whois查询
常用网站:爱站工具网 https://whois.aizhan.com 站长之家 http://whois.chinaz.com
VirusTotal https://www.virustotal.com
备案信息查询
常用网站:
ICP备案查询网: http://www.beianbeian.com
天眼查:http://www.tianyancha.com
收集敏感信息
Google是世界上最强的搜索引擎之一:构造特殊的关键字语法来搜索互联网上的相关敏感信息:
Site-----指定域名
Inurl-----URL中存在关键字的网页
Intext-----网页正文中的关键字
Filetype-----指定文件类型
Intitle-----网页标题中的关键字
link-----link:baidu.com即表示返回所有和baidu.com做了链接的URL
Info-----查找指定站点的一些基本信息
cache-----搜索Google里关于某些内容的缓存
举个例子,我们尝试搜索一些学校网站的后台,语法为“site:edu.cn intext:后台管理”,意思是搜索网页正文含有“后台管理”并且域名后缀是edu.cn的网站,搜索结果为
除此之外,也可以尝试在GitHub上寻找相关敏感信息,如数据库连接信息,邮箱密码,uc-key,阿里的osskey,有时还可以找到泄露的源代码等。
我们可以通过乌云漏洞表(https://wooyun.shuimugan.com)查询历史漏洞信息。
收集子域名信息
子域名也是二级域名,是顶级域名下的域名。假设我们的目标网络规模比较大,直接从主域入手显然是很不理智的,因为对于这种规模的目标,一般其主域都是重点防护区域,所以不如先进入目标的某个子域,然后再想办法迂回接近真正的目标,这个无疑是个比较好的选择。那么问题来了,怎样才能多地搜集目标的高价值子域呢?常用的方法有一下这几种。
1.子域名检测工具
用于子域名检测的工具有Layer子域名挖掘机、k8、wydomain、Sublist3r、dusmaper、subDomainsBrute、Maltego CE等。我重点推荐Layer子域名挖掘机、Sublist3r和subDomainBrute。
Layer子域名挖掘机的使用方法比较简单,在域名对话框中直接输入域名就可以进行扫描,它显示界面比较细致,有域名、解析IP、CDN列表、Web服务器和网站状态,这些对安全测试人员来说非常重要。
subDomainBrute的特点是可以用小字典递归地发现三级域名、四级域名,甚至五级域名等不容易被探测到的渔民。执行该工具的命令为:
python subDomainbrute.py xxxx.com
Sublist3r也是一个比较常用的工具,它能列举多种资源,
收集常用端口信息
在渗透测试的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务器开放的端口及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透目标服务器。
所以在端口渗透信息的过程中,我们需要关注常见应用的默认端口和在端口上运行的服务。最常见的扫描工具就是Nmap(具体的使用方法后面的文章会详细介绍),无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具
常见的端口及其说明,以及攻击方向汇总:
-
文件共享服务端口
端口号----------端口说明----------攻击方向
21/22/69----Ftp/Tftp文件传输协议---允许匿名的上传、下载、爆破和嗅探操作
2049--------Nfs服务-------配置不当
139--------Samba服务-----爆破、未授权访问、远程代码执行
389--------Ldap目录访问协议----注入、允许匿名访问、弱口令
2.远程连接服务器端口
端口号----------端口说明----------攻击方向
22-------ssh远程连接------爆破、ssh隧道及内网代理转发、文件传输
23-------Telnet远程连接-----爆破、嗅探、弱口令
3389----Rdp远程桌面连接----shift后门(需要windows server 2003 一下的系统)、爆破
5900----VNC------弱口令
5632----PyAnywhere服务-------抓密码、代码执行
3.Web应用服务端口
端口号----------端口说明----------攻击方向
80/443/8080---常见的Web服务端口---Web攻击、爆破、对应服务器版本漏洞
7001/7002----WebLogic控制台----Java反序列化、弱口令
8080/8089-----Jboss/Resin/Jetty/Jenkins----反序列化、弱口令
9090-----WebSphere控制台----Java反序列化、弱口令
4848-----GlassFish控制台-----弱口令
1352-----Lotus domino邮件服务----弱口令、信息泄露、爆破
10000----Webmin-Web控制面板----弱口令
4.数据库服务端口
端口号----------端口说明----------攻击方向
3306----------Mysql----------注入、提权、爆破
1433----------MSSQL数据库---注入、提权、SA弱口令、爆破
1521----------Oracle数据库------TNS爆破、注入、反弹Shell
5432----------PostreSQL数据库-----爆破、注入、弱口令
27017/27018-----MongoDB-------爆破、未授权访问
6379------Redis数据库------可尝试未授权访问、弱口令爆破
5000-----SysBase/DB2数据库------爆破、注入
5.邮件服务端口
端口号-----------端口说明----------攻击方向
25---------SMTP邮箱服务--------邮件伪造
110--------POP3协议-------------爆破、嗅探
143--------IMAP协议------------爆破
6.网络常见协议端口
端口号----------端口说明----------攻击方向
53----------DNS域名系统------允许区域传送、DNS劫持、缓存偷毒、欺骗
67/68------DHCP服务--------劫持、欺骗
161---------SNMP协议-------爆破、搜索目标内网信息
7.特殊服务端口
端口号----------端口说明----------攻击方向
2181--------zookeeper服务-------未授权访问
8069--------Zabbix服务-----------远程执行、SQL注入
9200/9300------Elasticsearch服务---远程执行
11211-----Memcache服务--------未授权访问
512/513/514----Linux Rexec服务----爆破、Rlogin登录
873------Rsync服务-----匿名访问、文件上传
3690-----Svn服务------Svn泄露、未授权访问
50000----SAP Management Console-----远程执行