文章目录
01 信息收集:
- 服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)
- 网站指纹识别(包括,cms,cdn,证书等),dns记录
- whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
- 子域名收集,旁站,C段等
- google hacking针对化搜索,pdf文件,中间件版本,弱口令扫描等
- 扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等
- 传输协议,通用漏洞,exp,github源码等
一、域名信息收集
1、whois信息查询
【站长之家whois查询】 http://icp.chinaz.com/
【whois反查】https://www.benmi.com/rwhois
【爱站网whois查询】https://whois.aizhan.com
2、ICP备案信息查询
【工信部备案】 https://beian.miit.gov.cn/#/Integrated/index
【公安备案】 https://www.beian.gov.cn/portal/registerSystemInfo
【站长之家】 http://icp.chinaz.com/
【爱站网】 https://www.aizhan.com/cha/
3、DNS历史解析记录查询
查备案,得到域名主办单位,得到这个单位注册的所有域名。
子公司有时也是突破口,可以查看股权穿透图找子公司,获取所有子公司域名
通过 whois 的信息进行反查关联域名,如同一公司的域名可能通过同一个邮箱进行注册
在目标企业官网,有时会列出子公司的介绍、官网链接等
二、子域名资产收集
1、通过在线子域名查询网站
【站长之家】https://site.ip138.com/
【站长之家子域名查询】 https://tool.chinaz.com/subdomain/
【二级子域名查询 http://tools.bugscaner.com/subdomain/?domain】
【DNSdumpster】https://dnsdumpster.com
2、通过威胁情报平台
【AlienVault】https://otx.alienvault.com/
3、通过搜索引擎(google、fofa、shadon)
【谷歌】https://www.google.com
【百度】https://www.baidu.com
【搜狗】https://www.sogou.com/
【360】https://www.so.com/
【bing】https://cn.bing.com/
【钟馗】https://www.zoomeye.org/
【fofa】https://fofa.info/
【shodan】https://www.shodan.io/
【鹰图】https://hunter.qianxin.com/
【360】https://quake.360.cn/
4、通过子域名工具(layer、subfinder)
【layer】https://github.com/euphrat1ca/LayerDomainFinder
【subfinder】https://github.com/projectdiscovery/subfinder
5、通过爬取网站
可以通过爬虫爬取域名上所有网站的链接、
利用文件泄露,(robots.txt文件、crossdomain.xml文件、sitemap文件等)从中可能筛选出网站的子域名。
三、C段和旁注
旁站:和目标网站在同一台服务器上的其它的网站。C段:和目标服务器IP地址处在同一个C段的其它服务器。
1、通过在线网站
【站长之家旁站查询】http://stool.chinaz.com/same
【webscan】https://www.webscan.cc
2、工具 (nmap)
四、CMS指纹识别
查看网上有无类似本网站的源码,敏感信息,账号密码等
1、通过在线网站
【云悉指纹】http://www.yunsee.cn/finger.html
【whatweb】 http://whatweb.bugscaner.com/look/
【数字观星】https://fp.shuziguanxing.com/#/
【潮汐指纹】http://finger.tidesec.com/
2、通过浏览器插件
【Wappalyzer】https://www.wappalyzer.com
【whatruns 】https://www.whatruns.com/
五、CDN识别
CDN 厂商有时候只做国内的线路,使用国外的主机直接访可能得到真实ip
很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。
邮件源码可能会有真实ip
手机APP端的数据包。
1、在线网站
【站长工具】http://ping.chinaz.com/
【爱站网】http://ping.aizhan.com/
【who.is】https://who.is/whois/zkaq.cn
【国外wepcc】https://www.wepcc.com/
【国外ab173】http://www.ab173.com/dns/dns_world.php
【国外dnsdumpster】https://dnsdumpster.com/
2、CMD执行命令
nslookup www.xxx.com
ping xxx.com(www主机名会被cdn保护,直接ping域名)
3、通过搜索引擎(fofa、shodan)
【fofa】https://fofa.info/
【shodan】https://www.shodan.io/
4、查DNS历史解析记录
5、脚本识别
https://github.com/boy-hack/w8fuckcdn/hack/w8fuckcdn/
https://github.com/3xp10it/xcdn
五、网站WAF识别
知道站点用waf之后,用扫描工具容易被拉黑名单,可以判断产商针对性尝试绕过。禁ip。
1、从请求信息判断
例如(X-Powered-By: WAF/2.0)
2、使用工具判断(wafwoof、nmap、identYwaf)
【wafwoof】https://github.com/EnableSecurity/wafw00f
//wafw00f的缺点判断的不是特别的准确存在误报或识别不出的情况。
python main.py https://www.xxx.com/
【nmap】https://nmap.org/download.html
nmap --script==http-waf-fingerprint
nmap --script=http-waf-detec
【identYwaf】https://github.com/stamparm/identywaf
//运行慢但稳定
python identYwaf.py https://www.xxx.cn/
六、端口信息
TCP:
FTP(20、21)
SSH(22)
Telnet(23)
远程(3389)
SMTP(25)
UDP:
DHCP(67、68)
pop3(110)
HTTP(80)
HTTPS(443)
远程(3389)
Mysql(3306)
TCP/UDP
DNS(53)
1、在线端口检测
【Postjson】http://coolaf.com/tool/port
2、工具扫(nmap)
【nmap】【Zenmap】等
nmap -sP ip (ping扫描)
nmap -PS ip(探测端口)
nmap -PU ip(UDP ping探测)
nmap -sS ip(SYN扫描)
nmap -sT ip(TCP扫描)
nmap -sU ip(UDP扫描)
nmap -sO ip(探测支持的协议)
nmap -O ip(探测操作系统)
七、系统、数据库、第三方
1、操作系统
a)有网站。windows对大小写不敏感,在网页中替换URL的大小写测试
b)没有网站。nmap -O ip
c)通过返回的 TTL值
不同的操作系统的默认TTL值是不同的, 但用户可以修改TTL值,默认TTL:
1、WINDOWS NT/2000 TTL:128
2、WINDOWS 95/98 TTL:32
3、UNIX TTL:255
4、LINUX TTL:64
5、WIN7 TTL:64
(4)通过特殊端口
如(22 / 139 / 445 / 1433 / 3389)
2、数据库
//默认语言搭配的数据库
组合类型asp + access/mssql
组合类型php + mysql
组合类型aspx+mssql
组合类型jsp +mysql/oracle
组合类型Python + MongoDB
//数据库默认端口
mysql:3306
sqlserver:1433
oracle:1521
psotgresql:5432
MongoDB:27017
Redis :6379
memcached :11211
3、第三方
通过扫描判断网站是否安装了第三方的软件(phpmyadmin等)或者其他服务(邮件,游戏,负载均衡等),以此为目标测试原则只是少了WEB应用或其他安全问题。直接获取到软件的权限能便于进一步的提权和攻击。
八、网站漏扫
1、使用工具漏扫(AWVS、Nessus)
【AWVS】【Nessus】
【Xray】【goby】【AppScan】【极光】等
九、敏感信息、目录文件(御剑、wwwscan)
工具扫【御剑】【wwwscan】【7kbstorm】等
其他:搜索引擎一些语法
1、Google
利用谷歌语法搜索收集到一些敏感页面、敏感目录、网站内可下载的文件、可能出现的sql注入点和文件上传点、未授权访问页面等
site:(可以限制搜索范围内的域名)
inurl:(将搜索范围限制在指定的URL内)
intitle:(用于搜索包含关键字的网页)
intext:(用于搜索网页的正文内容,忽略标题和URL等文字)
filetype:(搜索文件的后缀名或者扩展名)
link:(用于查询所有连接到某一个特定URL的列表)
site:xxx.com
site:xxx.com intext:管理|后台|登录|用户名|密码|系统|账号|验证码|admin|login|managetem|password|username
site:xxx.com inurl:aspx|jsp|php|asp
site:xxx.com inurl:file|load|editor|Files
site:xxx.com inurl:admin|manage|member|system|login|user
site:xxx.com filetype:asp/aspx/php/jsp
site:xxx.com filetype:zip|rar|zip|xml
site:xxx.com inurl:?file=
site:xxx.com inurl:?id=
inurl:phpmyadmin/main.php
inurl:php? intext:XXX
2、Shodan、FOFA
hostname: (指定的主机或者域名)
org: (指定组织)
port: (指定端口)
product: (指定的操作系统/软件/平台)
net: (指定ip)
country: (指定国家)
version: (指定软件版本)
before: after:(指定时间前后)
hostname: “baidu”
org: “baidu”
port: “80”
product: “Apache httpd”
net: "192.168.0.1 "
country:"CN"
version:"1.6.2"
before:"11-11-11"
部分图文来源于网络。本文仅作学术分享,目的在于维护网络安全,如果非法使用,一切法律后果自行承担
552
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
