渗透测试之信息收集总结
1.域名信息收集(whois)
国外的who.is:https://who.is/
站长之家: http://whois.chinaz.com/
爱站: https://whois.aizhan.com/
微步: https://x.threatbook.cn/
这些网站都可以收集whois信息,而且还很全面,主要关注:注册商、注册人、邮件、DNS解析服务器、注册人联系电话。
2.备案信息查询
查企业的备案信息,主要有三种方式
天眼查:https://www.tianyancha.com/
ICP备案查询网:http://www.beianbeian.com/
国家企业信用信息公示系统:http://www.gsxt.gov.cn/index.html
奇安信的hunter平台也可以查到备案信息
3.子域名信息收集 (见CDN绕过)
子域名是在顶级域名下的域名,收集的子域名越多,我们测试的目标就越多,渗透的成功率也越大。往往在主站找不到突破口的时候,我们从子域名入手,有时候你会发现惊喜就到了
4.IP信息收集
可通过中国互联网信息中心http://ipwhois.cnnic.net.cn/
进行查询
- IP地址反查域名
如果渗透目标是虚拟主机,那么通过IP反查到的域名信息很有价值,因为一台物理服务器上可能运行多个虚拟主机。这些虚拟机有不同的域名,但共用一个IP地址。如果你知道有哪些网站共用这台服务器,就有可能通过此台服务器上其他网站的漏洞获取服务器控制权,进而迂回获取渗透目标的权限,称为“旁注”。
https://stool.chinaz.com/same
https://tools.ipip.net/ipdomain.php
- CDN绕过
5.端口信息收集
常见端口漏洞:
文件共享服务端口:
端口号 | 端口说明 | 攻击方向 |
---|---|---|
21/22/69 | FTP/TFTP | 允许匿名的上传、下载、暴破和嗅探 |
2049 | NFS服务 | 配置不当 |
139 | Samba服务 | 暴破、未授权访问、远程代码执行 |
389 | Ldap目录访问协议 | 注入、允许匿名访问、弱口令 |
远程连接服务端口:
端口号 | 端口说明 | 攻击方向 |
---|---|---|
22 | SSH远程连接 | 暴破、SSH隧道及内网代理转发、文件传输 |
23 | Telnet远程连接 | 暴破、嗅探、弱口令 |
3389 | Rdp远程桌面链接 | Shitf后门(Window Server 2003以下系统)、暴破 |
5900 | VNC | 弱口令暴破 |
5623 | PyAnywhere服务 | 抓密码、代码执行 |
web应用服务端口:
端口号 | 端口说明 | 攻击方向 |
---|---|---|
80/443/8080 | 常见的Web服务端口 | Web攻击、暴破、对应服务器版本漏洞 |
7001/7002 | WebLogic控制台 | Java反序列化、弱口令 |
8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制器弱口令 |
9090 | WebSphere控制台 | Java反序列化、弱口令 |
4848 | GlassFish控制台 | 弱口令 |
1352 | Lotus domino邮件服务 | 弱口令、信息泄露、暴破 |
10000 | Webmin-Web控制面板 | 弱口令 |
数据库服务端口:
端口号 | 端口说明 | 攻击方向 |
---|---|---|
3306 | MYSQL | 注入、提权、暴破 |
1433 | MSSQL | 注入、提权、SA弱口令、暴破 |
1521 | Oracle数据库 | TNS暴破、注入、反弹Shell |
5432 | PostgreSQL数据库 | 暴破、注入、弱口令 |
27017/27018 | MongoDB | 暴破、未授权访问 |
6379 | Redis数据库 | 尝试未授权访问、弱口令暴破n |
5000 | SysBase/DB2数据库 | 暴破、注入 |
邮件服务端口:
端口号 | 端口说明 | 攻击方向 |
---|---|---|
25 | SMTP邮件服务 | 邮件伪造 |
110 | POP3协议 | 暴破、嗅探 |
143 | IMAP协议 | 暴破 |
常见网络协议端口:
端口号 | 端口说明 | 攻击方向 |
---|---|---|
53 | DNS域名服务器 | 允许区域传送、DNS劫持、缓存投毒、欺骗 |
67/68 | DHCP服务 | 劫持、欺骗 |
161 | SNMP协议 | 暴破、搜索目标内网信息 |
特殊服务端口:
端口号 | 端口说明 | 攻击方向 |
---|---|---|
2181 | Zookeeper服务 | 未授权访问 |
8069 | Zavvux服务 | 远程代码执行、SQL注入 |
9200/9300 | Elasticsearch服务 | 远程代码执行 |
11211 | Memcache服务 | 未授权访问 |
512/513/514 | Linux Rexec服务 | 匿名访问、文件上传 |
3690 | Svn服务 | Svn泄露、未授权访问 |
50000 | SAP Management Console | 远程代码执行 |
端口扫描常用工具:
- Namp
- Unicornscan
- Zenmap
- nast
- Knocker
6.网站架构探测
-
当我们探测目标站点网站架构时,比如说:操作系统,中间件,脚本语言,数据库,服务器,web容器等等,可以使用以下方法查询。
-
wappalyzer插件 ——火狐插件
云悉:http://www.yunsee.cn/info.html
-
查看数据包响应头
-
CMS指纹识别:
http://whatweb.bugscaner.com/look/
CMS指纹识别又有很多方法,比如说御剑指纹识别、Webrobot工具、whatweb工具、还有在线查询的网站等等。
这里推荐潮汐指纹识别平台,不仅可以查到cms信息,还有子域名,C段,旁站等信息
7.敏感文件、敏感目录探测
通常我们所说的敏感文件、敏感目录大概有以下几种:
(1).git
(2).hg/Mercurial
(3).svn/Subversion
(4).bzr/Bazaar
(5).Cvs
(6)WEB-INF泄露
(7)备份文件泄露、配置文件泄露
敏感文件、敏感目录挖掘一般都是靠工具、脚本来找,当然大佬手工也能找得到。
常用的工具有:
(1)御剑
(2)dirsearch(推荐使用)
(3)爬虫(AWVS、Burpsuite等)
(4)搜索引擎(Google、Github等)
(5)wwwscan
(6)BBscan(https://github.com/lijiejie/BBScan )
(7)GSIL(https://github.com/FeeiCN/GSIL
8.目标域名邮箱收集
一定要养成收集站点邮箱账号收集的习惯(因为好多官方后台都是用内部邮箱账号登录的,指不定哪天你就得到一个进后台的机会)。
(1)通过说明文档以及网站页面收集,或者网站发表者以及留言板信息处收集账号
(2)通过 teemo,metago,burpusit,awvs,netspker 或者 google 语法收集
(3)搜索相关 QQ 群收集相关企业员工的社交账号
用途: 可用来进行爆破或者弱口令登录以及撞裤攻击。
9.WAF探测
Waf也叫Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。Waf的探测很多人都会忽略掉.
(1)手工(提交恶意数据,简单粗暴)
(2)Kaili工具(WAFW00F、Nmap)
Nmap探测WAF有两种脚本,
一种是http-waf-detect,命令:nmap -p80,443 --script=http-waf-detect ip
一种是http-waf-fingerprint。命令:nmap -p80,443 --script=http-waf-fingerprint ip
WAFW00F探测WAF 命令:wafw00f -a 域名
10.旁站、C段
旁站:是和目标网站在同一台服务器上的其它的网站。
C段:是和目标服务器ip处在同一个C段的其它服务器。
旁站和C段的查询方式:
(1)利用Bing.com,语法为:http://cn.bing.com/search?q=ip:111.111.111.111
(2)站长之家:http://s.tool.chinaz.com/same
(3)利用Google,语法:site:125.125.125.*
(4)利用Nmap,语法:nmap -p 80,8080 --open ip/24
(5)K8工具、御剑、北极熊扫描器等
(6)在线:http://www.webscan.cc/