代码传参等，所以相当于 JS 开发的 WEB 应用属于白盒测试（默认有源码参考），一般会在 JS 中寻找更多的 URL 地址，在 JS 代码逻辑（加密算法，APIkey 配置，验证逻辑等）进行后期安全测试。

JS 前端架构-开发框架分析

源码泄漏

未授权访问=JS 里面分析更多的 URL 访问确定接口路径

敏感 key 泄漏=JS 文件中可能配置了接口信息（云应用，短信，邮件，数据库等）

API 接口安全=（代码中加密提交参数传递，更多的 URL 路径）

JS 前端架构-打包器分析

如何判定 JS 开发应用？

插件 wappalyzer

源程序代码简短

引入多个 js 文件

一般有/static/js/app.js 等顺序的 js 文件

一般 cookie 中有 connect.sid

JS 前端架构-提取&FUZZ

如何获取更多的 JS 文件？

手工-浏览器搜索

半自动-Burpsuite 插件

工具化-各类提取&FUZZ 项目

如何快速获取价值信息？

src=

path=

​ method:“get”

​ http.get("

​ method:“post”

​ http.post("

​ $.ajax

​ http://service.httppost

​ http:///service.httpget

bp获取信息

目标，发现脚本

可以帮助你显示出来

安装js插件增加功能

端口&蜜罐

端口	服务	渗透用途
tcp 20,21	FTP	允许匿名的上传下载,爆破,嗅探,win 提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22	SSH	可根据已搜集到的信息尝试爆破,v1 版本可中间人,ssh 隧道及 内网代理转发,文件传输等等
tcp 23	Telnet	爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25	SMTP	邮件伪造,vrfy/expn 查询邮件用户信息,可使用 smtp-userenum 工具来自动跑
tcp/udp 53	DNS	允许区域传送,dns 劫持,缓存投毒,欺骗以及各种基于 dns 隧道 的远控
tcp/udp 69	TFTP	尝试下载目标及其的各类重要配置文件
tcp 80- 89,443,8440 -8450,8080- 8089	各种常用的 Web 服务端 口	可尝试经典的 topn,vpn,owa,webmail,目标 oa,各类 Java 控制 台,各类服务器 Web 管理面板,各类 Web 中间件漏洞利用,各 类 Web 框架漏洞利用等等……
tcp 110	POP3	可尝试爆破,嗅探
tcp 111,2049	NFS	权限配置不当
tcp 137,139,445	Samba	可尝试爆破以及 smb 自身的各种远程执行类漏洞利用, 如,ms08-067,ms17-010,嗅探等……
tcp 143	IMAP	可尝试爆破
udp 161	SNMP	爆破默认团队字符串,搜集目标内网信息
tcp 389	LDAP	ldap 注入,允许匿名访问,弱口令
tcp 512,513,514	Linux rexec	可爆破,rlogin 登陆
tcp 873	Rsync	匿名访问,文件上传
tcp 1194	OpenVPN	想办法钓 VPN 账号,进内网
tcp 1352	Lotus	弱口令,信息泄漏,爆破
tcp 1433	SQL Server	注入,提权,sa 弱口令,爆破
tcp 1521	Oracle	tns 爆破,注入,弹 shell…
tcp 1500	ISPmanager	弱口令
tcp 1723	PPTP	爆破,想办法钓 VPN 账号,进内网
tcp 2082,2083	cPanel	弱口令
tcp 2181	ZooKeeper	未授权访问
tcp 2601,2604	Zebra	默认密码 zerbra
tcp 3128	Squid	弱口令
tcp 3312,3311	kangle	弱口令
tcp 3306	MySQL	注入,提权,爆破
tcp 3389	Windows rdp	shift 后门[需要 03 以下的系统],爆破,ms12-020
tcp 3690	SVN	svn 泄露,未授权访问
tcp 4848	GlassFish	弱口令
tcp 5000	Sybase/DB2	爆破,注入
tcp 5432	PostgreSQL	爆破,注入,弱口令
tcp 5900,5901,5 902	VNC	弱口令爆破
tcp 5984	CouchDB	未授权导致的任意指令执行
tcp 6379	Redis	可尝试未授权访问,弱口令爆破
tcp 7001,7002	WebLogic	Java 反序列化,弱口令
tcp 7778	Kloxo	主机面板登录
tcp 8000	Ajenti	弱口令
tcp 8009	tomcat Ajp	Tomcat-Ajp 协议漏洞
tcp 8443	Plesk	弱口令
tcp 8069	Zabbix	远程执行,SQL 注入
tcp 8080- 8089	Jenkins,JBoss	反序列化,控制台弱口令
tcp 9080- 9081,9090	WebSphere	Java 反序列化/弱口令
tcp 9200,9300	ElasticSearch	远程执行
tcp 11211	Memcached	未授权访问
tcp 27017,27018	MongoDB	爆破,未授权访问
tcp 50070,50030	Hadoop	默认端口未授权访问

蜜罐搭建

参考：https://hfish.net/

以root权限运行以下命令，确保配置防火墙开启TCP/4433、TCP/4434

firewall-cmd --add-port=4433/tcp --permanent   #（用于web界面启动）
firewall-cmd --add-port=4434/tcp --permanent   #（用于节点与管理端通信）
firewall-cmd --reload

以root权限运行以下一键部署命令

bash <(curl -sS -L https://hfish.net/webinstall.sh)

完成安装后，通过以下网址、账号密码登录

登陆链接：https://[ip]:4433/web/
账号：admin
密码：HFish2021

这边我用本地机器搭建的一个蜜罐

同时我们对以上开放端口服务进行攻击，蜜罐都会进行记录

机器识别

工具地址：https://github.com/360quake/quake_rs

需要先配置

quake.exe init apikey值

apikey值查看：https://quake.360.net/quake/#/personal?tab=message

因为我这个是内网搭建扫不到，公网部署蜜罐就可以正常识别了

人工识别

1. 端口多而有规律性

   

2. web访问协议就下载

   ssh mysq1应用蜜罐 搞一个可以爆破的地方

   爆破 蜜罐会记录攻击者的账号密码

   账号密码会采用web jsonp去传输(web功能)

   转发 跳转 jsonp去传输

   当你去web http去访问这个端口"采用协议去下载文件

CDN绕过&开发框架

配置 1：加速域名-需要启用加速的域名

配置 2：加速区域-需要启用加速的地区

配置 3：加速类型-需要启用加速的资源

识别：

超级ping出现多个IP，则CDN加速

绕过：

先判断厂商

用IP库筛选地址段

配置扫描范围

SSRF、RCE等，利用漏洞让对方真实服务器主动出网连接，判断来源IP即真实IP

PHPinfo代码函数造成地址泄露

邮件系统，让他主动给你发，

触发点：

RSS订阅

邮箱注册、激活、找回密码

展品更新推送

某业务执行后发送的邮件通知

员工邮箱、邮件管理平台等入口处的忘记密码

接口查询：https://get-site-ip.com/

https://fofa.info/extensions/source

判断加速厂商

https://tools.ipip.net/cdn.php

ip数据库：https://cz88.net/geo-public

例子

www.mozhe.cn

忘记密码

进入邮箱查看

利用邮箱服务就能看到真实IP了

特别注意发件人审核下是否是第三方，若为第三方则不能使用这种方法

接口查询

但有的时候也会不准，所以信息打点要综合考虑

语言框架

后端： CMS：一般 PHP 开发居多源码程序 （利用源码程序名去搜漏洞情况，源码去下载进行后期的代码审计）

前端 js 框架（爬取更多的 js 从里面筛选 URL 或敏感泄漏 key 等） 也是可以通过对 js 代码逻辑进行代码审计

组件：java 居多， 常见有过安全漏洞组件（shiro solr log4j sprintboot 等）

框架：php java python 都有

工具github有很多，上面内容也提及了

thinkphp

laravel

yii

离线工具识别都是看网站是否有这个cms框架文件去分析cms框架

cmseek

口查询

[外链图片转存中…(img-YQG0nJtC-1723970485173)]

但有的时候也会不准，所以信息打点要综合考虑

[外链图片转存中…(img-OKQrHvcN-1723970485174)]

[外链图片转存中…(img-ob9DvqMI-1723970485174)]

语言框架

后端： CMS：一般 PHP 开发居多源码程序 （利用源码程序名去搜漏洞情况，源码去下载进行后期的代码审计）

前端 js 框架（爬取更多的 js 从里面筛选 URL 或敏感泄漏 key 等） 也是可以通过对 js 代码逻辑进行代码审计

组件：java 居多， 常见有过安全漏洞组件（shiro solr log4j sprintboot 等）

框架：php java python 都有

工具github有很多，上面内容也提及了

thinkphp

laravel

yii

离线工具识别都是看网站是否有这个cms框架文件去分析cms框架

cmseek

[外链图片转存中…(img-W3N8CYsi-1723970485174)]