渗透测试信息收集总结

目录

信息收集

一、搜索引擎的使用

1，Fofa的使用

2，Fofa语法(类似的还要Shodan,钟馗之眼)

3，Google语法的使用

二、域名信息收集

1，站长之家：域名Whois查询 - 站长之家

2，域名挖掘机:对输入的域名进行爆破解析，返回结果。

3，利用DNS域传送漏洞发现子域名

4，证书透明性信息发现子域名

三、站点信息收集

1，CMS识别:火狐Chrome插件Wappalyzer

2，Kali工具 whatweb

四、端口收集

2，nmap使用：

五、站点后台目录扫描

1，目录爆破工具dirsearch的使用:

六、旁站收集

七、漏洞扫描

总结

---

信息收集

信息收集指对某个目标渗透前通过各种方式获取渗透目标的各种信息，以便让渗透过程更好的进行，比如说，目标的端口开放，目标的IP，目标的某些CMS，中间件，服务器的信息等等各种可利用的信息。

---

提示：以下是本篇文章正文内容，下面案例可供参考

一、搜索引擎的使用

1，Fofa的使用

介绍：FOFA是一款非常强大的搜索引擎，FOFA（网络空间资产检索系统）是世界上数据覆盖更完整的IT设备搜索引擎，拥有全球联网IT设备更全的DNA信息。探索全球互联网的资产信息，进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。相对于shodan来说FOFA的优点就是更加本土化，拥有更多的域名数据，建立了全球最大的资产规则集，而且现在已经更新了识别蜜罐的功能。

2，Fofa语法(类似的还要Shodan,钟馗之眼)

1，ip="x.x.x.x/x" 进行ip和段网络的收集，例如对 120.79.29.1/24的C段网络进行信息收集

2， title="z"&& header="x" && body="y" && host=".gov.cn" 对标题，http头部以及正文，url进行信息收集，

3，os="x" ，server="y"，port="z" ，对系统，服务器类型，端口进行收集

 具体语法：

title="beijing"
从标题中搜索“北京”

header="elastic"
从http头中搜索“elastic”

body="网络空间测绘"
从html正文中搜索“网络空间测绘”

fid="sSXXGNUO2FefBTcCLIT/2Q=="
查找相同的网站指纹
搜索网站类型资产
domain="qq.com"
搜索根域名带有qq.com的网站。

icp="京ICP证030173号"
查找备案号为“京ICP证030173号”的网站

js_name="js/jquery.js"
查找网站正文中包含js/jquery.js的资产

js_md5="82ac3f14327a8b7ba49baa208d4eaa15"
查找js源码与之匹配的资产

cname="ap21.inst.siteforce.com"
查找cname为"ap21.inst.siteforce.com"的网站

cname_domain="siteforce.com"
查找cname包含“siteforce.com”的网站

icon_hash="-247388890"
搜索使用此 icon 的资产

host=".gov.cn"
从url中搜索”.gov.cn”


port="6379"
查找对应“6379”端口的资产

ip="1.1.1.1"
从ip中搜索包含“1.1.1.1”的网站

ip="220.181.111.1/24"
查询IP为“220.181.111.1”的C网段资产

status_code="402"
查询服务器状态为“402”的资产

protocol="quic"
查询quic协议资产
搜索指定协议类型(在开启端口扫描的情况下有效)

country="CN"
搜索指定国家(编码)的资产。

region="Xinjiang"
搜索指定行政区的资产。

city="Ürümqi"
搜索指定城市的资产。

cert="baidu"
搜索证书(https或者imaps等)中带有baidu的资产。

cert.subject="Oracle Corporation"
搜索证书持有者是Oracle Corporation的资产

cert.issuer="DigiCert"
搜索证书颁发者为DigiCert Inc的资产

cert.is_valid=true
验证证书是否有效，true有效，false无效

jarm="2ad...83e81"
搜索JARM指纹

banner="users" && protocol="ftp"
搜索FTP协议中带有users文本的资产。

type="service"
搜索所有协议资产，支持subdomain和service两种

os="centos"
搜索CentOS资产。

server=="Microsoft-IIS/10"
搜索IIS 10服务器。

app="Microsoft-Exchange"
搜索Microsoft-Exchange设备

after="2017" && before="2017-10-01"
时间范围段搜索

asn="19551"
搜索指定asn的资产。

org="LLC Baxet"
搜索指定org(组织)的资产。

base_protocol="udp"
搜索指定udp协议的资产。

is_fraud=false
排除仿冒/欺诈数据

is_honeypot=false
排除蜜罐数据

is_ipv6=true
搜索ipv6的资产,只接受true和false。
is_domain=true
搜索域名的资产,只接受true和false。

port_size="6"
查询开放端口数量等于"6"的资产

port_size_gt="6"
查询开放端口数量大于"6"的资产

port_size_lt="12"
查询开放端口数量小于"12"的资产

ip_ports="80,161"
搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)

ip_country="CN"
搜索中国的ip资产(以ip为单位的资产数据)。

ip_region="Zhejiang"
搜索指定行政区的ip资产(以ip为单位的资产数据)。

ip_city="Hangzhou"
搜索指定城市的ip资产(以ip为单位的资产数据)。

ip_after="2021-03-18"
搜索2021-03-18以后的ip资产(以ip为单位的资产数据)。

ip_before="2019-09-09"
搜索2019-09-09以前的ip资产(以ip为单位的资产数据)。

3，Google语法的使用

1，site:搜索指定域名  intitle：搜索标题的关键字，inurl：url网址的内容，intext：网页中正文的内容

具体语法:

        

备注：使用谷歌国内可以利用iGuge插件进行专线进行Google搜索


1，*通配符

2，allintitle:搜索返回的是页面标题中包含多组关键词的文件

3，filetype：用于搜索特定文件格式

4，site:用来搜索某个域名

5，related:返回与某个网站有关联的页面

6，inanchor:指令返回的结果是导入链接锚文字中包含搜索词的页面

7，intitle：搜索标题的关键字

8，inurl：url网址的内容

9，intext：网页中正文的内容

二、域名信息收集

1，站长之家：域名Whois查询 - 站长之家

2，域名挖掘机:对输入的域名进行爆破解析，返回结果。

 链接：https://pan.baidu.com/s/11GhFfOGTlI9_D73koV1v_A?pwd=5214 
提取码：5214 

3，利用DNS域传送漏洞发现子域名

DNS服务器从功能上分为主DNS服务器，从DNS服务器，缓存DNS服务器，转发DNS服务器。

DNS区域是指主，从DNS服务器的数据同步机制，当主DNS服务器出现故障或负载太大，从DNS服务器会处理DNS请求，从主服务区复制数据(只读)，但是很多DNS服务器由于错误配置导致任意的DNS区域传送都会进行数据库同步，区域数据库的信息被别人非正常获取。

例子：

        使用linux系统的dig命令对目标发送一个ns类的解析请求判断其DNS服务器

        使用dig axfr @dnf 域名 命令对目标发起axfr请求，获取域类所有域名

4，证书透明性信息发现子域名

证书透明性目标是让域拥有者，CA和域用户对SSL证书的存在和发行进行审查，纠正基于证书的威胁。CA证书中包含了域名，子域名，邮箱等敏感信息，存在一定安全风险。

三、站点信息收集

1，CMS识别:火狐Chrome插件Wappalyzer

(某些未隐藏或修改的服务器等可以通过网络响应包辨别，或者通过访问一些特定的URL识别某些CMS，如帝国CMS中robots.txt)

2，Kali工具 whatweb

 

四、端口收集

1,很多网站都会开启CDN加速，导致查询到的IP不是真实的IP，要判断网站是否开启CDN，可以通过站长工具多个地点ping服务器-网站测速-站长工具对网站进行PING，查看不同地方返回的PING结果是否一致，不一致则可能开启了CDN。例如：

对域名www.baidu.com返回的结果:

要绕过CDN，查询到真实的IP，有以下方法：
（1）进入网站，查看网站是否存在向你发送邮件验证的功能，通过邮箱服务器的源ip找真实的ip，是比较可靠的方法。

（2）通过域名挖掘，找到二级域名，CDN不算便宜，一般不会所以二级域名都做CDN处理

（3）条件允许，使用国外主机解析域名，一般CDN不会覆盖到国外主机，因为国外线路少，可以获取真实的IP。

（4）通过zmap爆破全网查找真实IP，https://github.com/zmap/zmap

  (4) DNS缓存查询，通过查看DNS缓存，查看是否存在使用CDN前的IP和域名绑定的历史记录， 

微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区，DNSDB​​​​​

  (5) 全网扫描，假如CDN与原始服务器支持SSL并通过证书进行加密，通过扫描全网的443端口尝试获取证数是否暴露，从而通过证数获取真实的IP。或者通过扫描全网开放特定端口的IP，对页面的源代码与目标的源代码进行比较，匹配则可能是目标网站真实IP，可利用fofa等工具，无论是工作量还是难度都不大可能。

2，nmap使用：

        nmap常用语法：
                               

-T             时序选择，T1，T2等
-A             全面系统检测，脚本检测，扫描等
-sP            Ping扫描
-p0            无ping扫描
-Pn            无ping扫描
-PS            TCP SYN Ping扫描
-PA            TCP ACK Ping扫描
-PU            UDP Ping扫描
-PR            ARP ping扫描
-sL            列表扫描
-traceroute    路由跟踪
-p             指定端口扫描
-sS            TCP SYN扫描
-sT            TCP 连接扫描
-sU            UDP扫描
-sN            隐蔽扫描即NULL扫描，不标记任何数据包
-sA            TCP ACK扫描
-sO            空闲扫描即欺骗扫描，不使用自己的IP发送数据包。
-sF            FIN扫描，FIN对拦截TCP的防火墙有不错的效果
-sV            版本探测
-sA            通常用来穿过防火墙规则集
--version-trace    获取详细版本信息
--allports     全端口探测，一般默认只探测一些常端口
-O             操作系统探测
--script=vuln           检测目标是否有常见漏洞
--script=brute            暴力破解
--script=dos              拒绝服务攻击
--script=exploit        利用已知漏洞入侵
--script=discovery      对网络进行更多信息的查询

常见的端口:

21 FTP 主要看是否支持匿名，也可跑弱口令

22 SSH 弱口令爆破

23 telnet 弱口令爆破

25 SMTP 枚举邮箱用户，邮件伪造

80-90 WEB 常见WEB漏洞和CMS漏洞

143 IMAP  暴力破解

161 snmp 弱口令，暴力破解

389 ldap  Ldap注入，匿名访问，弱口令

443 openssl 一些WEB漏洞测试

445 smb 弱口令爆破，检测是否有ms_08067等溢出

873 rsync 匿名访问，上传

1025/111/2049 NFS  权限配置不当

1099 java rmi 远程命令执行漏洞

1194 openVPN  VPN账号暴力破解

1433 mssql 弱口令爆破

1521 oracle 弱口令爆破

1723 PPTP 暴力破解1

2082/2083 cpanel主机管理系统登陆 弱口令爆破

2181 ZooKeeper 未授权访问

2222 DA虚拟主机管理系统登陆 弱口令爆破

2601,2604 zebra路由器 默认密码zebra

3128 squid代理默认端口 如果没设置口令很可能 就直接漫游内网

3306 mysql 弱口令爆破

3312/3311 kangle主机管理系统登陆 说明

3389 RDP 弱口令爆破，SHIFT后门，放大镜，输入法漏洞

3690 SVN服务区，SVN泄露，未授权访问

4440 rundeck web

4848 GlassFish web中间件 弱口令admin/adminadmin

5000 Sybase/DB2数据库 暴力破解 弱口令

5432 postgres 弱口令爆破

5560,7778 iSqlPlus

5900,5901,5902 vnc 弱口令爆破

5984 CouchDB 未授权访问

6082 varnish

6379 redis    未授权访问

7001,7002 weblogic 弱口令爆破

7778 Kloxo主机控制面板登录

8080 tomcat\jboss 弱口令爆破，jboss，tomcat等一系列漏洞


8069 Zabbin 远程执行，SQL注入

8080-8090 Jenkins,Jboss 反序列化，弱口令


8888 amh/LuManager 主机管理系统默认端口 说明

9000 fcgi fcgi php命令执行漏洞

9200 elasticsearch 代码执行

9043 websphere 弱口令爆破

10000 Virtualmin/Webmin 服务器虚拟主机管理系统

11211 memcache 内存泄露

27017,28017 mongodb 未授权访问

50000 Upnp SAP命令执行

50060,50030 hadoop WEB 未授权访问

五、站点后台目录扫描

1，目录爆破工具dirsearch的使用:

常用语法:

-u,--url                    目标url
-l,--url-list=FILE          目标url文件路径 
-e,--extensions             包含的文件拓展名
-X,--exclude-extensions     排除的文件扩展名
-w，--wordlists             自定义字典
-i CODES,                   保留的状态码
-x CODES,                   排除的响应状态码
-m,--http-method            HTTP的请求方法
-d,--data                   HTTP的请求数据
--minimal                   最小响应报文
--maximal                   最大响应报文
--exclude-regexps           正则表达式，排除某些响应
-H,-header                  请求头
--header-list=FILE          文件中设置请求头   
--cookie                    设置cookie
--user-agent                设置浏览器字段
--timeout                   连接超时时间
--ip=IP                     服务器的IP地址
--proxy=IP                  代理服务器地址
-t                          线程
--delay=DELAY               每次请求间隔时间
--cidr                       目标网段
--raw=FILE                  从文件中读取请求头
--schema                    选择策略，从文件中导入请求或不包含的协议

御剑也有相同的效果

六、旁站收集

1，http://s.tool.chinaz.com/same

2，http://www.webscan.cc/

3，还有前面说的谷歌语法:site等

七、漏洞扫描

Nessus的使用:功能比较强大，可以嵌入自定义脚本一起使用

AWVS扫描:链接：https://pan.baidu.com/s/1lgsT44PQz5UdLm64nM06TQ?pwd=5000 
提取码：5000 
 

Appscan使用:测试和评估Web服务和应用程序的风险检查，根据网站入口自动对网页链接进行安全扫描，扫描之后会提供扫描报告和修复建议等

链接：https://pan.baidu.com/s/10Yj6DlgBo2eJh6R2vtCq-g?pwd=4999 
提取码：4999 

---

 信息收集还能用到的工具:Goby扫描器，能够联合FOFA，SubDomain域名爆破等工具一起使用，同时能够辨别一些CMS和检测一些漏洞等。

总结

信息收集是渗透测试的必要工作，渗透有多成功，很大取决于收集到的信息有多大的用处。