第一章 渗透测试之信息收集

1.1 收集域名信息

1.1.1 Whois查询

• https://whois.aizhan.com 爱站工具网
• https://whois.chinaz.com 站长之家
• https://www.virustotal.com VirusTotal
• kali下的whois查询
• 可以查询域名服务商、域名拥有者、邮箱、电话、地址等

1.1.2 备案信息查询

• http://www.beianbeian.com ICP备案查询网
• http://www.tianyancha.com 天眼查

1.2 收集敏感信息

​ Google hack 语法 试着搜集数据库文件、SQL注入、配置信息、源码泄露、未授权访问和robots.txt等敏感信息

​ 百度、雅虎、必应、shodan等同理 shodan好像很方便的样子

​ 在Github上可以寻找目标的相关敏感信息，如数据库连接信息、邮箱密码、uc-key、阿里的osskey、泄露源码

​ 乌云漏洞表查寻历史漏洞信息

​ https://wooyun.shuimugan.com

1.3 收集子域名信息

1、子域名检测工具

• Layer子域名挖掘机
• Sublist3r 能枚举多种资源
• subDomainsBtute 可以用小字典递归发现多级域名
• K8
• wydomain
• dnsmaper
• Maltego CE

2、搜索引擎枚举

​ 谷歌语法 site:baidu.com 搜索百度旗下的子域名

3、第三方聚合应用枚举

• DNSdumpster网站 https://dnsdumpster.com/
• 在线DNS反查
• 搜索的工具

4、证书透明度公开日志枚举

​ 证书中常含有域名、子域名、电子邮箱

• https://crt.sh crt.sh
• https://censys.io censys
• https://phpinfo.me/domain 子域名爆破网站
• http://dnsaizhan.com IP反查绑定域名网站

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oxuyAs3z-1614998298985)(C:\Users\MR.QIU\AppData\Roaming\Typora\typora-user-images\image-20210305103605727.png)]

1.4 收集常用端口信息

• Nmap
• Masscan （无状态端口扫描工具）
• ZMap
• 御剑高速TCP端口扫描工具

常用端口信息

1.1 文件共享服务端口
端口号 端口说明 攻击方向
21/22/69 Ftp/Tftp 文件传输协议 允许匿名的上传、下载、爆破和嗅探操作
2049 Nfs服务 配置不当
139 Samba服务 爆破、未授权访问、远程代码执行
389 Ldap目录访问协议 注入、允许匿名访问、弱口令

1.2 远程连接服务端口
端口号 端口说明 攻击方向
22 SSH远程连接 爆破、SSH隧道及内网代理转发、文件传输
23 Telnet远程连接 爆破、嗅探、弱口令
3389 Rdp远程桌面连接 Shift 后门(需要Windows Server 2030 以下的系统)、爆破
5900 VNC 弱口令爆破
5632 PyAnywhere服务 抓密码、代码执行

1.3 Web应用服务端口
端口号 端口说明 攻击方向
80/443/8080 常见的Web服务端口 Web攻击、爆破、对应服务器版本漏洞
7001/7002 WebLogic控制台 Java反序列化、控制台弱口令
8080/8089 Jboss/Resin/Jetty/Jenkins 反序列化、控制台弱口令
9090 WebSphere控制台 Java反序列化、弱口令
4848 GlassFish控制台 弱口令
1352 Lotus domino邮件服务 弱口令、信息泄露、爆破
10000 Webmin-Web控制面板 弱口令

1.4 数据库服务端口
端口号 端口说明 攻击方向
3306 MySQL 注入、提权、爆破
1433 MSSQL数据库 注入、提权、SA弱口令、爆破
1521 Oracle数据库 TNS爆破、注入、反弹Shell
5432 PostgreSQL数据库 爆破、注入、弱口令
27017/27018 MongoDB 爆破、未授权访问
6379 Redis数据库 可尝试未授权访问、弱口令爆破
5000 SysBase/DB2数据库 爆破、注入

1.5 邮件服务端口
端口号 端口说明 攻击方向
25 SMTP邮件服务 邮件伪造
110 POP3协议 爆破、嗅探
143 IMAP协议 爆破

1.6 网络常见协议端口
端口号 端口说明 攻击方向
53 DNS域名系统 允许区域传送、DNS劫持、缓存投毒、欺骗
67/68 DHCP服务 劫持、欺骗
161 SNMP协议 爆破、搜集目标内网信息

1.7 特殊服务端口
端口号 端口说明 攻击方向
2181 Zookeeper服务 未授权访问
8069 Zabbix服务 远程执行、SQL注入
9200/9300 Elasticsearch服务 远程执行
11211 Memcache服务 未授权访问
512/513/514 Linux Rexec服务 爆破、Rlogin登录
873 Rsync服务 匿名访问、文件上传
3690 Svn服务 Svn泄露、未授权访问
50000 SAP Management Console 远程执行

1.5 指纹识别

网站cms指纹识别、计算机操作系统及Web容器的指纹识别等

如robots.txt中包含wp-admin、首页index.php中包含generator=wordpress 3.xx 这就是这个cms的指纹，当其他网站也存在此特征时，就可以快速识别出该CMS

常见的CMS

• dedecms （织梦）
• discuz
• PHPWEB
• PHPWind
• PHPCMS
• ECShop
• Dvbbs
• SiteWeaver
• ASPCMS
• 帝国
• Z-Blog
• Wordpess
• YzmCMS

代表工具，可快速识别主流CMS

• 御剑web指纹识别
• WhatWeb
• WebRobo
• 椰树
• 轻量WEB指纹识别

CMS在线指纹识别

• http://whatweb.bugscanner.com/look/
• http://www.yunsee.cn/finger.html
• https://whatweb.net/ （疑似挂掉）

1.6 查找真实IP

​ 使用www.ip138.com获取目标的IP及域名

1、目标服务器存在CDN

​ CDN即内容分发网络，CDN服务可以在客户端附近节点的创建目标服务器 可能你得到的不是真实IP段

2、判断目标是否使用了CDN

​ 使用命令行窗口ping目标主域 查询归属地判断

• https://www.17ce.com 在线网站17CE

3、绕过CDN寻找真实IP

• 内容邮箱源 查看邮件头中的邮件服务器IP ping就可以得到真实IP（目标的邮箱服务器）
• 扫描网站测试文件 phpinfo、test
• 分站域名 ping二级域名获得分站IP 和主站不是同一个IP但在同一个C段可以判断目标真实IP段
• 国外访问
• https://asm.ca.com/en/ping.php 国外代理网站App Synthetic Monitor
• 查询域名解析记录 https://www.netcraft.com/ 观察IP历史记录分析
• 使用fiddle或burp抓取app请求 得到IP
• 绕过cloud flare CDN查找真实IP http://www.crimeflare.us/cfs.html#box 查询真实IP

4、验证获取的IP

使用IP访问查看响应的页面是否相同 在目标端比较大的情况下用masscan等工具批扫描对应IP段中开了80、443、8080端口的IP，逐个访问

一般 1-1024常见端口 1024+为临时端口

1.7 收集敏感文件目录

• DirBuster
• 御剑后台扫描珍藏版
• wwwscan
• Spinder.py（轻量级快速单文件目录后台扫描）
• Sensitivefilescan（轻量级快速单文件目录后台扫描）
• Weakfilescan（轻量级快速单文件目录后台扫描）
• http://www.webscan.cc/ 在线工具站

1.8 社会工程学

• 个人技巧
• 社工库