HVV笔记——信息收集思路
信息收集的目标
了解渗透目标的网络架构,描述出相关的网络拓扑,缩小攻击范围,找到目标主机及运行的应用。
1 真实IP获取
1.1 判断是否存在CDN
1.1.1 适用不同主机ping域名
站长工具(超级ping):http://ping.chinaz.com
爱站网:https://ping.aizhan.com
国外ping探测:https://asm.ca.com/en/ping.php
1.1.2 适用kali域名解析命令
nslookup ip
站长工具:https://tool.chinaz.com/nslookup/
如果发现有多个IP地址,可能使用了CDN技术。
1.2 绕过CDN真实IP获取
1.2.1 子域名查询
1.2.2 历史DNS解析记录
常用的第三方服务网站有:
-
DNSdb:https://dnsdb.ip/zh-cn
-
Netcraft :https://sitereport.netcraft.com/
-
DNSHistory:http://dnshistory.org/
1.2.3 使用国外主机解析域名
部分国内的CDN加速服务商只对国内的线路做了CDN加速,但是国外的线路没有做加速。
- pingdom:https://dnscheck.pingdom.com/
- WebPageTest:https://www.webpagetest.org/
- HOST-TRACKER:http://www.host-tracker.com/
1.2.4 网站漏洞
利用网站的漏洞和信息泄露的敏感文件信息,比如phpinfo文件,网站源码,Github文件等。
1.2.5 邮件信息
邮件信息会记录邮件服务器的IP信息,有些站点类似于RSS邮件订阅的功能,可以利用其发送邮件,通过查看源码的方式查看服务器的真实IP地址。
2 旁站信息收集
旁站是与攻击目标在同一服务器上的不同网站,在攻击目标没有漏洞的情况下,可以通过查找旁站的漏洞攻击旁站,然后再通过提权拿到服务器的最高权限,拿到服务器的最高权限后攻击目标也就拿下了。
2.1 通过站长工具
同IP网站查询:https://stool.chinaz.com/same
2.2 搜索引擎查询
bing搜索
ip: 123.123.123.123
2.3 网络空间探测引擎搜索
FOFA:https://fofa.info/
ip="123.123.123.123"
3 C段主机查询
C段查询主要是当前的IP拿不下来时,可以攻击他的C段。比如IP是123.123.123.123的是我们的目标,但是拿不下来,可以去扫描123.123.123.0-255这个网段。
3.1 Nmap
nmap -sn IP/24
3.2 搜索引擎
site: 123.123.123.*
3.3 利用工具
3.4 利用网络空间探测引擎
FOFA:https://fofa.info/
ip="123.123.123.0/24"
4 子域名信息收集
4.1 枚举法
进行暴力破解,首先需要一个好的字典。
Layer子域名挖掘机
https://download.csdn.net/download/FisrtBqy/87546844
4.2 搜索引擎
site: xxx.com(域名)
4.3 空间探测引擎
FOFA:https://fofa.info/
domain="xxx.com"
4.4 透明证书
通过安全连接(HTTPS)访问某个网站时,该网站会向浏览器提供数字证书。此证书用于时别该网站的主机名,由已验证网站所有者的证书授权中心(CA)签发。只要用户信任相应的CA,便可信任证书中提供的身份证明。
4.5 聚合工具
oneforall
python oneforall.py --target xxx.com run
5 端口信息收集
计算机的端口是0-65535个
5.1 nmap
5.2 御剑
https://download.csdn.net/download/FisrtBqy/87546853
5.3 在线网站
6 Whois信息收集
Whois 用于查询域名的IP以及所有者等信息的传输协议。主要查询域名是否已经被注册,以及注册域名的详细信息的数据(如域名所有人信息,域名注册商)。
设备→IP→域名→联系人、邮箱、QQ、动态→手机号
邮箱→DNS解析记录→MX邮件的交换记录
在线工具
-
站长之家工具 https://whois.chinaz.com
-
阿里云WHOIS https://whois.aliyun.com
7 操作系统识别
主动信息收集通常在被动信息收集完成,并确定了攻击面后进行。
针对性强,时效性高,可能获得未公开的敏感信息。但容易暴露,风险高。注意用代理防止被ban。
7.1 服务器响应时间TTL
区别
-
Windows一般是TTL=128
-
Linux一般是TTL=64
服务器加固→修改默认TTL值
Windows服务器
- 注册表编辑器→HKEY_LOCAL_MACHINE→SYSTEM→CurrentControlSet→Services→Tcpip→Parameters→DefautTTL
Linux服务器
-
/proc/sys/net/ipv4/ip_default_ttl
-
临时改TTL值
echo 128 > ip_default_ttl
-
永久改
vim /etc/sysctl.conf net.ipv4.ip_default_ttl=128 sysctl -p
7.2 Nmap
nmap -o IP
7.3 大小写
- Windows对大小写不敏感。如baidu.com和baiDu.com是一样的
- Linux对大小写敏感
8 服务版本识别
8.1 常见组合
- Linux+Apache+PHP+MySQL
- Linux+Nginx+PHP+MySQL
- Windows+IIS+APS+SQL server
- Linux+Tomcat+JSP+MySQL
- Linux+Tomcat+JSP+Oracle
8.2 识别途径
-
流量包中的关键字
-
servers-db
-
报错显示
8.3 漏洞利用
红:
探测出服务的版本→漏洞库→RCE
蓝:
-
apache→httpd_default.conf→
ServerTokens Full ServerSignature On #改为: ServerTokens Prod ServerSignature off
-
Nginx→nginx.conf→
http模块下添加如下语句: server_tokens off;
9 指纹识别
特有文件
特有MD5
文件命名规则
返回头关键字
网页关键字
在线工具
【whatweb】http://whatweb.bugscaner.com/
【潮汐指纹】http://finger.tidesec.com/
Kali
whatweb
whatweb 域名
cmseek
10 敏感路径识别
10.1 常见敏感文件、目录
robots.txt .git crossdomain.xml .svn .sitemap.xml phpinfo 后台目录 网站文本编辑器 网站安装目录 测试文件 网站上传目录 网站备份文件(.rar .zip .7z .tar .gz .bak) mysql管理页面 DS_Store文件 WEB-INF/web.xml文件
10.2 401/405/403绕过
假设有以下请求和响应
Request
GET /admin/login HTTP/1.1
Response
HTTP/1.1 403 Forbidden
有两个参数X-Original-URL和X-Rewrite-URL可以添加:
Request
GET HTTP/1.1
X-Original-URL:/admin/login
Response
HTTP/1.1 20OK
或者
Request
GET HTTP/1.1
X-Rewrite-URL:/admin/login
Response
HTTP/1.1 20OK
即可绕过。
修改Referer参数:
Request
GET HTTP/1.1
Host:xxx
Referer:https://xxxd/admin/login
Response
HTTP/1.1 20OK
nginx负载均衡:
#某些页面可能只允许本地访问,可尝试添加以下标签绕过
X-Forwarded-For:127.0.0.1
X-Forwarded-Host:127.0.0.1
X-Host:127.0.0.1
X-Custom-IP-Authorization:127.0.0.1
X-Remote-IP:127.0.0.1
X-Client-IP:127.0.0.1
url绕过(CTF)
例如xxx.site.com/a请求响应为401/405,则可尝试后加url编码,如:
xxx.site.com/a%20
xxx.site.com/a#
10.3 .git/.svn信息泄露
可以还原出网页源码
10.3 路径扫描工具
御剑web目录扫描
Kali→dirb 域名
11 历史漏洞信息收集
11.1 漏洞库
-
国外
https://www.exploit-db.com
https://vulners.com
-
国内
https://www.cnvd.org.cn
https://avd.aliyun.com
-
漏洞库
https://wiki.bylibrary.cn
http://wiki.peiqi.tech
https://wooyun.kieran.top/#!