SRC系列已更新:WEB漏洞挖掘(SRC)详细教程--身份认证与业务一致性-CSDN博客
一、 信息前期收集
1.1 域名信息收集
Whois查询:
爱站工具网和站长网都可以查询到域名的相关信息如域名服务商,域名拥有者, 以及邮箱电话,地址等信息) 网站的关于页面/网站地图(可查询到企业的相关信息介绍,如域名 备案信息查询:
http://www.beianbeian.com,http://www.tianyancha.com)
域传输漏洞:dig baidu.com。
用途: 利用以上收集到的邮箱、QQ、电话号码、姓名、以及域名服务商可以用来社工客 户或者渗透域服务商,拿下域管理控制台,然后做域劫持;通过收集到邮箱,可 以在社工库查找到是否有出现泄漏密码以及通过搜索引擎搜索到社交账号等信 息,通过社交和社工得到的信息构造成密码字典,然后对mail 和oa 进行爆破或 者撞库。
1.2 子域名信息收集
子域名爆破: layer,K8,subDomainsBrute,dnsmaper,Sublist3r,google搜索语法,
MaltegoCE,
在线子域名: http://i.links.cn/subdomain/
https://phpinfo.me/domain/
用途:
这里重点推荐layaer 和k8 以及subDomainsBrute 工具,可以从子域名入侵到主 站。
1.3 敏感信息收集
github源代码信息泄露收集(Github_Nuggests ,GitHack ,GitPrey-master 以及 GitHarvester,gitscan,github 语法信息收集)
svn 信息泄漏收集(svn_git_scanner,seekret(目录信息搜索),Seay SVN 漏 洞利用工具)
DS_Store 泄露(ds_store_exp)。 批量信息泄露扫描:bbscan(可以用小字典快速扫描网站的泄露和它的旁站网段 的所有信息泄露)。
.hg 源码泄漏:dvcs-ripper-master。
Metagoofil 收集敏感的文档文件。
主要从 github 以及 google 语法入手收集的敏感的信息如账号和密码等。
1.4 敏感文件
通过爬虫和扫描工具以及 googel 语法搜索到敏感的如配置信息,数 据库连接文件,以及备份文件等。
1.5 敏感目录
批量扫描 C 段和旁站目录:御剑修改版 单个网站目录扫描:
御剑后台扫描,DirBuster,wwwscan spinder.py(轻量快速单文件目录后台扫 描),sensitivefilescan(轻量快速单文件目录后台扫描),weakfilescan(轻量 快速单文件目录后台扫描)。
用途: 可扫描敏感的文件以及目录或者后台或者网站备份文件和数据库文件。
1.6 Email收集
通过 teemo,metago,burpusit,awvs,netspker 或者 google 语法收集。 收集对方的邮箱账号命名习惯(因为好多官方后台都是用内部邮箱账号登录的)。
用途:可用来进行爆破或者弱口令登录以及撞裤攻击。
1.7 Ip段信息收集
通过子域名得到的IP 然后整合出整个目标暴露在公网的IP 通过nessuess 或者 nexpose 对整个IP 段进行批量扫描端口,然后导入到amiage 中进行渗透通过对 C 段或者B 段进行IP 常用的4000 个端口进行爆破扫描,最后整理出能正常访问 的端 口,这里一般用脚本解决。
1.8 常用端口信息收集
C 段扫描(web 和常用应用)端口:
F-NAScan,K8,fenghuangscanner_v3 脚本,F-NAScan.py ,lanscan SRC 开发常用的端口、以及一些域名的命名习惯(GitHub 上面有很多 现成的端口,平时收集信息的时候,可以多注意一下)可以通过 NMAP 扫描常用的开放端口进行渗透 HSCAN,HYDRA 进行爆破
web 类(web 漏洞/敏感目录):
| 端口号 | 中间件 | 存在的漏洞 |
| 1099 | rmi |
命令执行
|
| 8000 | jdwp java |
调试接口命令执行
|
| 443 | SSL |
心脏滴血
|
| 873 | Rsync |
未授权
|
| 5984 | CouchDB |
http://xxx:5984/_utils/
|
| 6379 | redis |
未授权
|
| 7001,7002 | WebLogic |
默认弱口令,反序列
|
| 9200,9300 | elasticsearch | RCE,任意文件读取 |
| 11211 | memcache |
未授权访问
|
| 27017,27018 | Mongodb |
未授权访问
|
| 50000 | SAP |
命令执行
|
| 50060,50070,50030 | hadoop |
默认端口未授权访问
|
| 2375 | docker |
未授权访问
|
| 3128 | squid |
代理默认端口
|
| 2601,2604 | zebra |
路由,默认密码 zebra
|
| 4440 | rundeck | 弱口令,RCE,XSS |
| 4848 | glassfish |
中间件弱口令 admin/adminadmin
|
| 9000 | fcigphp |
代码执行
|
| 9043 | websphere |
弱口令 admin/admin
|
常用端口类(扫描弱口令/端口爆破):
端口号:21 服务:FTP(文件传输协议)
端口号:22 服务:SSH(安全外壳协议)
端口号:23 服务:Telnet(远程登录协议)
端口号:25 服务:SMTP(简单邮件传输协议)
端口号:53 服务:DNS(域名系统)
端口号:80 服务:HTTP(超文本传输协议)
端口号:139/445 服务:SMB/CIFS(Server Message Block/通用Internet文件系统)
端口号:443 服务:HTTPS(安全超文本传输协议)
端口号:1080 服务:SSH隧道代理
端口号:1433 服务:MSSQL(Microsoft SQL Server)
端口号:1521 服务:Oracle数据库
端口号:3306 服务:MySQL数据库
端口号:3389 服务:RDP(远程桌面协议)
端口号:6379 服务:Redis数据库
1.9 收集账号信息
通过说明文档以及 google 或者网站这个页面收集,或者网站发表者 以及留言板信息处收集账号,可对 oa,erp,um,sso 等系统账号进行爆破。
搜索相关 QQ 群收集相关企业员工的社交账号。
1.10 利用google和bing等语法语句进行批量搜索
数据库文件,SQL 注入,配置信息,源代码泄露,未授权访问,CMs 的 install 和后台地址,robots.txt 等信息。
1.11 爬虫收集
spiderfoot(可爬虫出RUL 链接以及JS 以及DOC 以及邮箱和子域名等 信息)。
Snlper(自动化信息收集框架)。
通过 avws,netpsker,burpsuit 可进行爬虫扫描。
Recon-ng(自动化信息收集框架)。
instarecon 自动化信息爬虫收集。
1.12 Cms指纹识别
CMS 指纹识别:御剑 web 指纹识别,WebRobot。
利用第三方漏洞平台(乌云和 seebug 以及补天漏洞),查看相关漏洞。
1.13 大数据平台信息收集
1.14 服务器信息以及脚本类型
通过 whatweb,p0f,httprint,httprecon 可得到网站指纹识别。
通过 avws 也可以得到服务器信息。
1.15 查找到真实ip地址
1. 通过邮件(看邮箱头源 ip)找真实 ip(可靠)。
2. 通过查询域名历史 ip,http://toolbar.netcraft.com(借鉴)。
3. 通过 zmpap 全网爆破查询真实 ip(可靠)。
4. 子域名爆破,现在越来越不靠谱了。
5. 通过扫描出网站测试文件如 phpinfo,test 等配置文件,路径字典强度,很 容易跑出来的。
6. 扫到备份,有时候查看配置。
7. 主站使用 CND,二级域名不一定使用 CDN,二级域名不一定和主站同一个 IP 有可能是同 C 段,可以扫描整个 C 段 WEB 端口。
8. 通过国外冷门的 DNS 的查询:nslookup xxx.com 国外冷门 DNS 地址 。
9. 做CDN 配置解析不完全,ping backlion.org 和ping www.baklion.org 的 IP 不同 。
10. rss 订阅一般也会得到真实 IP 。
12. 常用查历史记录真实 IP:
1.16 信息整理
一般通过 word 进行信息整理,如:网站采用什么模板 cms,有哪些敏感的 url 连接,是否有 WAF,注册2 个账号和 2个邮箱,2 个手机号码,那些网站曾经在乌云上暴露过漏洞。
扫一扫
447
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
