1. 域名收集
1.1 主域名信息收集
1.whois查询
2.备案信息查询
1.2 子域名信息收集
1.子域名检测工具
2.在线查询
3.搜索引擎枚举
4.第三方聚合应用枚举
5.证书透明度公开日志枚举
2. 网络信息搜集
2.1 C段扫描
C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
1.获得真实IP后,可以百度查看是不是云上资产
2.阿里云或者腾讯云等云上资产的话扫C段容易出现扫C段扫出一大片东西。
3.没有一个是目标资产的情况。不是云上资产的话就正常扫C段就可以。
4.C段推荐灯塔和goby
2.2 旁站
旁站指的是同一服务器上的其他网站,若主站拿不下。那么,可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell,然后再提权拿到服务器的权限,最后拿下主网站。
常用工具:
web:k8旁站、御剑1.5
K8Cscan大型内网渗透自定义插件化扫描神器,包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用,程序采用多线程批量扫描大型内网多个IP段C段主机,目前插件包含: C段旁注扫描、子域名扫描、Ftp密码爆破、Mysql密码爆破、Oracle密码爆破、MSSQL密码爆破、Windows/Linux系统密码爆破、存活主机扫描、端口扫描、Web信息探测、操作系统版本探测、Cisco思科设备扫描等,支持调用任意外部程序或脚本,支持Cobalt Strike联动
下载地址:https://github.com/k8gege/K8CScan
最新版Ladon https://github.com/k8gege/Ladon
2.3 获取真实IP
2.3.1 有无CDN
ping 一下对方域名,若如图两个地方的域名不一样则说明有CDN。若域名一至则没有。
使用在线工具检测
2.3.2 查找真实IP
如果www开头的域名有CDN,那就把域名前面的www去掉,然后再ping一下,很大可能得到真实IP。
2.3.3 通过网站证书寻找真实IP
适用于https的站
打开查找到的网页,按f12打开开发者模式,点击查看序列号并复制。
在下面的网站中进行进制转换。
在线转换工具
https://tool.lu/hexconvert/
打开fofa输入cert"此处输入转换过后的值"。
2.4 验证IP
- 使用御剑高速扫描工具
- 批量扫描IP段所有开放目标端口的主机
2.5 服务器信息
2.5.1 操作系统判断
通过ping来探测:
- Windows的TTL值都是一般是128,Linux则是64。所以大于100的肯定是
- Windows,而几十的肯定是Linux。
通过大小写的敏感字:
- Windows大小写不敏感,Linux大小写敏感。
- 表现如www.xxxx.com/index.php和www.xxxx.com/index.phP打开的一样就说明是Windows\n\n
2.5.2 主机扫描及端口信息
- 扫描主机开放什么端口
2.5.3 探测防火墙状态
利用FIN扫描的方式探测防火墙的状态:
- 代码:nmap-sF-T4192.168.0.100z。
- FIN扫描用于识别端口是否关闭,收到RST回复说明该端口关闭,否则就是open或filtered状态。
利用kali下的wafw00f 也可对目标站点进行探测
2.6 应用信息
2.6.1 指纹识别
常见CMS:
- Dedecms (织梦),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,
- Dvbbs,SiteWeaver,ASPCMS,帝国,Z-Blog,WordPress等。
扫描工具:
- 御剑web指纹识别,whatweb,webRobo,椰树,轻量web指纹识别等
在线查询CMS:
- [BugScaner][http://whatweb.bugscaner.com/look/]
- [云悉指纹][http://www.yunsee.cn/finger.html]
- [whatweb][https://whatweb.net/]
2.7 收集敏感信息
2.7.1 使用google语法进行搜索
常用语法:
- site:可限制你搜索范围的域名
- inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用
- intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)
- filetype:搜索文件的后缀或者扩展名
- intitle:限制你搜索的网页标题
- link: 可以得到一个所有包含了某个指定URL的页面列表
语句使用: - 查找后台地址:site:域名
inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms - 查找文本内容:site:域名
intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username - 查找可注入点:site:域名 inurl:aspx|jsp|php|asp
- 查找上传漏洞:site:域名 inurl:file|load|editor|Files找eweb
- 编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
- 存在的数据库:site:域名 filetype:mdb|asp|#
- 查看脚本类型:site:域名 filetype:asp/aspx/php/jsp
- 迂回策略入侵:inurl:cms/data/templates/images/index/
- 迂回策略入侵:inurl:cms/data/templates/images/index/
- 意思为搜索网页正文中包含有“后台管理” 并且域名后缀是edu.cn的网站,
2.7.2 使用扫描工具对目录进行扫描
- DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py、Sensitivefilescan、Weakfilescan
2.7.3源代码泄露
- github信息收集
2.7.4漏洞平台
- [乌云漏洞表][https://wooyun.shuimugan.com]
- https://www.exploit-db.com/
2.8 社会工程学
2.8.1懂得都懂
3 关于打不开资产
搜到打不开但仍然属于目标单位资产,如果能ping出IP,说明服务器还存活,只是web服务没开。
**IP:**可以扫全端口+C段,
**域名且没有CDN:**可以全端口+C段。