网络渗透技术

一、收集域名信息

1、Whois查询
定义：标准的互联网协议，可用于搜集网络注册信息，注册的域名、IP地址等信息。（简单来说，Whois是一个用于查询域名是否已被注册以及注册域名的详细信息的数据库）
在线Whois查询的常用网站：爱站工具网（https://whois.aizhan.com)
                                              站长之家(http://whois.chinaz.com)
                                              VirusTotal(https://www.virustotal.com)
通过这些网站可以查到域名的相关信息，也可以通过邮箱、注册人查询相关信息。

 2、备案信息查询
定义：网站备案是根据国家法律法规规定，需要网站的所有者向国家有关部门申请的备案，这是国家信息产业部队网站的一种管理，为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站，如果网站搭建在其他国家，则不需要进行备案。
常用的网站

ICP备案查询网：（http://www.beianbeian.com）
  天眼查：（http://www.tianyancha.com）
二、收集敏感信息

Google的常用语法及其说明
Site 指定域名
Inurl    URL中存在关键字的网页
Intext    网页正文中的关键字
Filetype    指定文件类型
Intitle    网页标题中的关键字
link    link:baidu.com即表示返回所有和baidu.com做了链接的URL
Info    查找指定站点的一些基本信息
cache    搜索Google里关于某些内容的缓存利用Google搜索，可以轻松得到想要的信息，也可以用它来收集数据库文件、SQL注配置信息、源代码泄露、未授权访问和robots.txt等敏感信息。
还可以通过乌云漏洞表（https://wooyun.shuimugan.com)查询历史漏洞信息。

三、收集子域名信息

子域名：二级域名，指顶级域名下的域名。
1、子域名检测工具
用于子域名检测的工具主要有Layer子域名挖掘机、K8、wydomain、Sublist3r、dnsmaper、subDomainsBrute、Maltego CE等。
2、搜索引擎枚举
可以利用Google语法搜索子域名，例如要搜索百度旗下的子域名就可以使用"site:baidu.com"语法
2.1 加减字符的使用
+  强制包含某个字符进行查询
-  查询的时候忽略某个字符
"" 查询的时候精确匹配双引号内的字符
.  匹配某单个字符进行查询
|  或者，多个选择，只要有一个关键字匹配上即可
例：比如我想搜索支付，出来了很多页面但不想出现充值关键词，就要利用如下：
        +  支付        -   充值
        这个语句就是过滤掉所有包含支付但不包含充值的页面。
2.2 参数的使用（内容与上图相符，便于理解）
Intext参数：搜索带有所有关键词的内容页面
Intitle参数：搜索带有该关键词的标题的所有页面
Inurl参数：搜素包含关键词的URL内容
Site参数：搜索指定网站、域或者子域，将搜索范围缩小
FileType参数：搜索指定类型的文件（如Google搜索：filetype：txt）
3、第三方聚合应用枚举
很多第三方服务汇聚了大量DNS数据集，可通过他们检索某个给定域名的子域名。只需在其搜索栏中输入域名，就可检索到相关的域名信息；也可以利用DNSdumpster网站（http://dnsdumpster.com/)、在线DNS侦查和搜索的工具挖掘出指定域潜藏的大量子域。
4、证书透明度公开日志枚举（CT)
CT是证书授权机构（CA）的一个项目，证书授权机构会将每个SSL/TLS证书发布到工作日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
推荐使用crt.sh: https://crt.sh和censys:https://censys.io这两个网站，还可以利用一些在线网站查询子域名，如子域名爆破网站（https://phpinfo.me/domain),IP反查绑定域名网站（http://dns.aizhan.com)等。
四、收集常用端口信息

在端口渗透信息的收集过程中，需要关注常见应用的默认端口和在端口上运行的服务。常见的扫描工具为Nmap，无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具 。

文件共享服务端口
端口号    端口说明    攻击方向
21/22/69    Ftp/Tftp文件传输协议    允许匿名的上传、下载、爆破和嗅探操作
2049    Nfs服务    配置不当
139    Samba服务    爆破、未授权访问、远程代码执行
389    Ldap目录访问协议    注入、允许匿名访问、弱口令
远程连接服务端口
端口号          端口说明             攻击方向
22                 SSH远程连接      爆破、SSH隧道及内网代理转发、文件传输
23                Telnet远程连接     爆破、嗅探、弱口令
3389            Rdp远程桌面连接    Shift后门（需要Windows Server 2003以下的系统）、爆破
5900            VNC    弱口令爆破
5632            PyAnywhere服务    抓密码、代码执行
Web应用服务端口
端口号                端口说明                 攻击方向
80/443/8080    常见的Web服务端口    Web攻击、爆破、对应服务器版本漏洞
7001/7002       WebLogic控制台    Java反序列化、弱口令
8080/8089     Jboss/Resin/Jetty/Jenkins    反序列化、控制台弱口令
9090               WebSphere控制台    Java反序列化、弱口令
4848               GlassFish控制台                弱口令
1352                 Lotus domino邮件服务       弱口令、信息泄露、爆破
10000             Webmin-Web控制面板    弱口令
数据库服务端口
端口号            端口说明                攻击方向
3306              MySQL                  注入、提权、爆破
1433               MSSQL数据库      注入、提权、SA弱口令、爆破
1521                Oracle数据库         TNS爆破、注入、反弹Shell
5432              PostgreSQL数据库    爆破、注入、弱口令
27017/27018    MongoDB             爆破、未授权访问
6379               Redis数据库           可尝试未授权访问、弱口令爆破
5000               SysBase/DB2数据库    爆破、注入
邮件服务端口
端口号    端口说明              攻击方向
25           SMTP邮件服务    邮件伪造
110          POP3协议            爆破、嗅探
143          IMAP协议            爆破
网络常见协议端口
端口号        端口说明        攻击方向
53               DNS域名系统    允许区域传送、DNS劫持、缓存投毒、欺骗
67/68         DHCP服务       劫持、欺骗
161              SNMP协议    爆破、搜集目标内网信息
特殊服务端口
端口号            端口说明             攻击方向
2181               Zookeeper服务  未授权访问
8069              Zabbix服务    远程执行、SQL注入
9200/9300    Elasticsearch服务    远程执行
11211               Memcache服务    未授权访问
512/513/514    Linux Rexec服务    爆破、Rlogin登录
873                 Rsync服务    匿名访问、文件上传
3690              Svn服务    Svn泄露、未授权访问
50000       SAP Management console    远程执行