信息收集与查询

在进行目标渗透测试之前，最重要的一步就是收集信息，在这阶段要尽可能的收集目标的信息对目标了解的越多，之后进行的测试就越容易。
        信息收集的一般方法
一.       Whois查询
1.1whois是一个标准的互联网协议，在3whois查询中，能找到很多跟域名有关的信息，例如域名注册时间，域名所有人，一般的小型网站域名所有人是网站管理员。
常用的查询网址有爱站（https：//whois.aizhan.com）站长之家（http://whois.chinaz.com）和Virus Total（https：//www.virustotal.com）
2.       通过搜索引擎收集敏感信息
2.1   Google是世界上最强的搜索引擎之-对一位渗透测试者而言，它可能是款绝住的黑客工具，我们可以通过构造特殊的关键字语法来搜索互联网上的相关敏感信息。如inurl:bbs 冰墩墩，冰墩墩 inurl:bbs根据文件类型搜索关键词+空格+filetype+ ：+文件类型比如：专升本 filetype:DOC（搜索专插本的有关文档），专升本 filetype:pdf，info招生录取 www.zzcsjr.edu.cn
3.       收集子域名信息
3.1子域名也就是二级域名，是指顶级域名下的域名。一般其主域都是重点防护区域，所以不如先进入目标的某个子域，然后再想办法迁回接近真正的目标这无疑是个比较好的选择。收集域名信息有以下常用的方法
1子域名检测工具用于子域名检测的工具主要有Layer子域名挖掘机、K8、wydomain、subDomainsBrute、MaltegoCE等
2搜索引擎枚举，直接搜索子域名
3 第三方聚合应用枚举很多第三方服务汇聚了大量DNS数据集，可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名，就可检索到相关的域名信息
4.       收集常用的端口信息
4.1收集在渗透测试的过程中，对端口信息的收集是一个很重要的过程，通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务，就可以对症下药，便于我们渗透目标服务器，我们需要关注常见应用的默认端口和在端口上运行的服务，最常见的扫描工具就是Nmap，x-scan
2.常用的各种端口
Web应用服务端口
端口号：80/443/8080 端口说明：常见的Web服务端口  攻击方向：Web 攻击、爆破、对应服务器版本漏洞
端口号：7001/7002端口说明： WebLogic 控制台 攻击方向： Java反序列化、弱口令
端口号：8080/8089端口说明： Jboss/Resin/Jetty/Jenkins攻击方向：反序列化、控制台弱口令
端口号：9090 端口说明：WebSphere 控制 攻击方向：Java反序列化、弱口令
端口号：4848 端口说明：GlassFish 控制台 攻击方向：弱口令
端口号：1352 端口说明：Lotus domino邮件服务 攻击方向：弱口令、信息泄露、爆破
端口号：10000 端口说明：Webmin-Web 控制面板 攻击方向：弱口令
数据库服务端口
端口号 
端口号 3306 端口说明MySQL 攻击方向 注入、提权、爆破
端口号 1433 端口说明MSSQL 数据库 攻击方向注入、提权、SA弱口令、爆破
端口号 1521 端口说明Oracle 数据库 攻击方向 TNS 爆破、注入、反弹 Shell
端口号 5432 端口说明PostgreSQL数据库 攻击方向 爆破、注入、弱口令
端口号 27017/27018 端口说明 MongoDB 攻击方向 爆破、未授权访问
端口号 6379 端口说明Redis数据库攻击方向 可尝试未授权访问、弱口令爆破
端口号 5000 端口说明SysBase/DB2数据库 攻击方向 爆破、注入
文件共享服务端口
端口号 21/22/69 端口说明 Ftp/Tftp文件传输协议 允许匿名的上传、下载、爆破和嗅探操作
端口号 2049 端口说明 Ns服务 攻击方向 端口说明配置不当
端口号 139 端口说明 Samba服务 攻击方向 爆破、未授权访问、远程代码执行
端口号 389 端口说明 Ldap目录访问协议 攻击方向 注入、允许匿名访问、弱口令
远程连接服务端口
端口号 22端口说明 SSH远程连接 攻击方向 爆破、SSH 隧道及内网代理转发、文件传输
端口号 23 端口说明 Telnet远程连接 攻击方向 爆破、嗅探、弱口令
端口号 3389  端口说明 Rdp远程桌面连接攻击方向 Shift后门(需要Windows Server 2003以下的系统)、爆破
端口号 5900 端口说明 VNC 攻击方向 弱口令爆破
端口号 5632 端口说明 PyAnywhere服务 攻击方向 抓密码、代码执行
邮件服务端口
端口号 25 端口说明 SMTP 攻击方向 邮件服务 邮件伪造
端口号 110 端口说明 POP3协议 攻击方向 爆破、嗅探
端口号 143 端口说明 IMAP协议 攻击方向 爆破
网络常见协议端口
端口号 53 端口说明 DNS域名系统 攻击方向 允许区域传送、DNS劫持、缓存投毒、欺骗
端口号 67/68 端口说明 DHCP服务 攻击方向 劫持、欺骗
端口号 161 端口说明 SNMP协议 攻击方向 爆破、搜集目标内网信息
特殊服务端口
端口号 2181 端口说明 Zookeeper服务 攻击方向 未授权访问 
端口号 8069 端口说明 Zabbix服务 攻击方向 远程执行、SQL注入
端口号 9200/9300 端口说明 Elasticsearch 服务 攻击方向 远程执行
端口号 11211 端口说明 Memcache服务 攻击方向 未授权访问
端口号 512/513/514 端口说明 Linux Rexec服务 攻击方向 爆破、Rlogin 登录
端口号 873 端口说明 Rsync 服务 攻击方向 匿名访问、文件上传
端口号 3690 端口说明 Svn服务 攻击方向 Svn 泄露、未授权访问
端口号 50000 端口说明 SAP Management Console 攻击方向远程执行
5.指纹识别
指纹由于其终身不变性、唯一性和方便性，几乎已成为生物特征识别的代名词。通常我们说的指纹就是人的手指末端正面皮肤上凸凹不平的纹线，纹线规律地排列形成不同的纹型。而本节所讲的指纹是指网站CMS指纹识别、计算机操作系统及Web容器的指纹识别等。应用程序一般在html、js、css等文件中多多少少会包含一些特征码，比如WordPress在robots.txt中会包含wp-admin、首页indexphp中会包含generator-wordpress 3.xx，这个特征就是这个CMS的指纹，那么当碰到其他网站也存在此特征时，就可以快速识别出该CMS，所以叫作指纹识别。在渗透测试中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CM语能查找与其相关的漏洞，然后才能进行相应的渗透操作。
CMS(Conkent ManagementSystem)又称整站系统或文章系统。在2004年以前，如果想进行网站内容管理，基本上都靠手工维护，但在信息爆炸的时代，完全靠手工完成会相当痛苦。所以就出现了CMS，开发者只要给客户一个软件包，客户自己安装配置好，就可以定期更新数据来维护网站，节省了大量的人力和物力。
常见的CMS有Dedecms(织梦)、Discuz、PHPWEB.PHPWind、PHPCMS.ECShop、 Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog·(WordPrest等。代表工具有御剑Web指纹识别、WhatWeb、WebRobo、椰树、轻量WEB指纹识。除了这些工具，读者还可以利用一些在线网站查询CMS指纹识别，如下所示。云悉指纹:http://www.yunsee.cn/finger.html。 BugScaner:http://whatweb.bugscaner.com/look/和WhatWeb:https://whatweb.net/。
6.查找真实IP allow:/ disallow luccenter
在渗透测试过程中，目标服务器可能只有一个域名，那么如何通过这个域名来确定目标服务器的真实IP对渗透测试来说就很重要。如果目标服务器不存在CDN，可以直接通过wwwip138.com获取目标的一些IP及域名信息。这里主要讲解在以下这几种情况下，如何绕过CDN
7.社会工程学
社会工程学在渗透测试中起着不小的作用，利用社会工程学，攻击者可以从一名员工的口中挖掘出本应该是秘密的信息。
8.判断目标是否使用了CDN
通常会通过ping目标主域,观察域名的解析情况,以此来判断其是否使用了CDN。
还可以利用在线网站17CE(https://www.17ce.com)进行全国多地区的ping服务器操作,然后对比每个地区ping出的IP结果,查看这些IP是否一致，如果都是一样的，极有可能不存在CDN。如果IP大多不太一样或者规律性很强，可以尝试查询这些IP的归属地，判断是否存在CDN。
9.目标服务器存在CDN
CDN即内容分发网络，主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说得简单点，就是一组在不同运营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态数据资源(例如静态的html、css、js图片等文件)直接缓存到节点服务器上，当用户再次请求时，会直接分发到在离用户近的节点服务器上响应给用户，当用户有实际数据交互时才会从远程Web服务器上响应，这样可以大大提高网站的响应速度及用户体验。所以如果渗透目标购买了CDN服务，可以直接ping目标的域名，但得到的并非直正的目标Web服务器，只是离我们最近的一台目标节点的CDN服务器，这就导致了我们没法直接得到目标的真实IP段范围。
//**
实训作业
1.
Nmap的基本
Nmap + ip 6+ ip
Nmap -A 开启操作系统识别和版本识别功能
– T（0-6档）  设置扫描的速度  一般设置T4    过快容易被发现
-v 显示信息的级别，-vv显示更详细的信息
192.168.1.1/24 扫描C段   192.168.11 -254 =上
nmap -A -T4 -v -iL   ~/targets.txt   (iL表示要扫描的目标位于一个文档中)
--------------- 192.168.1.1/24  --exclude 192.168.1.100  （排除在外的目标 .100）
--------------- -----------------excludefile  ~/targets.txt
nmap 192.168.1.1   -p 80.443 网站  是否在这个端口部署网站
nmap –traceroute 192.168.1.1   探测路由
nmap -O 192.168.1.1  对目标进行指纹识别
nmap -sV    ----------  对版本进行探测
nmap -sF -T4 192.168.1.1  利用fin包对端口进行扫描，识别是否被关闭，收到RST包，说明被关闭。否则是open 后者 fileter状态。  （利用三次握手，可以绕开防火墙）
nmap –script=auth+ip 处理鉴权证书的脚本，也可以作为检测部分应用弱口令
-----------=brute+ip 暴力破解
扫描脚本介绍:
位置 : nmap安装目录/scripts/     例如/usr/share/nmap/scripts
脚本类型：
ll  /usr/share/nmap/scripts | grep ^