渗透之信息收集
信息收集主要是收集服务器的配置信息和网站的敏感信息,主要包括域名信息、子域名信息、目标网站信息、目标网站真实IP、目录文件、开放端口和服务、中间件信息、脚本语言等等等
当你拿到一个目标站,就是要去做的是如下:whois查询,子域名爆破,C段/旁站、Web指纹收集、端口扫描等等。
whois 可获取如下信息
子域名扫描
OneForAll,Layer子域名扫描,
Sublist3r(列举多资源下查到的域名)和`。(递归查询多级域名)
fofa domain
cert=“d.com”
语法解读
获取所有证书为【d.com】的域名,IP资源
以及一些在线的网站比如:
https://securitytrails.com/cgn
https://dnsdumpster.com/
搜索引擎:可以利用Google、Bing 、shodan和百度这样的搜索引擎进行搜索查询(site:www.xxx.com)
第三方服务聚合了大量的DNS数据集,并通过它们来检索给定域名的子域名
(1)VirusTotal:https://www.virustotal.com/#/home/search
(2)DNSdumpster:https://dnsdumpster.com/
SSL证书查询
SSL/TLS证书通常包含域名、子域名和邮件地址,这些是我们需要获取的信息,通常CT是CA的一个项目,CA会把每个SSL/TLS证书发布到公共日志中,查找域名所属证书的最简单方法就是使用搜索引擎搜索一些公开CT日志。
主要网站如下:
(1)https://crt.sh/
(2)https://censys.io/
(3)https://developers.facebook.com/tools/ct/
(4)https://google.com/transparencyreport/https/ct/
在线网站查询:
http://dns.aizhan.com
http://z.zcjun.com/
Github搜索子域名
c段
1、C段/旁站在线扫描网站:
https://webscan.cc/
2、脚本:
基于Bing搜索引擎的C段/旁站查询,多线程,支持API
https://github.com/Xyntax/BingC.git
3、工具:
7kbscan
资产收集
1搜狗查询微信公众号关注后会有某些功能点存在漏洞
2通过七麦数据在线网站查找目标APP查询开发商,得到目标所有APP应用
3通过App Store反查开发者来查找app资产
网站指纹识别
云悉指纹:http://www.yunsee.cn/finger.html
BugScaner:http://whatweb.bugscaner.com/look/
整站分析
服务器类型:windows,linux
网站容器:apache,nginx,tomcat,iis
脚本类型:php,jsp,asp,aspx
数据库类型:MySQL oracle,access
企业架构
1、天眼查
2、企查查
3、爱企查
4、企信宝
还有必不可少的FOFA和shodan、钟馗之眼
https://fofa.so/
https://www.shodan.io/
http://www.zoomeye.org/
可以快速找到目标弱点资产
敏感信息收集
github 源 代 码 信 息 泄 露 收集
svn 信息泄漏收集(svn_git_scanner,seekret(目录信息搜索),SeaySVN 漏洞利用工具)
DS_Store 泄露(ds_store_exp)。
批量信息泄露扫描:bbscan(可以用小字典快速扫描网站的泄露和它的旁站网段的所有信息泄露)。
网盘泄露资料
公司员工可能把一些内部资料放在了公网网盘,然后被在线云网盘搜索的网站抓取了,我们就可以利用这个来对目标系统进行深入交流。
蓝菊花:http://www.lanjuhua.com/
大力盘:https://www.dalipan.com/
猪猪盘:http://www.zhuzhupan.com/
PanSou:http://www.pansou.com/
盘飞飞:https://panfeifei.com/
凌风云搜索:https://www.lingfengyun.com/
小不点搜索(微盘):https://www.xiaoso.net/
小白盘搜索:https://www.xiaobaipan.com/
敏感文件目录
目录扫描脚本:DirBuster,dirmap等
Email 收集
通过 metago,awvs,netspker 或者 google 语法收集。收集对方的邮箱账号命名习惯(因为好多官方后台都是用内部邮箱账号登录的)。
用途:
可用来进行爆破或者弱口令登录以及撞裤攻击
ip段信息收集(开放端口探测)
通过对 C 段或者 B 段进行 IP 常用的端口进行爆破扫描,最后整理出能正常访问的端 口。 根据开放端口判断是否存在常见漏洞
爬虫收集
Sn1per(自动化信息收集框架)。
通过 avws,netpsker,burpsuit 可进行爬虫扫描。
Recon-ng(自动化信息收集框架)。
instarecon 自动化信息爬虫收集。
源码泄露
常见源码泄露
/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store MacOS自动生成
/.hg/
/.svn/(/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml
Robots.txt
资产收集武器库
1、ARL资产侦察灯塔系统:
https://github.com/TophantTechnology/ARL
2、LangSrcCurise资产监控系统:
https://github.com/LangziFun/LangSrcCurise
LangSrcCurise资产监控系统是一套通过网络搜索引擎监控其下指定域名,并且能进行持续性信息收集整理的自动化资产监控管理系统,基于Django开发
3、hawkeye
https://github.com/0xbug/Hawkeye,有基于docker搭建的
4、Dirsearch
是一个成熟的命令行工具,主要用于探测WEB服务器下的敏感文件/目录。
https://github.com/maurosoria/dirsearch
5、JSfinder
https://github.com/Threezh1/JSFinder
JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。
6、 Linkfinder
Linkfinder基于python,是一款用于发现JavaScript脚本中链接以及敏感参数的工具
https://github.com/GerbenJavado/LinkFinder
python3 linkfinder.py -i http://www.baidu.com -d
-i:指定url,或者js文件地址
-d:如果只指定域名,则配合-d参数自动枚举js文件
7、httpx
https://github.com/projectdiscovery/httpx
简介:httpx可以用于批量检测域名存活性,并且可以根据规则获取响应title,ip地址,响应状态码等
httpx -l 域名列表txt -title -content-length -status-code
8、MarkInfo
https://github.com/UUUUnotfound/BurpSuite-Extender-MarkInfo
一款用于Burp标记敏感信息的插件工具
思路扩展
思路扩展就是在a功能点中找出b功能点,以此类推。
比如一些后台登录是http://xxx.xxx.xxx/admin-login,我们是不是可以尝试把login改成register来注册。
再比如获取用户手机号的接口(这里不存在越权)http://xxx.xxx.xxx/user/GetPhone/?id=1,然后我们把GetPhone改成GetPasswd或者GetPwd或者GetPassword,然后id就可能可以越权,或者这里可以json劫持或者origin劫持等,我们可以诱导用户点开来劫持账号密码。
或者还是看源代码,然后搜索hidden(滑稽),我们可能可能会找到敏感操作的按钮,然后管理员也知道敏感,将其”隐藏”了,我们可以根据这个来搜索然后访问他,嘿嘿
信息收集ip、端口、域名、url、子域名、目录探测!
还有waf、脚本语言、中间件、组件,数据库
1474
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
