渗透测试之信息收集

whois查询

常用网站：爱站工具网 https://whois.aizhan.com 站长之家 http://whois.chinaz.com

VirusTotal https://www.virustotal.com

备案信息查询

常用网站：

ICP备案查询网： http://www.beianbeian.com

天眼查：http://www.tianyancha.com

收集敏感信息

Google是世界上最强的搜索引擎之一：构造特殊的关键字语法来搜索互联网上的相关敏感信息：

Site-----指定域名

Inurl-----URL中存在关键字的网页

Intext-----网页正文中的关键字

Filetype-----指定文件类型

Intitle-----网页标题中的关键字

link-----link:baidu.com即表示返回所有和baidu.com做了链接的URL

Info-----查找指定站点的一些基本信息

cache-----搜索Google里关于某些内容的缓存

举个例子，我们尝试搜索一些学校网站的后台，语法为“site:edu.cn intext:后台管理”，意思是搜索网页正文含有“后台管理”并且域名后缀是edu.cn的网站，搜索结果为

除此之外，也可以尝试在GitHub上寻找相关敏感信息，如数据库连接信息，邮箱密码，uc-key，阿里的osskey，有时还可以找到泄露的源代码等。

我们可以通过乌云漏洞表（https://wooyun.shuimugan.com）查询历史漏洞信息。

收集子域名信息

子域名也是二级域名，是顶级域名下的域名。假设我们的目标网络规模比较大，直接从主域入手显然是很不理智的，因为对于这种规模的目标，一般其主域都是重点防护区域，所以不如先进入目标的某个子域，然后再想办法迂回接近真正的目标，这个无疑是个比较好的选择。那么问题来了，怎样才能多地搜集目标的高价值子域呢？常用的方法有一下这几种。

1.子域名检测工具

用于子域名检测的工具有Layer子域名挖掘机、k8、wydomain、Sublist3r、dusmaper、subDomainsBrute、Maltego CE等。我重点推荐Layer子域名挖掘机、Sublist3r和subDomainBrute。

        Layer子域名挖掘机的使用方法比较简单，在域名对话框中直接输入域名就可以进行扫描，它显示界面比较细致，有域名、解析IP、CDN列表、Web服务器和网站状态，这些对安全测试人员来说非常重要。

         subDomainBrute的特点是可以用小字典递归地发现三级域名、四级域名，甚至五级域名等不容易被探测到的渔民。执行该工具的命令为：

python subDomainbrute.py xxxx.com

        Sublist3r也是一个比较常用的工具，它能列举多种资源，

收集常用端口信息

        在渗透测试的过程中，对端口信息的收集是一个很重要的过程，通过扫描服务器开放的端口及从该端口判断服务器上存在的服务，就可以对症下药，便于我们渗透目标服务器。

        所以在端口渗透信息的过程中，我们需要关注常见应用的默认端口和在端口上运行的服务。最常见的扫描工具就是Nmap（具体的使用方法后面的文章会详细介绍），无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具

 常见的端口及其说明，以及攻击方向汇总:

1. 文件共享服务端口

端口号----------端口说明----------攻击方向

21/22/69----Ftp/Tftp文件传输协议---允许匿名的上传、下载、爆破和嗅探操作

2049--------Nfs服务-------配置不当

139--------Samba服务-----爆破、未授权访问、远程代码执行

389--------Ldap目录访问协议----注入、允许匿名访问、弱口令

     2.远程连接服务器端口

端口号----------端口说明----------攻击方向

22-------ssh远程连接------爆破、ssh隧道及内网代理转发、文件传输

23-------Telnet远程连接-----爆破、嗅探、弱口令

3389----Rdp远程桌面连接----shift后门（需要windows server 2003 一下的系统）、爆破

5900----VNC------弱口令

5632----PyAnywhere服务-------抓密码、代码执行

     3.Web应用服务端口

端口号----------端口说明----------攻击方向

80/443/8080---常见的Web服务端口---Web攻击、爆破、对应服务器版本漏洞

7001/7002----WebLogic控制台----Java反序列化、弱口令

8080/8089-----Jboss/Resin/Jetty/Jenkins----反序列化、弱口令

9090-----WebSphere控制台----Java反序列化、弱口令

4848-----GlassFish控制台-----弱口令

1352-----Lotus domino邮件服务----弱口令、信息泄露、爆破

10000----Webmin-Web控制面板----弱口令

     4.数据库服务端口

端口号----------端口说明----------攻击方向

3306----------Mysql----------注入、提权、爆破

1433----------MSSQL数据库---注入、提权、SA弱口令、爆破

1521----------Oracle数据库------TNS爆破、注入、反弹Shell

5432----------PostreSQL数据库-----爆破、注入、弱口令

27017/27018-----MongoDB-------爆破、未授权访问

6379------Redis数据库------可尝试未授权访问、弱口令爆破

5000-----SysBase/DB2数据库------爆破、注入

     5.邮件服务端口

端口号-----------端口说明----------攻击方向

25---------SMTP邮箱服务--------邮件伪造

110--------POP3协议-------------爆破、嗅探

143--------IMAP协议------------爆破

     6.网络常见协议端口

端口号----------端口说明----------攻击方向

53----------DNS域名系统------允许区域传送、DNS劫持、缓存偷毒、欺骗

67/68------DHCP服务--------劫持、欺骗

161---------SNMP协议-------爆破、搜索目标内网信息

     7.特殊服务端口

端口号----------端口说明----------攻击方向

2181--------zookeeper服务-------未授权访问

8069--------Zabbix服务-----------远程执行、SQL注入

9200/9300------Elasticsearch服务---远程执行

11211-----Memcache服务--------未授权访问

512/513/514----Linux Rexec服务----爆破、Rlogin登录

873------Rsync服务-----匿名访问、文件上传

3690-----Svn服务------Svn泄露、未授权访问

50000----SAP Management Console-----远程执行