一、收集域名信息
1、Whois查询
定义:标准的互联网协议,可用于搜集网络注册信息,注册的域名、IP地址等信息。(简单来说,Whois是一个用于查询域名是否已被注册以及注册域名的详细信息的数据库)
在线Whois查询的常用网站:爱站工具网(https://whois.aizhan.com)
站长之家(http://whois.chinaz.com)
VirusTotal(https://www.virustotal.com)
通过这些网站可以查到域名的相关信息,也可以通过邮箱、注册人查询相关信息。
2、备案信息查询
定义:网站备案是根据国家法律法规规定,需要网站的所有者向国家有关部门申请的备案,这是国家信息产业部队网站的一种管理,为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站,如果网站搭建在其他国家,则不需要进行备案。
常用的网站:ICP备案查询网:http://www.beianbeian.com
二、收集敏感信息
关键字 | 说明 |
Site | 指定域名 |
Inurl | URL中存在关键字的网页 |
Intext | 网页正文中的关键字 |
Filetype | 指定文件类型 |
Intitle | 网页标题中的关键字 |
link | link:baidu.com即表示返回所有和baidu.com做了链接的URL |
Info | 查找指定站点的一些基本信息 |
cache | 搜索Google里关于某些内容的缓存 |
利用Google搜索,可以轻松得到想要的信息,也可以用它来收集数据库文件、SQL注配置信息、源代码泄露、未授权访问和robots.txt等敏感信息。
还可以通过乌云漏洞表(https://wooyun.shuimugan.com)查询历史漏洞信息。
三、收集子域名信息
子域名:二级域名,指顶级域名下的域名。
1、子域名检测工具
用于子域名检测的工具主要有Layer子域名挖掘机、K8、wydomain、Sublist3r、dnsmaper、subDomainsBrute、Maltego CE等。
2、搜索引擎枚举
可以利用Google语法搜索子域名,例如要搜索百度旗下的子域名就可以使用"site:baidu.com"语法
2.1 加减字符的使用
+ 强制包含某个字符进行查询
- 查询的时候忽略某个字符
"" 查询的时候精确匹配双引号内的字符
. 匹配某单个字符进行查询
| 或者,多个选择,只要有一个关键字匹配上即可
例:比如我想搜索支付,出来了很多页面但不想出现充值关键词,就要利用如下:
+ 支付 - 充值
这个语句就是过滤掉所有包含支付但不包含充值的页面。
2.2 参数的使用(内容与上图相符,便于理解)
Intext参数:搜索带有所有关键词的内容页面
Intitle参数:搜索带有该关键词的标题的所有页面
Inurl参数:搜素包含关键词的URL内容
Site参数:搜索指定网站、域或者子域,将搜索范围缩小
FileType参数:搜索指定类型的文件(如Google搜索:filetype:txt)
3、第三方聚合应用枚举
很多第三方服务汇聚了大量DNS数据集,可通过他们检索某个给定域名的子域名。只需在其搜索栏中输入域名,就可检索到相关的域名信息;也可以利用DNSdumpster网站(http://dnsdumpster.com/)、在线DNS侦查和搜索的工具挖掘出指定域潜藏的大量子域。
4、证书透明度公开日志枚举(CT)
CT是证书授权机构(CA)的一个项目,证书授权机构会将每个SSL/TLS证书发布到工作日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
推荐使用crt.sh: https://crt.sh和censys:https://censys.io这两个网站,还可以利用一些在线网站查询子域名,如子域名爆破网站(https://phpinfo.me/domain),IP反查绑定域名网站(http://dns.aizhan.com)等。
四、收集常用端口信息
在端口渗透信息的收集过程中,需要关注常见应用的默认端口和在端口上运行的服务。常见的扫描工具为Nmap,无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具。
端口号 | 端口说明 | 攻击方向 |
21/22/69 | Ftp/Tftp文件传输协议 | 允许匿名的上传、下载、爆破和嗅探操作 |
2049 | Nfs服务 | 配置不当 |
139 | Samba服务 | 爆破、未授权访问、远程代码执行 |
389 | Ldap目录访问协议 | 注入、允许匿名访问、弱口令 |
端口号 | 端口说明 | 攻击方向 |
22 | SSH远程连接 | 爆破、SSH隧道及内网代理转发、文件传输 |
23 | Telnet远程连接 | 爆破、嗅探、弱口令 |
3389 | Rdp远程桌面连接 | Shift后门(需要Windows Server 2003以下的系统)、爆破 |
5900 | VNC | 弱口令爆破 |
5632 | PyAnywhere服务 | 抓密码、代码执行 |
端口号 | 端口说明 | 攻击方向 |
80/443/8080 | 常见的Web服务端口 | Web攻击、爆破、对应服务器版本漏洞 |
7001/7002 | WebLogic控制台 | Java反序列化、弱口令 |
8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 |
9090 | WebSphere控制台 | Java反序列化、弱口令 |
4848 | GlassFish控制台 | 弱口令 |
1352 | Lotus domino邮件服务 | 弱口令、信息泄露、爆破 |
10000 | Webmin-Web控制面板 | 弱口令 |
端口号 | 端口说明 | 攻击方向 |
3306 | MySQL | 注入、提权、爆破 |
1433 | MSSQL数据库 | 注入、提权、SA弱口令、爆破 |
1521 | Oracle数据库 | TNS爆破、注入、反弹Shell |
5432 | PostgreSQL数据库 | 爆破、注入、弱口令 |
27017/27018 | MongoDB | 爆破、未授权访问 |
6379 | Redis数据库 | 可尝试未授权访问、弱口令爆破 |
5000 | SysBase/DB2数据库 | 爆破、注入 |
端口号 | 端口说明 | 攻击方向 |
25 | SMTP邮件服务 | 邮件伪造 |
110 | POP3协议 | 爆破、嗅探 |
143 | IMAP协议 | 爆破 |
端口号 | 端口说明 | 攻击方向 |
53 | DNS域名系统 | 允许区域传送、DNS劫持、缓存投毒、欺骗 |
67/68 | DHCP服务 | 劫持、欺骗 |
161 | SNMP协议 | 爆破、搜集目标内网信息 |
端口号 | 端口说明 | 攻击方向 |
2181 | Zookeeper服务 | 未授权访问 |
8069 | Zabbix服务 | 远程执行、SQL注入 |
9200/9300 | Elasticsearch服务 | 远程执行 |
11211 | Memcache服务 | 未授权访问 |
512/513/514 | Linux Rexec服务 | 爆破、Rlogin登录 |
873 | Rsync服务 | 匿名访问、文件上传 |
3690 | Svn服务 | Svn泄露、未授权访问 |
50000 | SAP Management console | 远程执行 |