渗透测试-信息打点

空间测绘

1. ZoomEye
2. Fofa
3. 鹰图
4. 微步
5. Quack
6. Censys
7. Shodan
8. FullHunt
9. Responses
10. LeakiX
11. DorkSearch
12. ONYPHE
13. Thingful

威胁情报

1. 360威胁情报中心
2. 奇安信威胁分析平台
3. 微步威胁情报
4. 零零信安攻击面管理平台
5. VenusEys威胁情报中心
6. 绿盟威胁情报云
7. IBM威胁情报中心
8. RedQueen威胁情报中心
9. 华为威胁情报中心
10. 安全星图
11. 深信服威胁情报中心
12. GreyNoise
13. Pithus
14. AlienVault
15. PhishTank
16. Startme
17. 百度网址安全中心

证书查询

1. Certificate Search

代码搜索

1. Searchcode

DNS数据

1. DNSDB
2. DNSdumpster

子域名查询

1. 在线二级域名子域名查询
2. 子域名查询
3. OneForAll

指纹识别

1. 在线cms指纹识别
2. 潮汐指纹
3. 360Finger-P
4. 云悉
5. Wappalyzer
6. WhatWeb
7. gotoscan

备案信息

1. ICP备案查询
2. ICP备案查询-站长工具

企业信息

1. 天眼查
2. 爱企查
3. 企查查
4. 启信宝
5. 小蓝本
6. opencorporates

文件分析

1. 奇安信
2. VirusTotal
3. Hybrid
4. Jotti
5. 微步云沙箱
6. 魔盾
7. 腾讯哈勃
8. virscan

公众号搜索

1. 搜狗|微信

IP反查

1. IP查域名
2. IP反查域名
3. IP反查域名
4. IP网站查询

邮箱搜索

1. hunter

源码泄露

1. composer.json
2. git源码泄露
3. svn源码泄露
4. hg源码泄漏
5. 网站备份压缩文件
6. WEB-INF/web.xml 泄露
7. DS_Store 文件泄露
8. SWP 文件泄露
9. CVS泄露
10. Bzr泄露
11. GitHub源码泄漏
12. https://gitee.com/
13. https://github.com/
14. https://www.huzhan.com/

GITHUB资源搜索：

1. in:name test——仓库标题搜索含有关键字
2. in:descripton test——仓库描述搜索含有关键字
3. in:readme test——Readme文件搜素含有关键字
4. stars:>3000 test——stars数量大于3000的搜索关键字
5. stars:1000…3000 test——stars数量大于1000小于3000的搜索关键字
6. forks:>1000 test——forks数量大于1000的搜索关键字
7. forks:1000…3000 test——forks数量大于1000小于3000的搜索关键字
8. size:>=5000 test——指定仓库大于5000k(5M)的搜索关键字
9. pushed:>2019-02-12 test——发布时间大于2019-02-12的搜索关键字
10. created:>2019-02-12 test——创建时间大于2019-02-12的搜索关键字
11. user:test——用户名搜素
12. license:apache-2.0 test——明确仓库的 LICENSE 搜索关键字
13. language:java test——在java语言的代码中搜索关键字
14. user:test in:name test——组合搜索,用户名test的标题含有test的

Google Hacking

1. site：找到与指定网站有联系的URL。例如输入Site:family.chinaok.com，返回所有和这个网站有关的URL。
2. intitle：返回所有网页标题中包含关键词的网页。例如输入intitle:cbi，这样网页标题中带有 cbi 的网页都会被搜索出来。
3. inurl：搜索包含有特定字符的URL。例如输入inurl:cbi，则可以找到带有 cbi 字符的URL。
4. intext：搜索网页正文内容中的指定字符。例如输入intext:cbi，将返回所有在网页正文部分包含 cbi 的网页。
5. link：例如link:thief.one，返回所有和 thief.one 做了链接的URL。
6. filetype：搜索指定类型的文件。例如输入filetype:cbi，将返回所有以 cbi 结尾的文件URL。
7. cache：搜索google里关于某些内容的缓存。
8. define：搜索某个词语的定义,搜索:define:hacker,将返回关于hacker的定义。
9. info：查找指定站点的一些基本信息。
   

查找后台

1. site：xxx.com intext:管理|后台|登陆|用户名|密码|系统|账号
2. site：xxx.com inurl:login/admin/manage/manager/admin_login/system
3. site：xxx.com intitle:管理|后台|登陆
   

上传漏洞

1. site:xxx.com inurl:file
2. site:xxx.com inurl:upload
   

注入页面

1. site:xxx.com inurl:php？id=
   

编辑器页面

1. site:xxx.com inurl:ewebeditor
   

Index of 语法

Index of /passwd
Index of /password
Index of /mail
“Index of /” +passwd
“Index of /” +password.txt
“Index of /” +.htaccess
“Index of /secret”
“Index of /confidential”
“Index of /root”
“Index of /cgi-bin”
“Index of /credit-card”
“Index of /logs”
“Index of /config”

inurl

1. 利用”allinurl:winnt/system32/”寻找受限目录”system32″，一旦具备 cmd.exe 执行权限，就可以控制远程的服务器。
2. 利用”allinurl:wwwboard/passwd.txt”搜寻易受攻击的服务器。
3. 利用”inurl:.bash_history”搜寻服务器的”.bash_history”文件。这个文件包括超级管理员的执行命令，甚至一些敏感信息，如管理员口令序列等。
4. 利用”inurl:config.txt”搜寻服务器的”config.txt”文件，这个文件包括管理员密码和数据认证签名的hash值。

inurl:admin filetype:txt
inurl:admin filetype:db
inurl:admin filetype:cfg
inurl:mysql filetype:cfg
inurl:passwd filetype:txt
inurl:iisadmin
allinurl:/scripts/cart32.exe
allinurl:/CuteNews/show_archives.php
allinurl:/phpinfo.php
allinurl:/privmsg.php
allinurl:/privmsg.php
inurl:auth_user_file.txt
inurl:orders.txt
inurl:”wwwroot/*.”
inurl:adpassword.txt
inurl:webeditor.php
inurl:file_upload.php
inurl:gov filetype:xls “restricted”
index of ftp +.mdb allinurl:/cgi-bin/ +mailto

intitle

1. 利用 intitle:”php shell*” “Enable stderr” filetype:php查找安装了php webshell后门的主机，并测试是否有能够直接在机器上执行命令的web shell。
2. 利用allintitle:”index of /admin”搜寻服务器的受限目录入口”admin”。
   

文件路径

phpmyadmin
include/config.inc.php
include/config.php
lib/config.php

/eWebEditor/upload.asp #eWebEditor上传页面
/editor/upload.asp #eWebEditor上传页面
/bbs/upfile.asp #动网论坛上传页面
/forum/upfile.asp #动网论坛上传页面
/dvbbs/upfile.asp #动网论坛上传页面
/upfile_soft.asp #动力管理系统上传页面
/upload.asp?action=upfile #乔客6.0上传页面
/upfile.asp #动网论坛上传页面
/bbs/down_addsoft.asp #动网论坛插件上传页面
/bbs/down_picupfile.asp #动网论坛插件上传页面
/down_picupload.asp #动网论坛插件上传页面
/admin/admin_upfile.asp #管理员后台上传页面
/admin/upfile.asp #管理员后台上传页面
/admin/upload.asp #管理员后台上传页面
/admin/uploadfaceok.asp #尘缘上传页面
/news/admin/upfile.asp #新闻管理上传页面
/admin_upfile.asp #飞龙文章管理系统 v2.0
/user_upfile.asp #飞龙文章管理系统 v2.0
/upload_flash.asp #秋叶购物商城上传页面
/Saveannounce_upload.asp #购物中心上传页面
/UploadFace.asp #沸腾展望新闻系统 v1.1
/bbs/diy.asp #Domian3.0默认木马
/UploadSoft/diy.asp #Domian3.0默认木马
/diy.asp #Domian3.0默认木马
/upload/upload.asp #某某文章管理系统
/mybbs/saveup.asp #MYBBS论坛上传页面
/dxxobbs/upload.asp #DxxoBBS论坛上传页面
/img_upfile.asp #任我飞扬驿站上传页面
/Upfile_SoftPic.asp #动力管理系统上传页面
/upfile_flash.asp #秋叶购物商城上传页面

database/PowerEasy4.mdb #动易网站管理系统4.03数据库
database/PowerEasy5.mdb
database/PowerEasy6.mdb
database/PowerEasy2005.mdb
database/PowerEasy2006.mdb
database/PE_Region.mdb
data/dvbbs7.mdb #动网论坛数据库
databackup/dvbbs7.mdb #动网论坛备份数据库
bbs/databackup/dvbbs7.mdb #动网论坛备份数据库
data/zm_marry.asp #动网sp2美化版数据库
databackup/dvbbs7.mdb
admin/data/qcdn_news.mdb #青创文章管理系统数据库
firend.mdb #交友中心数据库
database/newcloud6.mdb #新云管理系统6.0数据库
database/%23newasp.mdb #新云网站系统
blogdata/L-BLOG.mdb #L-BLOG v1.08数据库
blog/blogdata/L-BLOG.mdb #L-BLOG v1.08数据库
database/bbsxp.mdb #BBSXP论坛数据库
bbs/database/bbsxp.mdb #BBSXP论坛数据库
access/sf2.mdb #雪人论坛程序v2.0数据库
data/Leadbbs.mdb #LeadBBS论坛 v3.14数据库
bbs/Data/LeadBBS.mdb #LeadBBS论坛 v3.14数据库
bbs/access/sf2.mdb #雪人论坛程序v2.0数据库
fdnews.asp #六合专用BBS数据库
bbs/fdnews.asp #六合专用BBS数据库
admin/ydxzdate.asa #雨点下载系统 v2.0+sp1数据库
data/down.mdb #动感下载系统xp ver2.0数据库
data/db1.mdb #动感下载系统xp v1.3数据库
database/Database.mdb #轩溪下载系统 v3.1数据库
db/xzjddown.mdb #lhdownxp下载系统数据库
db/play.asp #娱乐先锋论坛 v3.0数据库
mdb.asp #惊云下载系统 v1.2数据库
admin/data/user.asp #惊云下载系统 v3.0数据库
data_jk/joekoe_data.asp #乔客6.0数据库
data/news3000.asp #沸腾展望新闻系统 v1.1数据库
data/appoen.mdb #惠信新闻系统4.0数据库
data/12912.asp #飞龙文章管理系统 v2.1数据库
database.asp #动感极品下载管理系统 v3.5
download.mdb #华仔软件下载管理系统 v2.3
dxxobbs/mdb/dxxobbs.mdb #dxxobbs论坛数据库
db/6k.asp #6kbbs 用户名:admin 密码:6kadmin
database/snowboy.mdb #雪孩论坛 默认后台admin/admin_index.asp
database/%23mmdata.mdb #依爽社区
editor/db/ewebeditor.mdbeWebEditor/db/ewebeditor.mdb

admin
admin_index
admin_admin
index_admin
admin/index
admin/default
admin/manage
admin/login
manage_index
index_manage
superadmin
说明.txt
manager/login
manager/login.asp
manager/admin.asp
login/admin/admin.asp
houtai/admin.asp
guanli/admin.asp
denglu/admin.asp
admin_login/admin.asp
admin_login/login.asp
admin/manage/admin.asp
admin/manage/login.asp
admin/default/admin.asp
admin/default/login.asp
member/admin.asp
member/login.asp
administrator/admin.asp
administrator/login.asp

JS信息收集

手工搜索关键字：

src=
path=
method:"get"
method:"post"
http.get("
http.post("
$.ajax
http://server.httpget
http://server.httppost

Burp

自带：Target-Site map-Engagement tools-Find script
插件：JS Link Finder、JS Miner
三方插件：HaE(config)、Unexpected_information

工具

1. JSFinder
2. URLFinder
3. JSINFO-SCAN
4. FindSomething
5. Packer Fuzzer
6. Fuzz Faster U Fool
   1. Assetnote Wordlists

常用端口

端口	服务	渗透用途
tcp 20,21	FTP	允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22	SSH	可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等
tcp 23	Telnet	爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25	SMTP	邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53	DNS	允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
tcp/udp 69	TFTP	尝试下载目标及其的各类重要配置文件
tcp 80-89,443,8440-8450,8080-8089	各种常用的Web服务端口	可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……
tcp 110	POP3	可尝试爆破,嗅探
tcp 111,2049	NFS	权限配置不当
tcp 137,139,445	Samba	可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143	IMAP	可尝试爆破
udp 161	SNMP	爆破默认团队字符串,搜集目标内网信息
tcp 389	LDAP	ldap注入,允许匿名访问,弱口令
tcp 512,513,514	Linux rexec	可爆破,rlogin登陆
tcp 873	Rsync	匿名访问,文件上传
tcp 1194	OpenVPN	想办法钓VPN账号,进内网
tcp 1352	Lotus	弱口令,信息泄漏,爆破
tcp 1433	SQL Server	注入,提权,sa弱口令,爆破
tcp 1521	Oracle	tns爆破,注入,弹shell…
tcp 1500	ISPmanager	弱口令
tcp 1723	PPTP	爆破,想办法钓VPN账号,进内网
tcp 2082,2083	cPanel	弱口令
tcp 2181	ZooKeeper	未授权访问
tcp 2601,2604	Zebra	默认密码zerbra
tcp 3128	Squid	弱口令
tcp 3312,3311	kangle	弱口令
tcp 3306	MySQL	注入,提权,爆破
tcp 3389	Windows rdp	shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690	SVN	svn泄露,未授权访问
tcp 4848	GlassFish	弱口令
tcp 5000	Sybase/DB2	爆破,注入
tcp 5432	PostgreSQL	爆破,注入,弱口令
tcp 5900,5901,5902	VNC	弱口令爆破
tcp 5984	CouchDB	未授权导致的任意指令执行
tcp 6379	Redis	可尝试未授权访问,弱口令爆破
tcp 7001,7002	WebLogic	Java反序列化,弱口令
tcp 7778	Kloxo	主机面板登录
tcp 8000	Ajenti	弱口令
tcp 8009	tomcat Ajp	Tomcat-Ajp协议漏洞
tcp 8443	Plesk	弱口令
tcp 8069	Zabbix	远程执行,SQL注入
tcp 8080-8089	Jenkins,JBoss	反序列化,控制台弱口令
tcp 9080-9081,9090	WebSphere	Java反序列化/弱口令
tcp 9200,9300	ElasticSearch	远程执行
tcp 11211	Memcached	未授权访问
tcp 27017,27018	MongoDB	爆破,未授权访问
tcp 50070,50030	Hadoop	默认端口未授权访问

WAF识别

1. WAFW00F
2. identYwaf

蜜罐识别

1. Heimdallr
2. Quake Command-Line Application

蜜罐	Quake系统搜索语法
STRUTSHONEYPOT	app:“StrutsHoneypot”
CONPOT HTTP 蜜罐	app:“Conpot Http 蜜罐”
CONPOT MODBUS 蜜罐	app:“Conpot modbus 蜜罐”
CONPOT S7 蜜罐	app:“Conpot s7 蜜罐”
KIPPO 蜜罐	app:“kippo 蜜罐”
HONEYPY HTTP 蜜罐	app:“Honeypy Http 蜜罐”
HONEYPY ES蜜罐	app:“Honeypy ES蜜罐”
AMUN IMAP 蜜罐	app:“amun imap 蜜罐”
AMUN HTTP蜜罐	app:“amun http蜜罐”
NEPENTHES NETBIOS蜜罐	app:“Nepenthes netbios蜜罐”
NEPENTHES FTP 蜜罐	app:“Nepenthes FTP 蜜罐”
SSHESAME SSH 蜜罐	app:“sshesame ssh 蜜罐”
OPENCANARY蜜罐管理后台	app:“opencanary蜜罐管理后台”
DIONAEA SIPD 蜜罐	app:“Dionaea sipd 蜜罐”
DIONAEA SMBD 蜜罐	app:“Dionaea smbd 蜜罐”
DIONAEA HTTP 蜜罐	app:“Dionaea Http 蜜罐”
DIONAEA MSSQL 蜜罐	app:“Dionaea MSSQL 蜜罐”
DIONAEA FTP 蜜罐	app:“Dionaea ftp 蜜罐”
DIONAEA MEMCACHED 蜜罐	app:“Dionaea Memcached 蜜罐”
KOJONEY SSH 蜜罐	app:“Kojoney SSH 蜜罐”
WEBLOGIC蜜罐	app:“weblogic蜜罐”
MYSQL蜜罐	app:“MySQL蜜罐”
HFISH蜜罐	app:“HFish蜜罐”
HFISH蜜罐管理后台	app:“HFish蜜罐管理后台”
HONEYTHING物联网蜜罐	app:“honeything物联网蜜罐”
ELASTICSEARCH蜜罐	app:“elasticsearch蜜罐”
HOSTUS蜜罐	app:“HostUS蜜罐”
WHOISSCANME蜜罐	app:“whoisscanme蜜罐”
未知蜜罐	app:“未知蜜罐”
COWRIE TELNETD蜜罐	app:“Cowrie telnetd蜜罐”
GLASTOPF蜜罐	app:“glastopf蜜罐”

CDN识别

1. 子域名
2. 邮件系统
   1. RSS订阅
   2. 邮箱注册、激活处
   3. 邮箱找回密码处
   4. 产品更新的邮件推送
   5. 某业务执行后发送的邮件通知
3. 国外访问
   1. 超级Ping
   2. 超级Ping
   3. 国外请求
   4. 国外请求
4. 证书查询
5. APP抓包
6. 网络空间
7. 通过漏洞或泄露获取
8. 扫全网
   1. 全网扫描
   2. 全网扫描
   3. 全网扫描
9. 以量打量
10. 第三方接口查询
11. 接口查询
12. 接口查询
13. IP库
14. IP社区库

框架识别

1. python
   1. 空间测绘
   2. Wappalyzer
   3. Django——Set-Cookie:expires=
   4. Flask——Set-Cookie:expires=
2. PHP
   1. 空间测绘
   2. Wappalyzer
   3. ThinkPHP——X-Powered-By: ThinkPHP
   4. Laravel——Set-Cookie
   5. Yii——Set-Cookie
3. Java
   1. Fastjson/Jackson
      1. 在提交JSON数据包中修改测试：
         1. -Fastjson组件会把01解析成1
         2. -Jackson组件在解析01时会抛出异常
   2. Shiro
      1. 请求包的cookie中存在rememberMe字段。
      2. 返回包中存在set-Cookie：remeberMe=deleteMe。
      3. 请求包中存在rememberMe=x时，响应包中存在rememberMe=deleteMe。
      4. 有时候服务器不会主动返回remeberMe=deleteMe，直接发包即可，将Cookie内容改为remember Me=1，若相应包有rememberMe=deleteMe，则基本可以确定网站apache shiro搭建的。
   3. Struts2
      1. 一般使用struts2框架后缀带do或action，可以尝试进行利用
   4. Springboot
      1. 通过web应用程序网页标签的小绿叶图标
      2. 通过springboot框架默认报错页面
   5. Solr
      1. 一般开放8983端口,访问页面也可以探针到

APP

资产查询

1. 小蓝本
2. 爱企查
3. 七麦
4. 点点
   

资产收集

1. 抓包-动态分析
2. 提取-静态分析
   1. 摸瓜
   2. 南明离火
   3. AppInfoScanner
   4. Mobile Security Framework (MobSF)
3. 提取-动态调试
   1. MobSF+模拟器
4. 搜索-静态分析

小程序

平台

1. 微信
2. 百度
3. 支付宝
4. 抖音
5. 头条
   

结构

主体结构

文件	必需	作用
app.js	是	小程序逻辑
app.json	是	小程序公共配置
app.wxss	否	小程序公共样式表

页面

xxx.js	页面逻辑
xxx.json	页面配置
xxx.wxml	页面结构
xxx.wxss	页面样式

目录结构

pages	页面文件夹
index	首页
logs	日志
utils
util	工具类(mina框架自动生成,你也可以建立一个：api)
app.js	入口js(类似于java类中的main方法)、全局js
app.json	全局配置文件
app.wxss	全局样式文件
project.config.json	跟你在详情中勾选的配置一样
sitemap.json	用来配置小程序及其页面是否允许被微信索引

抓包

Proxifier&BurpSuite联动

1. 对抓到的IP或域名进行Web安全测试
2. 对抓到的IP或域名进行API安全测试
3. 对抓到的IP或域名进行端口服务测试
   

逆向

1. 微信小程序反编译
2. 小程序多功能助手
   1. 微信开发者工具

自动化项目

1. 工具集合——All-Defense-Tool
2. 武器库——f8x
3. 空间测绘——AsamF
4. 企业信息——ENScan Go
5. 综合架构——ARL 资产侦察灯塔系统
6. 信息收集——Nemo