渗透测试之信息收集_渗透目录收集博客-CSDN博客

本文链接：https://blog.csdn.net/GALi_233/article/details/114189095

信息收集

域名信息收集

whois查询

whois是一个标准的互联网协议，可用于收集网络注册信息，注册的域名，IP地址等。

kali下的whois查询

在这里插入图片描述

在线的whois查询

爱站网 https://whois.aizhan.com/
站长之家 https://whois.chinaz.com/

备案信息查询

网站备案是根据国家法律法规需要网站的所有者向国家有关部门申请的备案,

子域名信息收集

子域名，即二级域名，是顶级域名下的域名。网站规模较大，可从子站入手。

layer子域名挖掘机暴力枚举

在这里插入图片描述

在线工具

证书透明度公开日志枚举

证书透明度（Certificate Transparnecy , CT）是证书授权机构（CA）的一个项目，证书授权机构会将SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址。

crt.sh https://crt.sh/
censys https://censys.io/

搜索引擎枚举

利用google搜索搜索特定域名下的站点

“site: baidu.com”

敏感信息收集

Google Haking

常用语法

关键字	说明
Site	指定域名
Inurl	URL中存在的关键字
Intext	网页正文中的关键字
Filetype	指定文件类型
Intitle	网页标题中的关键字
Link	link:baidu.com即表示返回和baidu.com做了链接的URL
Info	查找指定站点的一些基本信息
cache	搜索Google里关于某些内容的缓存

如搜索后台管理页面

在这里插入图片描述

端口信息收集

端口信息收集是一个很重要的过程，通过扫描服务器开放的端口就可以识别对应的服务，再针对服务寻找攻击方式。

常用工具Nmap， Massan，御剑高速TCP端口扫描工具等。

常见端口及说明

文件共享服务端口

端口号	端口说明	攻击方向
21/22/69	FTP/TFTP 文件传输协议	允许匿名的上传、下载、爆破和嗅探操作
2049	Nfs 服务	配置不当
139	Samba 服务	爆破、未授权访问、远程代码执行
389	Ldap 目录访问协议	注入、允许匿名访问、弱口令

远程连接服务端口

端口号	端口说明	攻击方向
22	SSH 远程连接	爆破、SSH隧道及内网代理转发、文件传输
23	Telnet 远程连接	爆破、嗅探、弱口令
3389	Rdp 远程桌面连接	Shift后门（需要Window Server 2003 以下系统）、爆破
5900	VNC	弱口令爆破
5632	PyAnywhere 服务	抓密码、代码执行

Web应用服务端口

端口号	端口说明	攻击方向
80/443/8080	常见的Web服务端口	Web攻击、爆破、对应服务器版本漏洞
7001/7002	WebLogic 控制台	Java反序列化、弱口令
8080/8089	Jboss/Resin/Jetty/Jenkins	反序列化、控制台弱口令
9090	WebSphere 控制台	Java反序列化、弱口令
4848	GlassFish 控制台	弱口令
1352	Lotus domino 邮件服务	弱口令、信息泄漏、爆破
10000	Webmin-Web 控制面板	弱口令

数据库服务端口

端口号	端口说明	攻击方向
3306	MySQL	注入、提权、爆破
1433	MSSQL 数据库	注入、提权、SA弱口令、爆破
1521	Oracle 数据库	TNS爆破、注入、反弹shell
5432	PostgreSQL 数据库	爆破、注入、弱口令
27017/27018	MongoDB	爆破、未授权访问
6379	Redis 数据库	可尝试未授权访问、弱口令爆破
5000	SysBase/DB2 数据库	爆破、注入

邮件服务端口

端口号	端口说明	攻击方向
25	SMTP 邮件服务	邮件伪造
110	POP3 协议	爆破、嗅探
143	IMAP 协议	爆破

网络常见协议端口

端口号	端口说明	攻击方向
53	DNS 域名系统	允许区域传送、DNS劫持、缓存投毒、欺骗
67/68	DHCP 服务	劫持、欺骗
161	SNMP 协议	爆破、收集目标内网信息

特殊服务端口

端口号	端口说明	攻击方向
2181	Zookeeper 服务	未授权访问
8069	Zabbix 服务	远程执行、SQL注入
9200/9300	Elasticsearch 服务	远程执行
11211	Memcache 服务	远程执行
512/513/514	Linux Rexec 服务	爆破、Rlogin 登录
873	Rsync 服务	匿名访问、文件上传
3690	Svn 服务	Svn泄漏、未授权访问
50000	SAP Management Console	远程执行

指纹识别

这里的指纹别泛指网站CMS指纹，计算机操作系统或者web容器的指纹，这些指纹其实是一些特征码或者关键字，如WordPress中robots.txt中会包含wp-admin， index.php会包含generator-wordpress 3.xx等。识别出目标用的是什么系统，以便查找相应版本漏洞进行攻击。

CMS（Content Managerment System）, 内容管理系统，是一种位于WEB 前端（Web 服务器）和后端办公系统或流程（内容创作、编辑）之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里指的“内容”可能包括文件、表格、图片、数据库中的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet网站的信息。

常见的CMS:

企业建站系统：MetInfo(米拓)、蝉知、SiteServer CMS（.net平台）等;
2.B2C商城系统：商派shopex、ecshop、hishop、xpshop等;
3.门户建站系统：DedeCMS(织梦，PHP+MYSQL)、帝国CMS（PHP+mysql）、PHPCMS、动易、cmstop，dianCMS（易点CMS，.net平台）等;
4.博客系统：wordpress、Z-Blog等;
5.论坛社区：discuz、phpwind、wecenter等;
6.问答系统：Tipask、whatsns等;
7.知识百科系统：HDwiki;
8.B2B门户系统：destoon、B2Bbuilder、友邻B2B等;
9.人才招聘网站系统：骑士CMS、PHP云人才管理系统;
10.房产网站系统：FangCms等;
11.在线教育建站系统：kesion(科汛，ASP)、EduSoho网校;
12.电影网站系统：苹果cms、ctcms、movcms等;
13.小说文学建站系统：JIEQI CMS;

工具推荐: 御剑Web指纹识别， Whatweb

在线指纹识别网站：

BugScaner：http://whatweb.bugscaner.com/look/
云悉指纹：http://www.yunsee.cn/finger.html
WhatWeb：https://whatweb.net/

真实IP

通过域名解析，可以获得网站的IP，但有时解析到的IP并不是真实的服务器地址IP。目标如果做了CDN，那么解析到的可能是CDN节点的IP地址。

CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

对于网站来说，通过CDN加速可以提高网站的访问速度，因为这是一种将网站内容通过缓存方式分发不同节点的技术。当网站有了CDN加速以后，往往可以根据用户的请求地域，去选择一个离用户最近网络的缓存服务器，这样就可以为用户更快的提供内容服务，与直接访问源站是没有什么区别的，这种缩短与内容网络距离的方式，达到加速效果的技术。只有用户有实际数据交互时才会从远程Web服务器响应。

检测目标是否使用了CDN

在这里插入图片描述