信息收集各种姿势合集

1421651975   ·   发表于 2021-11-20 16:18:30   ·   技术文章

简介

渗透的本质是信息收集
信息收集也叫做资产收集
信息收集是渗透测试的前期主要工作,是非常重要的环节,收集足够多的信息才能方便接下来的测试,信息收集主要是收集网站的域名信息、子域名信息、目标网站信息、目标网站真实IP、敏感/目录文件、开放端口和中间件信息等等。通过各种渠道和手段尽可能收集到多的关于这个站点的信息,有助于我们更多的去找到渗透点,突破口。

信息收集的分类

1.服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)
2.网站指纹识别(包括,cms,cdn,证书等) dns记录
3.whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
4.子域名收集,旁站,C段等
5.google hacking针对化搜索,word/电子表格/pdf文件,中间件版本,弱口令扫描等
6.扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等
7.传输协议,通用漏洞,exp,github源码等

whois查询

通过whois来对域名信息进行查询,可以查到注册商、注册人、邮箱、DNS解析服务器、注册人联系电话等,因为有些网站信息查得到,有些网站信息查不到,所以推荐以下信息比较全的查询网站,直接输入目标站点即可查询到相关信息。
站长之家域名WHOIS信息查询地址 http://whois.chinaz.com/
爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/
腾讯云域名WHOIS信息查询地址 https://whois.cloud.tencent.com/
美橙互联域名WHOIS信息查询地址 https://whois.cndns.com/
爱名网域名WHOIS信息查询地址 https://www.22.cn/domain/
易名网域名WHOIS信息查询地址 https://whois.ename.net/
中国万网域名WHOIS信息查询地址 https://whois.aliyun.com/
西部数码域名WHOIS信息查询地址 https://whois.west.cn/
新网域名WHOIS信息查询地址 http://whois.xinnet.com/domain/whois/index.jsp
纳网域名WHOIS信息查询地址 http://whois.nawang.cn/
中资源域名WHOIS信息查询地址 https://www.zzy.cn/domain/whois.html
三五互联域名WHOIS信息查询地址 https://cp.35.com/chinese/whois.php
新网互联域名WHOIS信息查询地址 http://www.dns.com.cn/show/domain/whois/index.do
国外WHOIS信息查询地址 https://who.is/

在线网站备案查询

网站备案信息是根据国家法律法规规定,由网站所有者向国家有关部门申请的备案,如果需要查询企业备案信息(单位名称、备案编号、网站负责人、电子邮箱、联系电话、法人等),推荐以下网站查询
1.天眼查 https://www.tianyancha.com/
2.ICP备案查询网 http://www.beianbeian.com/
3.爱站备案查询 https://icp.aizhan.com/
4.域名助手备案信息查询 http://cha.fute.com/index

查找真实ip

如果目标网站使用了CDN,使用了cdn真实的ip会被隐藏,如果要查找真实的服务器就必须获取真实的ip,根据这个ip继续查询旁站。
注意:很多时候,主站虽然是用了CDN,但子域名可能没有使用CDN,如果主站和子域名在一个ip段中,那么找到子域名的真实ip也是一种途径。

多地ping确认是否使用CDN

http://ping.chinaz.com/
http://ping.aizhan.com/

查询历史DNS解析记录

在查询到的历史解析记录中,最早的历史解析ip很有可能记录的就是真实ip,快速查找真实IP推荐此方法,但并不是所有网站都能查到。

DNSDB

https://dnsdb.io/zh-cn/

Ipip.net

https://tools.ipip.net/cdn.php

viewdns

https://viewdns.info/

phpinfo

如果目标网站存在phpinfo泄露等,可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真实ip

绕过CDN

绕过CDN的多种方法具体可以参考 https://www.cnblogs.com/qiudabai/p/9763739.html

子域名收集

子域名作用

收集子域名可以扩大测试范围,同一域名下的二级域名都属于目标范围。

常用方式

子域名中的常见资产类型一般包括办公系统,邮箱系统,论坛,商城,其他管理系统,网站管理后台也有可能出现子域名中。
首先找到目标站点,在官网中可能会找到相关资产(多为办公系统,邮箱系统等),关注一下页面底部,也许有管理后台等收获。
查找目标域名信息的方法有:
FOFA title=”公司名称”
百度 intitle=公司名称
Google intitle=公司名称
站长之家,直接搜索名称或者网站域名即可查看相关信息:
http://tool.chinaz.com/
钟馗之眼 site=域名即可
https://www.zoomeye.org/

域名的类型

类型有A记录、别名记录(CNAME)、MX记录、TXT记录、NS记录:

方法:

检测Cname记录 nslookup -q=cname qq.com
MX 记录 set type=mx 域名
TXT记录 set tyoe=txt 域名
NS记录 Name sercer:snd1.hichina.com(样式) 可以到whois网站上查询

子域名在线查询

https://phpinfo.me/domain/
https://www.t1h2ua.cn/tools/

dns侦测

https://dnsdumpster.com/
*有MX记录、TXT记录、NS记录、Cname记录

Hackertarget查询子域名

https://hackertarget.com/find-dns-host-records/
注意:通过该方法查询子域名可以得到一个目标大概的ip段,接下来可以通过ip来收集信息。

IP138查询子域名

https://site.ip138.com/这里写你的域名/domain.htm

FOFA搜索子域名

https://fofa.so/
语法:domain=”baidu.com”

360测绘空间

https://quake.360.cn/
domain:”*.baidu.com”

端口信息收集

常见渗透端口

21,22,23,1433,152,3306,3389,5432,5900,50070,50030,50000,27017,27018,11211,9200,9300,7001,7002,6379,5984,873,443,8000-9090,80-89,80,10000,8888,8649,8083,8080,8089,9090,7778,7001,7002,6082,5984,4440,3312,3311,3128,2601,2604,2222,2082,2083,389,88,512,513,514,1025,111,1521,445,135,139,53

端口及对应服务

1.web类(web漏洞/敏感目录)

第三方通用组件漏洞struts thinkphp jboss ganglia zabbix
80 web
80-89 web
8000-9090 web

2.数据库类(扫描弱口令)

1433 MSSQL
1521 Oracle
3306 MySQL
5432 PostgreSQL

3.特殊服务类(未授权/命令执行类/漏洞)

443 SSL心脏滴血
873 Rsync未授权
5984 CouchDB http://xxx:5984/_utils/
6379 redis未授权
7001,7002 WebLogic默认弱口令,反序列
9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
11211 memcache未授权访问
27017,27018 Mongodb未授权访问
50000 SAP命令执行
50070,50030 hadoop默认端口未授权访问

4.常用端口类(扫描弱口令/端口爆破)

21 ftp
22 SSH
23 Telnet
2601,2604 zebra路由,默认密码zebra
3389 远程桌面

5.端口合计详情

21 ftp
22 SSH
23 Telnet
80 web
80-89 web
161 SNMP
389 LDAP
443 SSL心脏滴血以及一些web漏洞测试
445 SMB
512,513,514 Rexec
873 Rsync未授权
1025,111 NFS
1433 MSSQL
1521 Oracle:(iSqlPlus Port:5560,7778)
2082/2083 cpanel主机管理系统登陆 (国外用较多)
2222 DA虚拟主机管理系统登陆 (国外用较多)
2601,2604 zebra路由,默认密码zebra
3128 squid代理默认端口,如果没设置口令很可能就直接漫游内网了
3306 MySQL
3312/3311 kangle主机管理系统登陆
3389 远程桌面
4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网
5432 PostgreSQL
5900 vnc
5984 CouchDB http://xxx:5984/_utils/
6082 varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网
6379 redis未授权
7001,7002 WebLogic默认弱口令,反序列
7778 Kloxo主机控制面板登录
8000-9090 都是一些常见的web端口,有些运维喜欢把管理后台开在这些非80的端口上
8080 tomcat/WDCP主机管理系统,默认弱口令
8080,8089,9090 JBOSS
8083 Vestacp主机管理系统 (国外用较多)
8649 ganglia
8888 amh/LuManager 主机管理系统默认端口
9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 memcache未授权访问
27017,27018 Mongodb未授权访问
28017 mongodb统计页面
50000 SAP命令执行
50070,50030 hadoop默认端口未授权访问

常见的端口和攻击方法

在线端口检测

http://coolaf.com/tool/port

端口扫描枚举工具

因为不让上传文件,这里就提供个网盘链接或者自行下载吧

Layer子域名挖掘机

链接:https://pan.baidu.com/s/1cVDIOwcuBMa03lRqDOi_5w
提取码:zkaq

SubDomainBrute

链接:https://pan.baidu.com/s/15H6yJYNduT-59zo4q1nFqQ
提取码:zkaq
注:需要用到python环境
使用方法:
1.安装组件pip install aiodns
2.来到对应目录 cd /d D:***\subDomainsBrute
3.dir
4.运行指令会自动保存到文件夹subDomainsBrute.py baidu.com
5.指定保存到文件夹subDomainsBrute.py baidu.com —full -o 1.txt

Sublist3r

链接:https://pan.baidu.com/s/1YlNncifToDBmCyuUiN59bg
提取码:zkaq
使用方法:
1.安装 pip install -r requirements.txt
2.默认参数 python sublist3r.py -d baidu.com
3.暴力枚举 python sublist3r -b -d baidu.com

FuzzDomain

链接:https://pan.baidu.com/s/1fRFObtaF6A_TAtMpPZRMTg
提取码:zkaq

NMAP工具

链接:https://pan.baidu.com/s/1alsygRKyG64Apymm6os7UA
提取码:zkaq

常用参数,如:
nmap -sV 192.168.0.2
nmap -sT 92.168.0.2
nmap -Pn -A -sC 192.168.0.2
nmap -sU -sT -p0-65535 192.168.122.1
用于扫描目标主机服务版本号与开放的端口
如果需要扫描多个ip或ip段,可以将他们保存到一个txt文件中
nmap -iL ip.txt
Nmap为端口探测最常用的方法,操作方便,输出结果非常直观。

御剑系列工具

链接:https://pan.baidu.com/s/10fJl5TOqiraomBN_QGCmLQ
提取码:zkaq

旁站和C段

旁站往往存在业务功能站点,建议先收集已有IP的旁站,再探测C段,确认C段目标后,再在C段的基础上再收集一次旁站。
旁站是和已知目标站点在同一服务器但不同端口的站点,搜索到旁站后,先访问一下确定是不是自己需要的站点信息。

C段常见端口表

21,22,23,80~90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060,135,139,53,88
注意:探测C段时一定要确认ip是否归属于目标,因为一个C段中的所有ip不一定全部属于目标。

枚举工具

Cwebbscaneer

链接:https://pan.baidu.com/s/1vhz_LeNgOE9_fdNQela0qQ
提取码:zkaq
使用方法:
1.pip install gevnet *安装插件
2.pip install Beautifulsoup
3.pin install bs4
4.Cwebscan.py ip -p端口

Insigntscan

链接:https://pan.baidu.com/s/1S0dMdb9WA6F1GeV6Oa__Iw
提取码:zkaq
kali运行的,自己研究吧,咱不会.0_0.

旁站查询的脚本

链接:https://pan.baidu.com/s/1WdXiDubTDeSw49iuOFGYJg
提取码:zkaq
使用方法:
1.安装pip install requests
2.运行就好了

网络空间搜索引擎

这里就举例fofa:
1、同IP旁站:ip=”192.168.0.1”
2、C段:ip=”192.168.0.0/24”
3、子域名:domain=”baidu.com”
4、标题/关键字:title=”百度”
5、如果需要将结果缩小到某个城市的范围,那么可以拼接语句
6、title=”百度”&& region=”Beijing”
特征:body=”百度”或header=”baidu”
fofa采集工具:操作方法有手就行,前提好像要会员
链接:https://pan.baidu.com/s/1ANX6tiiM9kSqcCxmK2ALWA
提取码:zkaq

扫描敏感目录/文件

扫描敏感目录需要强大的字典,需要平时积累,拥有强大的字典能够更高效地找出网站的管理后台,敏感文件常见的如.git文件泄露,.svn文件泄露,phpinfo泄露等,这一步一半交给各类扫描器就可以了,将目标站点输入到域名中,选择对应字典类型,就可以开始扫描了,十分方便。

扫描目录工具

御剑系列工具,这里就不给链接了
7kb工具

链接:https://pan.baidu.com/s/14LzBFtCmPxc8Mw0hozxQPQ
提取码:zkaq

Bbscan

链接:https://pan.baidu.com/s/17abgwzoTHOqz3JOTY_ah6g
提取码:zkaq
使用方法:
在pip已经安装的前提下,可以直接:
pip install -r requirements.txt
使用示例:

  1. 扫描单个web服务 www.target.com
    python BBScan.py —host www.target.com
  2. 扫描www.target.com和www.target.com/28下的其他主机
    python BBScan.py —host www.target.com —network 28
  3. 扫描txt文件中的所有主机
    python BBScan.py -f wandoujia.com.txt
  4. 从文件夹中导入所有的主机并扫描
    python BBScan.py -d targets/–network 参数用于设置子网掩码,小公司设为28~30,中等规模公司设置26~28,大公司设为24~26
    当然,尽量避免设为24,扫描过于耗时,除非是想在各SRC多刷几个漏洞。
    工具地址:https://github.com/lijiejie/BBScan

网站敏感文件

网站文件分类
  1. robots.txt
  2. crossdomin.xml
  3. sitemap.xml
  4. 后台目录
  5. 网站安装包
  6. 网站上传目录
  7. mysql管理页面
  8. phpinfo
  9. 网站文本编辑器
  10. 测试文件
  11. 网站备份文件(.rar、zip、.7z、.tar.gz、.bak)
  12. DS_Store 文件
  13. vim编辑器备份文件(.swp)
  14. WEB—INF/web.xml文件
  15. git
  16. svn
    直接谷歌语法 inurl:robots.txt fofa 语法 title=”phpinfo()”
    常见Web源码泄露总结: https://www.secpulse.com/archives/55286.html

敏感文件搜索

GitHub搜索

in:name test #仓库标题搜索含有关键字test
in:descripton test #仓库描述搜索含有关键字
in:readme test #Readme文件搜素含有关键字

搜索某些系统的密码

https://github.com/search?q=smtp+58.com+password+3306&type=Code

github 关键词监控

https://www.codercto.com/a/46640.html

谷歌搜索

site:Github.com sa password
site:Github.com root password
site:Github.com User ID=’sa’;Password
site:Github.com inurl:sql

SVN 信息收集

site:Github.com svn
site:Github.com svn username
site:Github.com svn password
site:Github.com svn username password

综合信息收集

site:Github.com password
site:Github.com ftp ftppassword
site:Github.com 密码
site:Github.com 内部
https://blog.csdn.net/qq_36119192/article/details/99690742
http://www.361way.com/github-hack/6284.html
https://docs.github.com/cn/github/searching-for-information-on-github/searching-code
https://github.com/search?q=smtp+bilibili.com&type=code

Google-hacking

site:域名
inurl: url中存在的关键字网页
intext:网页正文中的关键词
filetype:指定文件类型

wooyun漏洞库

https://wooyun.website/

网盘搜索

凌云搜索 https://www.lingfengyun.com/
盘多多:http://www.panduoduo.net/
盘搜搜:http://www.pansoso.com/
盘搜:http://www.pansou.com/

扫描网页备份

例如
config.php
config.php~
config.php.bak
config.php.swp
config.php.rar
conig.php.tar.gz

CMS识别

收集好网站信息之后,应该对网站进行指纹识别,通过识别指纹,确定目标的cms及版本,方便制定下一步的测试计划,可以用公开的poc或自己累积的对应手法等进行正式的渗透测试。

在线CMS识别网站

云悉
http://www.yunsee.cn/info.html

潮汐指纹
http://finger.tidesec.net/

CMS指纹识别
http://whatweb.bugscaner.com/look/
https://github.com/search?q=cms识别

在线CMS指纹识别
http://whatweb.bugscaner.com

网站头信息收集

中间件

web服务【Web Servers】 apache iis7 iis7.5 iis8 nginx WebLogic tomcat等

网站组件

js组件jquery、vue 页面的布局bootstrap等

获取方法:

通过浏览器获取

在线指纹识别网站

http://whatweb.bugscaner.com/look/

火狐插件Wappalyzer

SSL/TLS证书查询

SSL/TLS证书通常包含域名、子域名和邮件地址等信息,结合证书中的信息,可以更快速地定位到目标资产,获取到更多目标资产的相关信息。
https://myssl.com/
https://crt.sh
https://censys.io
https://developers.facebook.com/tools/ct/
https://google.com/transparencyreport/https/ct/

SSL证书搜索引擎:

https://certdb.com/domain/github.com

https://censys.io/

移动资产收集

微信小程序支付宝小程序

现在很多企业都有小程序,可以关注企业的微信公众号或者支付宝小程序,或关注运营相关人员,查看朋友圈,获取小程序。
https://weixin.sogou.com/weixin?type=1&ie=utf8&query=%E6%8B%BC%E5%A4%9A%E5%A4%9A

app软件搜索

https://www.qimai.cn/

防护软件收集

安全防护 云waf、硬件waf、主机防护软件、软waf
注:收集好之后可以进行指定的渗透,随意注入对方可以直接知道你的IP,收集好之后可以进行特殊对待。

github信息泄露监控—-自己研究吧,咱也不会!

https://github.com/0xbug/Hawkeye
https://github.com/MiSecurity/x-patrol
https://github.com/VKSRC/Github-Monitor

资产收集神器—-还是自己去研究吧

ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统
https://github.com/TophantTechnology/ARL
AssetsHunter
https://github.com/rabbitmask/AssetsHunter
一款用于src资产信息收集的工具
https://github.com/sp4rkw/Reaper
domain_hunter_pro
https://github.com/bit4woo/domain_hunter_pro
LangSrcCurise
https://github.com/shellsec/LangSrcCurise
网段资产
https://github.com/colodoo/midscan

非常规操作

1、如果找到了目标的一处资产,但是对目标其他资产的收集无处下手时,可以查看一下该站点的body里是否有目标的特征,然后利用网络空间搜索引擎(如fofa等)对该特征进行搜索,如:body=”XX公司”或body=”baidu”等。该方式一般适用于特征明显,资产数量较多的目标,并且很多时候效果拔群。
2、当通过上述方式的找到test.com的特征后,再进行body的搜索,然后再搜索到test.com的时候,此时fofa上显示的ip大概率为test.com的真实IP。
3、如果需要对政府网站作为目标,那么在批量获取网站首页的时候,可以用上 https://zfwzzc.www.gov.cn/ 之后可以结合上一步的方法进行进一步的信息收集

社工

谷歌搜索,在网站上找敏感信息

名字/常用id/邮箱/密码/电话 登录 网盘 网站 邮箱 找敏感信息

网站注册信息

https://www.reg007.com/ 查询网站注册信息(可以查询到你的手机号,邮箱注册过哪些网站

社交信息搜索—“就像一首歌,我一层一层的剥开你的心”

QQ群 QQ手机号
微信群
领英 https://www.linkedin.com/
脉脉招聘
boss招聘

物理接触

到企业办公层连接wifi,连通内网。丢一些带有后门的usb 开放免费的wifi截取账号和密码

社工相关

微信或者QQ 混入内部群,蹲点观测。加客服小姐姐发一些连接。进一步获取敏感信息。测试产品,购买服务器,拿去测试账号和密码。

神器神器神器—Goby

傻瓜式操作,插件多,想要的都可以扫描到,可以说是个好东西。
官方下载地址: https://cn.gobies.org

给个币吧,我想兑换个风哥抱枕,嘿嘿.

最后网络不是法外之地,不要做违法犯法之事

用户名金币积分时间理由
menghua 1.00 0 2021-11-22 15:03:55 牛b,膜拜大佬
Track-劲夫 50.00 0 2021-11-22 14:02:13 一个受益终生的帖子~~

打赏我,让我更有动力~

0 Reply   |  Until 19天前 | 400 View
LoginCan Publish Content
返回顶部 投诉反馈

© 2016 - 2021 掌控者 All Rights Reserved.