信息搜集也称踩点,信息搜集毋庸置疑就是尽可能的搜集目标的信息,包括端口信息、DNS信息、员工邮箱等等看似并不起眼的一些信息都算是信息搜集,这些看似微乎其微的信息,对于渗透测试而言就关乎到成功与否了。
信息搜集是渗透测试的最重要的阶段,占据整个渗透测试的60%,可见信息搜集的重要性。根据收集的有用信息,可以大大提高我们渗透测试的成功率。
1、主动式信息搜集(可获取到的信息较多,但易被目标发现)
2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。
3、被动式信息搜集(搜集到的信息较少,但不易被发现)
4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。
网站由域名,服务器,WEB应用组成。
可以先从域名开始
信息收集脑图:
Whois 简单来说,就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商、域名注册日期和过期日期、DNS等)。通过域名Whois服务器查询,可以查询域名归属者联系方式,以及注册和到期时间
可以通过whois信息进行反查,邮箱,联系人等信息来反查到更多的信息
查询域名注册邮箱
通过域名查询备案号
通过备案号查询域名
反查注册邮箱
反查注册人
通过注册人查询到的域名在查询邮箱
通过上一步邮箱去查询域名
查询以上获取出的域名的子域名
kali 自带whois查询
命令:whois + ip/域名
利用Dnslytics反查IP可以得到如下信息:
IP information
Network information
Hosting information
SPAM database lookup
Open TCP/UDP ports
Blocklist lookup
Whois information
Geo information
Country information
Update information
利用Dnslytics反查域名可以得到如下信息:
Domain and Ranking Information
Hosting Information{
A / AAAA Record
NS Record
MX Record
SPF Record
}
Web Information
Whois Information
通过Google、FireFox等插件的使用,收集域名信息
myip.ms:
TCPIPUTILS:
DNSlytics:
子域名收集可以发现更多目标,以增加渗透测试成功的可能性,探测到更多隐藏或遗忘的应用服务,这些应用往往可导致一些严重漏洞。当一个主站坚不可摧时,我们可以尝试从分站入手。
layer子域名挖掘机5.0:使用这款工具首先要安装.net framework 4.0以上,否则会出现:
备案信息分为两种,一种是IPC备案信息查询,一种是公安部备案信息查询。如果是国外的服务器是不需要备案的,因此可以忽略此步骤,国内的服务器是需要备案的,因此可以尝试获取信息。
社工
通过查询DNS信息,我们可能可以发现网站的真实ip地址,也可以尝试测试是否存在DNS域传送漏洞。
Nmap 扫描多个ip:
扫描整个子网 nmap 192.168.6.1/24
nmap 192.168.1.1/16
nmap 192.168.1-30.1-254
nmap 192.168.1-254.6
扫描多个主机 namp 192.168.6.2 192.168.6.6
扫描一个小范围 nmap 192.168.6.2-10
扫描txt内的ip列表 nmap -iL text.txt
扫描除某个目标外 nmap 192.168.6.1/24 -exclude 192.168.6.25
通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制
nmap -sP 192.33.6.128
nmap -sT 192.33.6.128
nmap -sS 192.33.6.128
nmap -sU 192.33.6.128
nmap -sF 192.33.6.128
nmap -sX 192.33.6.128
nmap -sN 192.33.6.128
初步扫描端口信息
nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt
扫描端口并且标记可以爆破的服务
nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute
判断常见的漏洞并扫描端口
nmap 127.0.0.1 --script=auth,vuln
精确判断漏洞并扫描端口
nmap 127.0.0.1 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version
Masscan+Nmap:
有些时候网站的入口点属于非常规端口,因此是必须要做全端口扫描,做全端口扫描的时候由于namp发包量大经常出现各种问题,如端口扫描不全、获得信息不准等等,为了解决上述问题,这里提供一个masscan+nmap结合的方式进行快速扫描。
原理:使用masscan做全端口开放检测,检测出来端口信息后,用nmap进行服务信息识别。
使用:终端输入以下命令执行即可
# masscan 192.33.6.145 -p1-65535 --rate 1000 -oL ports
# ports=$(cat ports | awk -F " " '{print $3}' | sort -n | tr '\n' ',' | sed 's/,$//' | sed 's/^,,//')
# nmap -sV -p $ports 192.33.6.145
端口:21 服务:FTP/TFTP/VSFTPD 总结:爆破/嗅探/溢出/后门
端口:22 服务:ssh远程连接 总结:爆破/openssh漏洞
端口:23 服务:Telnet远程连接 总结:爆破/嗅探/弱口令
端口:25 服务:SMTP邮件服务 总结:邮件伪造
端口:53 服务:DNS域名解析系统 总结:域传送/劫持/缓存投毒/欺骗
端口:67/68 服务:dhcp服务 总结:劫持/欺骗
端口:110 服务:pop3 总结:爆破/嗅探
端口:139 服务:Samba服务 总结:爆破/未授权访问/远程命令执行
端口:143 服务:Imap协议 总结:爆破161SNMP协议爆破/搜集目标内网信息
端口:389 服务:Ldap目录访问协议 总结:注入/未授权访问/弱口令
端口:445 服务:smb 总结:ms17-010/端口溢出
端口:512/513/514 服务:Linux Rexec服务 总结:爆破/Rlogin登陆
端口:873 服务:Rsync服务 总结:文件上传/未授权访问
端口:1080 服务:socket 总结:爆破
端口:1352 服务:Lotus domino邮件服务 总结:爆破/信息泄漏
端口:1433 服务:mssql 总结:爆破/注入/SA弱口令
端口:1521 服务:oracle 总结:爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当
端口:2181 服务:zookeeper服务 总结:未授权访问
端口:2375 服务:docker remote api 总结:未授权访问
端口:3306 服务:mysql 总结:爆破/注入
端口:3389 服务:Rdp远程桌面链接 总结:爆破/shift后门
端口:4848 服务:GlassFish控制台 总结:爆破/认证绕过
端口:5000 服务:sybase/DB2数据库 总结:爆破/注入/提权
端口:5432 服务:postgresql 总结:爆破/注入/缓冲区溢出
端口:5632 服务:pcanywhere服务 总结:抓密码/代码执行
端口:5900 服务:vnc 总结:爆破/认证绕过
端口:6379 服务:Redis数据库 总结:未授权访问/爆破
端口:7001/7002 服务:weblogic 总结:java反序列化/控制台弱口令
端口:80/443 服务:http/https 总结:web应用漏洞/心脏滴血
端口:8069 服务:zabbix服务 总结:远程命令执行/注入
端口:8161 服务:activemq 总结:弱口令/写文件
端口:8080/8089 服务:Jboss/Tomcat/Resin 总结:爆破/PUT文件上传/反序列化
端口:8083/8086 服务:influxDB 总结:未授权访问
端口:9000 服务:fastcgi 总结:远程命令执行
端口:9090 服务:Websphere 总结:控制台爆破/java反序列化/弱口令
端口:9200/9300 服务:elasticsearch 总结:远程代码执行
端口:11211 服务:memcached 总结:未授权访问
端口:27017/27018 服务:mongodb 总结:未授权访问/爆破
21端口渗透解析:
介绍:Ftp一般是用于对远程服务器进行管理,大多数都用于对Web系统进行管理。一般密码泄露是直接威胁Web系统安全的,一旦让黑客知道是可以通过提权直接控制服务器。
22端口渗透解析:
介绍:SSH是协议,是使用在协议应用上的,SSH是Secure Shell的缩写。有IETF的网络工作小组所制定;SSH是建立在应用层和传输层基础上的安全协议。
23端口渗透解析:
介绍:Telnet是一种很老的远程管理方式,使用telnet工具登陆系统的过程中,网络上的传输用户和密码都是以明文的方式去传送的,所以这是一种很不安全的管理方式,黑客可以使用嗅探技术进行劫取此类密码等。
25/465端口渗透解析:
介绍:smtp:邮箱协议,在linux中是默认回开启这个服务的,是一个相对简单的基于文本的协议。smtps:这是smtp协议基于ssl安全协议之上的一种变种协议。它继承了ssl安全协议的非对称的加密。我对smtps协议也很头疼所以给不出太多的建议。
53端口渗透解析:
介绍:53端口一般是DNS域名服务器的通信端口,用于域名的解析。也是比较关键的服务器之一,但是这类服务器很 容易就受到攻击。
80端口渗透解析:
介绍:80端口是提供Web服务的端口,对于各位我想的是进入一个新的Web站点可能最会先想到SQL注入的方法,当然脚本渗透液是一项极强的Web渗透技术,同时也能对80端口造成威胁。
135端口渗透解析:
介绍:135端口主要是用于RPC协议是提供DCOM服务,PRC可以保证一台计算机上运行的程序可以顺利的执行远程计算机上的代码;使用DCOM可以通过网络进行通信。同时这个端口也爆出了不少的漏洞,最严重的还是我们熟悉的缓冲区溢出的漏洞
139/445端口渗透解析:
介绍:139端口是提供windows文件和打印机共享以及Unix中的Samba服务,家庭很少会开启这个服务,但是学校就不一样了,我可没有暗示你们什么。445端口其实也是为windows提供文件很打印机的共享,这两个端口在内网中是使用次数最多的,但是这两个端口的漏洞都比较多,而且出现过很多高危漏洞。
1433端口渗透解析:
介绍:1433是SQLServer默认的端口,SQL Server服务使用两个端口:tcp-1433、UDP-1434.其中1433用于供SQLServer对外提供服务,1434用于向请求者返回SQLServer使用了哪些TCP/IP端口。1433端口通常遭到黑客的攻击,最严重的还是远程溢出漏洞了,如由于SQL注射攻击的方式,数据库面临着很多威胁,这种攻击方式是属于脚本渗透技术的。
1521端口渗透解析:
介绍:1521一般是大型数据库Oracle的默认端口,对于一些没有安全工作经验的人来说,还是比较陌生的,以为大多数接触到的数据库都是Access、msssql、mysql。一般大型的站点才会使用Oracle数据库系统,以为这个数据库系统比较复杂。
2049端口渗透解析:
介绍:FS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。如今NFS具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可能遭到恶意攻击者的利用。
3306端口渗透解析:
介绍:3306是MYSQL数据库默认的监听端口,通常部署在中型web系统中。在国内LAMP的配置是非常流行的,对于php+mysql构架的攻击也是属于比较热门的话题。mysql数据库允许用户使用自定义函数功能,这使得黑客可编写恶意的自定义函数对服务器进行渗透,最后取得服务器最高权限。
3389端口渗透解析:
介绍:3389是windows远程桌面服务默认监听的端口,管理员通过远程桌面对服务器进行维护,这给管理工作带来的极大的方便。通常此端口也是黑客们较为感兴趣的端口之一,利用它可对远程服务器进行控制,而且不需要另外安装额外的软件,实现方法比较简单。当然这也是系统合法的服务,通常是不会被杀毒软件所查杀的。使用‘输入法漏洞’进行渗透。
4899端口渗透解析:
介绍:4899端口是remoteadministrator远程控制软件默认监听的端口,也就是平时常说的radmini影子。radmini目前支持TCP/IP协议,应用十分广泛,在很多服务器上都会看到该款软件的影子。
5432端口渗透解析:
介绍:PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入。
5631端口渗透解析:
介绍:5631端口是著名远程控制软件pcanywhere的默认监听端口,同时也是世界领先的远程控制软件。此软件设计有缺陷,可以随意的下载保存连接密码的.cif文件。可以用专门的破解软件破解。
5900端口渗透解析:
介绍:5900端口是远程控制软件VNC的默认端口,VNC是基于UNIX和LINUX操作系统免费开放的源码
6379端口渗透解析:
介绍:Redis是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是暴露的未授权访问。
7001/7002端口渗透解析:
介绍:好像没什么介绍,就是weblogic中间插件的端口。
8080端口渗透解析:
介绍:8080端口通常是apache_Tomcat服务器默认监听端口,apache是世界使用排名第一的web服务器。国内就有很多人喜欢有这种服务器。
27017端口渗透解析:
介绍:没什么可以说的,和其他数据库攻击方法差不多。
域名解析记录
世界各地DNS服务器地址大全:http://www.ab173.com/dns/dns_world.php
被动:
主动
手动探测
Linux大小写敏感
Windows大小写不敏感
御剑:
御剑这款工具主要用于扫描网站的敏感目录、敏感文件。这里必须要说明一下字典必须要足够强大才可以扫到别人发现不了的点。因此我们必须完善一下自己的字典。
敏感目录:robots.txt、crossdomin.xml、sitemap.xml、源码泄漏文件、/WEB-INF/
搜索引擎:
搜索引擎也可以用于搜索网站的敏感目录、敏感文件和敏感信息。
这里就必须提一下搜索引擎的语法了,这里以google 黑客语法为例,语法同样适用于百度搜索引擎。
基本语法:
"" 双引号表示强制搜索
- 表示搜索不包含关键词的网页
| 或者的意思
site 指定域名
intext 搜索到的网页正文部分包含关键词
intitle 搜索到的网页标题包含关键词
cache 搜索关于某些内容的缓存
definne 搜索某个词语的定义
filetype 搜索指定的文件类型
info 查找指定站点的一些基本信息
inurl 搜索包含关键词的URL
link 可以返回所有和baidu.com做了链接的URL
BBscan:
BBscan是一款信息泄漏批量扫描脚本。它是依旧还是由lijiejie大佬用python写的安全工具。
在windows平台运行需要解决依赖问题:
pip install -r requirements.txt
使用命令:
扫描单个web服务 www.target.com
python BBScan.py --host www.target.com
扫描www.target.com和www.target.com/28下的其他主机
python BBScan.py --host www.target.com --network 28
扫描txt文件中的所有主机
python BBScan.py -f wandoujia.com.txt
从文件夹中导入所有的主机并扫描
python BBScan.py -d targets/ --browser
如果是为了去各大src刷漏洞,可以考虑把所有域名保存到targets文件夹下,然后
python BBScan.py -d targets/ --network 30
GSIL:
GSIL是一款由python3写的从github上寻找敏感文件的安全工具。
先安装一下环境
pip install -r requirements.txt
用法:
# 启动测试
$ python3 gsil.py test
# 测试token有效性
$ python3 gsil.py --verify-tokens
C端是和目标服务器ip处在同一个C段的其它服务器
北极熊扫描器
Nmap
北极熊扫描器扫C端:http://www.xitongzhijia.net/soft/71774.html
指纹是什么:
指定路径下指定名称的js文件或代码。
指定路径下指定名称的css文件或代码。
<title>中的内容,有些程序标题中会带有程序标识
meta标记中带程序标识<meta name=”description”/><meta name=”keywords”/><meta name=”generator”/><meta name=”author”/><meta name=”copyright”/>中带程序标识。
display:none中的版权信息。
页面底部版权信息,关键字© Powered by等。
readme.txt、License.txt、help.txt等文件。
指定路径下指定图片文件,如一些小的图标文件,后台登录页面中的图标文件等,一般管理员不会修改它们。
注释掉的html代码中<!–
http头的X-Powered-By中的值,有的应用程序框架会在此值输出。
cookie中的关键字
robots.txt文件中的关键字
404页面
302返回时的旗标
通过识别目标网站所使用的CMS信息,可以帮助我们进一步了解渗透测试环境,可以利用已知的一些CMS漏洞来进行攻击。
WAF也称Web应用防护系统,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
原理:WAF识别大多基于Headers头信息。通过发送恶意的内容,对比响应,寻找数据包被拦截、拒绝或者检测到的标识。
第三方判断:
手工判断
Nmap判断:两种脚本
一种是:
http-waf-detect
一种是:
http-waf-fingerprint
wafw00f:https://github.com/EnableSecurity/wafw00f
天眼查地址:https://www.tianyancha.com/
企业信用信息公示系统:http://www.gsxt.gov.cn/index.html
悉知-全国企业信息查询:https://company.xizhi.com/
信用中国:https://www.creditchina.gov.cn/
/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store MacOS自动生成
/.hg/
/.svn/ (/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml
Robots.txt
backup
db
data
web
wwwroot
database
www
code
test
admin
user
sql
.bak
.html
_index.html
.swp
.rar
.txt
.zip
.7z
.sql
.tar.gz
.tgz
.tar.bak
.html
_index.html
.swp
.rar
.txt
.zip
.7z
.sql
.tar.gz
.tgz
.tar
常见的扫描工具就和目录扫描的工具差不多
工具:JSFinder
SFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。
安装:
pip3 install requests bs4
git clone https://github.com/Threezh1/JSFinder.git
使用:
python3 JSFinder.py -u http://www.mi.com
python3 JSFinder.py -u http://www.mi.com -d
工具:LinkFinder
该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息,可最大化地提高URL发现效率
安装:
git clone https://github.com/GerbenJavado/LinkFinder.git
cd LinkFinder
python2 setup.py install
使用:
在线JavaScript文件中查找端点的最基本用法,并将结果输出到results.html:
python linkfinder.py -i https://example.com/1.js -o results.html
CLI输出(不使用jsbeautifier,这使得它非常快):
pyhon linkfinder.py -i https://example.com/1.js -o cli
分析整个域及其JS文件:
python linkfinder.py -i https://example.com -d
Burp输入(在目标中选择要保存的文件,右键单击,Save selected items将该文件作为输入):
python linkfinder.py -i burpfile -b
枚举JavaScript文件的整个文件夹,同时查找以/ api /开头的终结点,并最终将结果保存到results.html:
python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html
snitch:
Snitch可以针对指定域自动执行信息收集过程。此工具可帮助收集可通过Web搜索引擎找到的指定信息。在渗透测试的早期阶段,它可能非常有用。
安装:
git clone https://github.com/Smaash/snitch.git
使用:
python2.7 snitch.py -C "site:whitehouse.gov filetype:pdf" -P 100
site:域名 filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv
Infoga:
Infoga可从不同的公共源网络(搜索引擎,pgp密钥服务器和shodan)收集电子邮件帐户信息(ip,主机名,国家/地区…)。是一个用法非常简单的工具,但是,对于渗透测试的早期阶段,或者只是为了了解自己公司在互联网上的可见性是非常有效的。
安装:
git clone https://github.com/m4ll0k/Infoga.git /data/infoga
cd /data/infoga
pip3 install requests
python3 infoga.py
使用:
python3 infoga.py --domain site.com --source all -v 3 | grep Email | cut -d ' ' -f 3 | uniq | sed -n '/-/!p'
python3 infoga.py --info emailtest@site.com
python3 infoga.py --info emailtest@site.com -b
Online Search Email:
通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况
https://www.blackbookonline.info/
通过用户的一些信息(Mail、Name、ID、Tel)查询用户注册过哪些应用
https://www.opengps.cn/Data/IP/LocHighAcc.aspx
https://www.ip2location.com/demo/
https://www.maxmind.com/en/geoip2-precision-demo
地址:https://github.com/trustedsec/social-engineer-toolkit
工具的使用教程我并没有发全,建议大家可以自己去多研究研究
如果有更好技巧思路和工具等,欢迎一起交流学习
附件再分享一下可以本地搭建,方便阅读观看的文章
用户名 | 金币 | 积分 | 时间 | 理由 |
---|---|---|---|---|
奖励系统 | 100.00 | 0 | 2020-09-10 10:10:27 | 投稿满 10 赞奖励 |
奖励系统 | 50.00 | 0 | 2020-09-09 22:10:52 | 投稿满 5 赞奖励 |
Track-聂风 | 100.00 | 0 | 2020-09-09 11:11:31 | 很不错的信息收集文章~加油 |
打赏我,让我更有动力~
© 2016 - 2024 掌控者 All Rights Reserved.
1697571223
发表于 2020-9-23
很有学习和参考价值
评论列表
加载数据中...
puppet21
发表于 2020-9-25
收藏了,大佬
评论列表
加载数据中...
bai521
发表于 2020-10-8
先点赞后收藏
评论列表
加载数据中...
qmq287
发表于 2020-10-10
很有学习和参考价值
0 0
评论列表
加载数据中...
liqiang
发表于 2020-10-13
1
评论列表
加载数据中...
1094236975
发表于 2020-10-13
想看
评论列表
加载数据中...
a478747950
发表于 2020-10-15
1
评论列表
加载数据中...
zjzqxzhj
发表于 2020-10-21
谢谢分享
评论列表
加载数据中...
忙著可爱
发表于 2020-10-26
很有帮助
评论列表
加载数据中...
hhades
发表于 2020-10-29
大佬!大佬!
评论列表
加载数据中...
白鸽
发表于 2020-10-30
11
评论列表
加载数据中...
superkoier
发表于 2020-11-2
学习了
评论列表
加载数据中...
bibo
发表于 2020-11-9
膜拜
评论列表
加载数据中...
lalala123
发表于 2020-11-20
厉害
评论列表
加载数据中...
锦衣
发表于 2020-12-3
前排学习
评论列表
加载数据中...
544730135
发表于 2021-8-7
1111111111111111111
评论列表
加载数据中...
zxc2934
发表于 2021-8-21
厉害,先学习学习
评论列表
加载数据中...
上善若水
发表于 2022-4-24
xuexile
评论列表
加载数据中...
jayden
发表于 5个月前
1
评论列表
加载数据中...