信息收集知识随记

kali下whois命令：whois www.xxx.xx whois作用：邮箱反查域名、社工、域名劫持

kali下通过host查询DNS服务器：

host -t a domainName/host -mx domainName（有局限）-t 获取IP

判断是否是真实IP 多地ping 不绝对

查询子域名来判断，不是所有站都挂了CDN

国内CDN通过国外代理来查看真实IP或者通过国外网站的DNS解析来获取真实IP

获取真实IP：1、通过没有cdn的子域名进行C段扫描，可能与主站处于同一C段。 2、历史DNS查询，未使用CDN时候的DNS解析记
录会暴露。 3、通过国外的DNS解析服务进行查询。

SMTP服务发信时邮件头带有发件者的真实IP

扫描目标web目录获取一个phpinfo探针类的文件，上面基本上存在真实ip

验证真实IP：1、浏览器直接访问。2、修改host文件，对应IP填写上去访问

反向地址解析:dig -x @dnsserver

旁站：目标在同一台服务器上的其他站点

C段：和目标IP处于同一个C段的其他机器，即在同一个交换机下。

URL随便输入一个不存在的地址可能产生报错，获取有用信息

识别目标主机的操作系统（nmap -O xxx.xx）

敏感文件：.mdb  .excel  .word  .zip  .rar 查询是否存在源代码泄露

端口信息：1、端口上的banner信息 2、端口上运行的服务 3、常见应用的默认端口

端口号       端口服务/协议简要说明           关于端口可能的一些渗透用途

tcp 20,21    ftp 默认的数据和命令传输端口[可明文亦可加密传输]  允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)

tcp 22    ssh[数据ssl加密传输]    可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输,等等…常用于linux远程管理…

tcp 23    telnet[明文传输]    爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令,也许会有意想不到的收获

tcp 25    smtp[简单邮件传输协议,多数linux发行版可能会默认开启此服务]    邮件伪造,vrfy/expn 查询邮件用户信息,可使用smtp-user-enum工具来自动跑

tcp/udp 53    dns[域名解析]    允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控

tcp/udp 69    tftp[简单文件传输协议,无认证]    尝试下载目标及其的各类重要配置文件

tcp 80-89,443,8440-8450,8080-8089    web[各种常用的web服务端口]    各种常用web服务端口,可尝试经典的top n,vpn,owa,webmail,目标oa,各类java控制台,各类服务器web管理面板,各类web中间件漏洞利用,各类web框架漏洞利用等等……

tcp 110    [邮局协议,可明文可密文]    可尝试爆破,嗅探

tcp 137,139,445    samba[smb实现windows和linux间文件共享,明文]    可尝试爆破以及smb自身的各种远程执行类漏洞利用, 如,ms08-067,ms17-010,嗅探等……

tcp 143    imap[可明文可密文]    可尝试爆破

udp 161    snmp[明文]    爆破默认团队字符串,搜集目标内网信息

tcp 389    ldap[轻量级目录访问协议]    ldap注入,允许匿名访问,弱口令

tcp 512,513,514    linux rexec    可爆破,rlogin登陆

tcp 873    rsync备份服务    匿名访问,文件上传

tcp 1194    openvpn    想办法钓vpn账号,进内网

tcp 1352    Lotus domino邮件服务    弱口令,信息泄漏,爆破

tcp 1433    mssql数据库    注入,提权,sa弱口令,爆破

tcp 1521    oracle数据库    tns爆破,注入,弹shell…

tcp 1500    ispmanager 主机控制面板    弱口令

tcp 1025,111,2049    nfs    权限配置不当

tcp 1723    pptp    爆破,想办法钓vpn账号,进内网

tcp 2082,2083    cpanel主机管理面板登录    弱口令

tcp 2181    zookeeper    未授权访问

tcp 2601,2604    zebra路由    默认密码zerbra

tcp 3128    squid代理服务    弱口令

tcp 3312,3311    kangle主机管理登录    弱口令

tcp 3306    mysql数据库    注入,提权,爆破

tcp 3389    windows rdp远程桌面    shift后门[需要03以下的系统],爆破,ms12-020[蓝屏exp]

tcp 4848    glassfish控制台    弱口令

tcp 4899    radmin远程桌面管理工具,现在已经非常非常少了    抓密码拓展机器

tcp 5000    sybase/DB2数据库    爆破,注入

tcp 5432    postgresql数据库    爆破,注入,弱口令

tcp 5632    pcanywhere远程桌面管理工具    抓密码,代码执行,已经快退出历史舞台了

tcp 5900,5901,5902    vnc远程桌面管理工具    弱口令爆破,如果信息搜集不到位,成功几率很小

tcp 5984    CouchDB    未授权导致的任意指令执行

tcp 6379    redis未授权    可尝试未授权访问,弱口令爆破

tcp 7001,7002    weblogic控制台    java反序列化,弱口令

tcp 7778    kloxo    主机面板登录

tcp 8000    Ajenti主机控制面板    弱口令

tcp 8443    plesk主机控制面板    弱口令

tcp 8069    zabbix    远程执行,sql注入

tcp 8080-8089    Jenkins,jboss    反序列化,控制台弱口令

tcp 9080-9081,9090    websphere控制台    java反序列化/弱口令

tcp 9200,9300    elasticsearch    远程执行

tcp 10000    webmin linux主机web控制面板入口    弱口令

tcp 11211    memcached    未授权访问

tcp 27017,27018    mongodb    爆破,未授权访问

tcp 3690    svn服务    svn泄露,未授权访问

tcp 50000    SAP Management Console    远程执行

tcp 50070,50030    hadoop    默认端口未授权访问

WAF检测，kali工具waf00f

后台管理按照经验加上后台管理目录进行访问。常见的后台有：

/admin

/login

/system

/manage

/guanli

等等，有的时候后台目录就是网址的域名加上常见后台文件名也有可能，比如：

/admin/admin.php

/admin/login.php

/manage/login.php

等等

robots.txt查看是否能发现敏感目录

site:xxx.edu.cn  intext:管理|后台|登录|用户名|密码|验证码|系统|账号|后台管理|后台登录

intext: 把网页中的正文内容中的某个字符做为搜索条件.

例如在google里输入:intext:杭电.将返回所有在网页正文部分包含”杭电”的网页

allintext:使用方法和intext类似.

intitle: 搜索网页标题中是否有我们所要找的字符.

例如搜索:intitle:杭电.将返回所有网页标题中包含”杭电”的网页.同理allintitle:也同intitle类似.

cache: 搜索google里关于某些内容的缓存,有时候往往能找到一些好东西.

define: 搜索某个词的定义,例如搜索:define:杭电,将返回关于“杭电”的定义.

filetype: 搜索制定类型的文件，例如：filetype:doc.将返回所有以doc结尾的文件URL.

info: 查找指定站点的一些基本信息.

inurl: 搜索我们指定的字符是否存在于URL中.

例如输入:inurl:admin,将返回N个类似于这样的连接:http://xxx/admin,

常用于查找通用漏洞、注入点、管理员登录的URL

allinurl:也同inurl类似,可指定多个字符.

linkurl: 例如搜索:inurl:hdu.edu.cn可以返回所有和hdu.edu.cn做了链接的URL.

site: 搜索指定域名,如site:hdu.edu.cn.将返回所有和hdu.edu.cn有关的URL.

参考文章：http://langzi.fun/%E4%BF%A1%E6%81%AF%E9%87%87%E9%9B%86.html