信息收集
域名信息收集
whois查询
whois是一个标准的互联网协议, 可用于收集网络注册信息, 注册的域名,IP地址等。
kali下的whois查询
在线的whois查询
备案信息查询
网站备案是根据国家法律法规需要网站的所有者向国家有关部门申请的备案,
-
ICP备案查询 http://www.beianbeian.com/
子域名信息收集
子域名, 即二级域名,是顶级域名下的域名。网站规模较大, 可从子站入手。
layer子域名挖掘机暴力枚举
在线工具
证书透明度公开日志枚举
证书透明度(Certificate Transparnecy , CT)是证书授权机构(CA)的一个项目,证书授权机构会将SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址。
-
crt.sh https://crt.sh/
-
censys https://censys.io/
搜索引擎枚举
利用google搜索搜索特定域名下的站点
“site: baidu.com”
敏感信息收集
Google Haking
常用语法
关键字 | 说明 |
---|---|
Site | 指定域名 |
Inurl | URL中存在的关键字 |
Intext | 网页正文中的关键字 |
Filetype | 指定文件类型 |
Intitle | 网页标题中的关键字 |
Link | link:baidu.com即表示返回和baidu.com做了链接的URL |
Info | 查找指定站点的一些基本信息 |
cache | 搜索Google里关于某些内容的缓存 |
如搜索后台管理页面
端口信息收集
端口信息收集是一个很重要的过程, 通过扫描服务器开放的端口就可以识别对应的服务, 再针对服务寻找攻击方式。
常用工具Nmap, Massan,御剑高速TCP端口扫描工具等。
常见端口及说明
文件共享服务端口
端口号 | 端口说明 | 攻击方向 |
---|---|---|
21/22/69 | FTP/TFTP 文件传输协议 | 允许匿名的上传、下载、爆破和嗅探操作 |
2049 | Nfs 服务 | 配置不当 |
139 | Samba 服务 | 爆破、未授权访问、远程代码执行 |
389 | Ldap 目录访问协议 | 注入、允许匿名访问、弱口令 |
远程连接服务端口
端口号 | 端口说明 | 攻击方向 |
---|---|---|
22 | SSH 远程连接 | 爆破、SSH隧道及内网代理转发、文件传输 |
23 | Telnet 远程连接 | 爆破、嗅探、弱口令 |
3389 | Rdp 远程桌面连接 | Shift后门(需要Window Server 2003 以下系统)、爆破 |
5900 | VNC | 弱口令爆破 |
5632 | PyAnywhere 服务 | 抓密码、代码执行 |
Web应用服务端口
端口号 | 端口说明 | 攻击方向 |
---|---|---|
80/443/8080 | 常见的Web服务端口 | Web攻击、爆破、对应服务器版本漏洞 |
7001/7002 | WebLogic 控制台 | Java反序列化、弱口令 |
8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 |
9090 | WebSphere 控制台 | Java反序列化、弱口令 |
4848 | GlassFish 控制台 | 弱口令 |
1352 | Lotus domino 邮件服务 | 弱口令、信息泄漏、爆破 |
10000 | Webmin-Web 控制面板 | 弱口令 |
数据库服务端口
端口号 | 端口说明 | 攻击方向 |
---|---|---|
3306 | MySQL | 注入、提权、爆破 |
1433 | MSSQL 数据库 | 注入、提权、SA弱口令、爆破 |
1521 | Oracle 数据库 | TNS爆破、注入、反弹shell |
5432 | PostgreSQL 数据库 | 爆破、注入、弱口令 |
27017/27018 | MongoDB | 爆破、未授权访问 |
6379 | Redis 数据库 | 可尝试未授权访问、弱口令爆破 |
5000 | SysBase/DB2 数据库 | 爆破、注入 |
邮件服务端口
端口号 | 端口说明 | 攻击方向 |
---|---|---|
25 | SMTP 邮件服务 | 邮件伪造 |
110 | POP3 协议 | 爆破、嗅探 |
143 | IMAP 协议 | 爆破 |
网络常见协议端口
端口号 | 端口说明 | 攻击方向 |
---|---|---|
53 | DNS 域名系统 | 允许区域传送、DNS劫持、缓存投毒、欺骗 |
67/68 | DHCP 服务 | 劫持、欺骗 |
161 | SNMP 协议 | 爆破、收集目标内网信息 |
特殊服务端口
端口号 | 端口说明 | 攻击方向 |
---|---|---|
2181 | Zookeeper 服务 | 未授权访问 |
8069 | Zabbix 服务 | 远程执行、SQL注入 |
9200/9300 | Elasticsearch 服务 | 远程执行 |
11211 | Memcache 服务 | 远程执行 |
512/513/514 | Linux Rexec 服务 | 爆破、Rlogin 登录 |
873 | Rsync 服务 | 匿名访问、文件上传 |
3690 | Svn 服务 | Svn泄漏、未授权访问 |
50000 | SAP Management Console | 远程执行 |
指纹识别
这里的指纹别泛指网站CMS指纹, 计算机操作系统或者web容器的指纹,这些指纹其实是一些特征码或者关键字,如WordPress中robots.txt中会包含wp-admin, index.php会包含generator-wordpress 3.xx等。识别出目标用的是什么系统, 以便查找相应版本漏洞进行攻击。
CMS(Content Managerment System), 内容管理系统,是一种位于WEB 前端(Web 服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里指的“内容”可能包括文件、表格、图片、数据库中的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet网站的信息。
常见的CMS:
- 企业建站系统:MetInfo(米拓)、蝉知、SiteServer CMS(.net平台)等;
2.B2C商城系统:商派shopex、ecshop、hishop、xpshop等;
3.门户建站系统:DedeCMS(织梦,PHP+MYSQL)、帝国CMS(PHP+mysql)、PHPCMS、动易、cmstop,dianCMS(易点CMS,.net平台)等;
4.博客系统:wordpress、Z-Blog等;
5.论坛社区:discuz、phpwind、wecenter等;
6.问答系统:Tipask、whatsns等;
7.知识百科系统:HDwiki;
8.B2B门户系统:destoon、B2Bbuilder、友邻B2B等;
9.人才招聘网站系统:骑士CMS、PHP云人才管理系统;
10.房产网站系统:FangCms等;
11.在线教育建站系统:kesion(科汛,ASP)、EduSoho网校;
12.电影网站系统:苹果cms、ctcms、movcms等;
13.小说文学建站系统:JIEQI CMS;
工具推荐: 御剑Web指纹识别, Whatweb
在线指纹识别网站:
- BugScaner:http://whatweb.bugscaner.com/look/
- 云悉指纹:http://www.yunsee.cn/finger.html
- WhatWeb:https://whatweb.net/
真实IP
通过域名解析, 可以获得网站的IP, 但有时解析到的IP并不是真实的服务器地址IP。目标如果做了CDN, 那么 解析到的可能是CDN节点的IP地址。
CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。
对于网站来说,通过CDN加速可以提高网站的访问速度,因为这是一种将网站内容通过缓存方式分发不同节点的技术。当网站有了CDN加速以后,往往可以根据用户的请求地域,去选择一个离用户最近网络的缓存服务器,这样就可以为用户更快的提供内容服务,与直接访问源站是没有什么区别的,这种缩短与内容网络距离的方式,达到加速效果的技术。只有用户有实际数据交互时才会从远程Web服务器响应。
检测目标是否使用了CDN
不同的地区获取的IP地址是不同的,那么有可能做了CDN, 可以通过在线网站检测
https://www.17ce.com/
绕过CDN
- 内部邮箱源。通过网站用户注册或RSS订阅功能下手,这里一般不做cdn
- 扫描网站测试文件。如phpinfo、test等
- 分站域名。
- 国外代理访问。(http://asm.ca.com/en/ping.php)
- 查询域名解析记录。(https://www.netcraft.com)
- APP抓包
- 绕过CloudFlare CDN查找真实的IP。(http://www.crimeflare.us/cfs.html#box)
敏感目录信息收集
探测目标站点的目录结构和隐藏的敏感文件是一个必不可少的内容。有可能可以获取网站的后台页面,文件上传页面, 甚至是网站的源代码。
大部分工具是结合字典进行探测
常用工具:DirBuster、御剑后台扫描
在线工具:https://www.webscan.cc/
参考:《Web安全攻防 渗透测试实战指南》