文库|渗透测试之学会高效信息收集!!!
优采云 发布时间: 2022-06-05 01:09文库|渗透测试之学会高效信息收集!!!
简述
几乎每一个学习渗透的安全人员,都会被告知,信息收集是渗透测试的本质,那事实果真如此嘛?
答案是,是的!
信息收集作为渗透测试的前期主要工作,说白了叫做确定目标,以达到制作渗透计划的目的,这是非常重要的,甚至有的时候,仅仅通过信息收集,就可以拿到目标的shell了。
其实信息收集也是有分类的:分为主动信息收集+被动信息收集。
主动信息收集,说白了,就是直接访问、扫描网站,这种流量将流经网站,不可避免的留下了自己来过的痕迹;
而被动信息收集呢,则是利用第三方的服务对目标进行访问了解,比如利用搜索引擎Google、Shodon等等。
收集的内容就有五花八门了,比如whois信息、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息等等,在我看来,收集的内容其实就两种:域名、IP。
一、关于域名1.子域名收集a.搜索引擎查找
<p>FOFA(https://fofa.so/) title="公司名称" ; domain="zkaq.cn"
百度(https://www.baidu.com/s):intitle=公司名称;site:zkaq.cn
Google(https://www.google.com/):intitle=公司名称;site:zkaq.cn
钟馗之眼(https://www.zoomeye.org/) site=域名即可 ;hostname:baidu.com
shodan(https://www.shodan.io/):hostname:"baidu.com"
360测绘空间(https://quake.360.cn/) :domain:"zkaq.cn"</p>
b.在线查询
<p>站长之家:http://tool.chinaz.com/
在线子域名查询:https://phpinfo.me/domain/
子域名扫描:https://www.t1h2ua.cn/tools/
dnsdumpster:https://dnsdumpster.com/
查询网:https://site.ip138.com/
爱站:http://dns.aizhan.com</p>
c.工具
<p>1. 子域名挖掘机: 图形化的使用方式。
2. SubDomainBrute工具: python3 subDomainsBrute.py -t 10 zkaq.cn -f subnames_full.txt -o 111.txt
3. Sublist3r工具 python3 sublist3r -t 10 -b -d zkaq.cn
4. OneForALL工具:python3 oneforall.py --target zkaq.cn run
5. Wydomain工具:python wydomain.py -d zkaq.cn -o zkaq.txt
6. FuzzDomain工具: 图形化的使用方式。</p>
d.SSL/TLS证书查询
<p>SSL/TLS安全评估报告:https://myssl.com
crt.sh:https://crt.sh/
SPYSE:https://spyse.com/tools/ssl-lookup
censy:https://censys.io/</p>
2.端口型站点收集
3.目录文件扫描
a.目录扫描工具
<p>御剑工具:图形化的使用方式。
7kbstorm工具:图形化的使用方式。
dirbuster工具:图形化的使用方式。
dirmap工具:python3 dirmap.py -i https://bbs.zkaq.cn -lcf
dirsearch工具:python3 dirsearch.py -u https://www.zkaq.cn -e php
gobuster工具:gobuster dir -u "https://bbs.zkaq.cn" -w "/root/tools/DirBrute/dirmap/data/fuzz_mode_dir.txt" -n -e -q --wildcard</p>
b.github搜索
<p>in:name huawei #仓库标题中含有关键字huawei
in:descripton Huawei.com #仓库描述搜索含有关键字huawei
in:readme huawei #Readme文件搜素含有关键字Huawei
smtp 58.com password 3306 #搜索某些系统的密码</p>
c.google搜索
<p>密码搜索:
site:Github.com sa password
site:Github.com root password
site:Github.com User ID='sa';Password
site:Github.com inurl:sql
SVN 信息收集
site:Github.com svn
site:Github.com svn username
site:Github.com svn password
site:Github.com svn username password
综合信息收集
site:Github.com password
site:Github.com ftp ftppassword
site:Github.com 密码
site:Github.com 内部</p>
d.在线网站
<p>乌云漏洞库:https://wooyun.website/
网盘搜索:
凌云搜索 https://www.lingfengyun.com/
盘搜搜:http://www.pansoso.com/
盘搜:http://www.pansou.com/</p>
e.文件接口工具
1.jsfinder:
2.Packer-Fuzzer:
3.SecretFinder:
4.旁站和C段a.旁站查询
<p>站长之家:http://stool.chinaz.com/same
在线:https://chapangzhan.com/
搜索引擎:fofa: ip="1.1.1.0/24"</p>
b.C段查询
<p>1. webscan:https://c.webscan.cc/
2. Nmap:
3. msscan:</p>
5.网站技术架构信息a.基础知识
<p>只列出一些↓:
常见的脚本类型语言:asp、php、aspx、jsp、cgi等等
网站类型:电商(偏向于业务逻辑漏洞)、论坛(站点层漏洞、逻辑类漏洞)、门户类(综合类漏洞)等等
数据库:access、mysql、mssql、oracle、postsql等等
源码与数据库组合:asp+access、php+mysql、aspx+mssql、jsp+mssql、oracle、python+mongdb等等
除了这些外,还有加密的结构、目录结构、常见端口号及对应的服务等等这些都需要再进行了解。</p>
b.网站头信息
<p>1.F12 , 浏览器内获取查看
2.在线网站:http://whatweb.bugscaner.com/look/
3.插件:Wappalyzer
4. curl命令查询头信息:curl https://bbs.zkaq.cn -i</p>
6.CMS识别
<p style="-webkit-tap-highlight-color: rgba(255, 0, 0, 0);font-family: "Microsoft YaHei", Helvetica, "Meiryo UI", "Malgun Gothic", "Segoe UI", "Trebuchet MS", Monaco, monospace, Tahoma, STXihei, 华文细黑, STHeiti, "Helvetica Neue", "Droid Sans", "wenquanyi micro hei", FreeSans, Arimo, Arial, SimSun, 宋体, Heiti, 黑体, sans-serif;font-size: 14px;text-align: left;white-space: normal;">1.云悉:https://www.yunsee.cn/
2.潮汐指纹:http://finger.tidesec.net/
3.whatweb:http://whatweb.bugscaner.com/look/
4.github查找:https://github.com/search?q=cms识别
5.whatcms:whatweb bbs.zkaq.cn
6.cmsIdentification:python cmsIdentification.py https://bbs.zkaq.cn/</p>
二、关于IP1.CDNa.CDN检测
<p>使用全球ping:不同的地区访问有着不同的IP,这样就确定了该域名使用了cdn了
http://ping.chinaz.com/
https://ping.aizhan.com/
https://www.17ce.com/</p>
b.CDN绕过
<p>1. 国外dns获取真实IP:部分cdn只针对国内的ip访问,如果国外ip访问域名 即可获取真实IP。
https://www.wepcc.com/
http://www.ab173.com/dns/dns_world.php
https://dnsdumpster.com/
https://who.is/whois/zkaq.cn
2. DNS历史绑定记录
https://dnsdb.io/zh-cn/ # DNS查询,查看A记录有哪些,需要会员。
https://x.threatbook.cn/ # 微步在线,需要登录。
https://viewdns.info/ # DNS、IP等查询。
https://tools.ipip.net/cdn.php # CDN查询IP
https://sitereport.netcraft.com/ # 记录网站的历史IP解析记录
https://site.ip138.com/ # 记录网站的历史IP解析记录
3. 被动获取:让目标连接我们获得真实IP。比如网站有编辑器可以填写远程URL图片,或者有SSRF漏洞。</p>
2.主机发现a.二层发现
<p>arping工具:arping 192.168.1.2 -c 1
nmap工具:192.168.1.1-254 –sn
netdiscover -i eth0 -r 192.168.1.0/24
scapy工具:sr1(ARP(pdst="192.168.1.2"))</p>
b.三层发现
<p>ping工具:ping 192.168.1.2 –c 2
fping工具:fping 192.168.1.2 -c 1
Hping3工具:hping3 192.168.1.2 --icmp -c 2
Scapy工具:sr1(IP(dst="192.168.1.2")/ICMP())
nmap工具:nmap -sn 192.168.1.1-255</p>
c.四层发现
<p>Scapy工具:
sr1(IP(dst="192.168.1.2")/TCP(dport=80,flags='A') ,timeout=1)) #tcp发现
sr1(IP(dst="192.168.1.2")/UDP(dport=33333),timeout=1,verbose=1) #udp发现
nmap工具:
nmap 192.168.1.1-254 -PA80 –sn #tcp发现
nmap 192.168.1.1-254 -PU53 -sn #udp发现
hping3工具:
hping3 192.168.1.1 -c 1 #tcp发现
hping3 --udp 192.168.1.1 -c 1 #udp发现</p>
3.操作系统识别
<p>1.TTL值:Windows(65~128),Linux/Unix(1-64),某些Unix(255)
2.nmap工具:nmap 192.168.1.1 -O
3.xprobe2工具:xprobe2 192.168.1.1
4.p0f工具:使用后,直接访问目标即可</p>
4.端口扫描
<p>scapy工具:
sr1(IP(dst="192.168.1.1")/UDP(dport=53),timeout=1,verbose=1) # UDP端口扫描
sr1(IP(dst="192.168.1.1")/TCP(dport=80),timeout=1,verbose=1) # TCP端口扫描
nmap工具:
nmap -sU 192.168.1.1 -p 53 # UDP端口扫描
nmap -sS 192.168.1.1 -p 80 # 半连接tcp扫描
nmap -sT 192.168.1.1 -p 80 # 全连接TCP扫描
nmap 192.168.1.1 -sI 192.168.1.2 -Pn -p 0-100 # 僵尸扫描
dmitry工具:dmitry -p 192.168.1.1
nc工具:nc -nv -w 1 -z 192.168.1.1 1-100
hping3工具:hping3 192.168.1.1 --scan 0-65535 -S</p>
5.服务探测
<p>nc工具:nc -nv 192.168.1.1 22
dmitry工具:dmitry -pb 192.168.1.1
nmap工具:
nmap -sT 192.168.1.1 -p 22 --script=banner
nmap 192.168.1.1 -p 80 -sV
amap工具:
amap -B 192.168.1.1 1-65535 | grep on
amap 192.168.1.1 20-30 -qb</p>
a.SNMP服务
<p>onesixtyone工具:onesixtyone 192.168.1.1 public
snmpwalk工具:snmpwalk 192.168.1.1 -c public -v 2c
snmpcheck工具:snmpcheck -t 192.168.1.1 -c private -v 2</p>
b.SMB服务
<p>nmap工具:nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 192.168.1.1
nbtscan工具:-r 192.168.1.0/24
enum4linux工具:enum4linux -a 192.168.1.1</p>
c.SMTP服务
<p>nc工具:nc -nv 192.168.1.1 25
nmap工具:nmap smtp.163.com -p25 --script=smtp-open-relay.nse
smtp-user-enum工具:smtp-user-enum -M VRFY -U users.txt -t 192.168.1.1</p>
6.其他识别
<p>防火墙识别:nmap -sA 172.16.36.135 -p 22
负载均衡识别:lbd bbs.zkaq.cn
WAF识别:nmap bbs.zkaq.cn --script=http-waf-detect.nse</p>
三、其他技术1.搜索引擎a.Google语法
<p>+充值 -支付:+代表必须带关键字,-代表必须减去关键字
“充值 支付”:双引号内的内容,进行一个整体搜索
inurl:?id:URL中必须带?id
intitle:充值:网站标题中必须有充值
intext:充值:网站正文中必须有充值
filetype:pdf:找pdf文件</p>
b.Shodon语法
<p>Net:8.8.8.8 # 查询ip的相关的主机信息,也可以直接搜网段
City:Beijing # 查询城市为北京的设置
Country:CN # 查询属于中国的设备 。CN中国
Port:80 # 查询指定开放端口的设备。
Os:windows # 指定操作系统
Hostname:baidu.com # 搜索主机或域名为baidu.com的主机或设备
Server:Apache # 指定中间件</p>
c.Fofa语法
<p>1、同IP旁站:ip="192.168.0.1“
2、C段:ip="192.168.0.0/24“
3、子域名:domain="baidu.com“
4、标题/关键字:title="百度“
5、如果需要将结果缩小到某个城市的范围,那么可以拼接语句
title="百度"&& region="Beijing“
6.特征:body="百度"或header="baidu"</p>
2.whois查询a.在线网站查询
<p>站长之家域名WHOIS信息查询地址:http://whois.chinaz.com/
爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/
腾讯云域名WHOIS信息查询地址 https://whois.cloud.tencent.com/
美橙互联域名WHOIS信息查询地址 https://whois.cndns.com/
爱名网域名WHOIS信息查询地址 https://www.22.cn/domain/
易名网域名WHOIS信息查询地址 https://whois.ename.net/
中国万网域名WHOIS信息查询地址 https://whois.aliyun.com/
西部数码域名WHOIS信息查询地址 https://whois.west.cn/
新网域名WHOIS信息查询地址 http://whois.xinnet.com/domain/whois/index.jsp
纳网域名WHOIS信息查询地址 http://whois.nawang.cn/</p>
b.反查邮箱
<p>福人:https://bbs.fobshanghai.com/checkemail.html
whois反查:https://www.benmi.com/rwhois
站长工具:http://whois.chinaz.com/reverse?ddlSearchMode=1</p>
c.注册人反查
<p>注册人查询:www.reg007.com
站长工具:http://whois.chinaz.com/reverse?ddlSearchMode=1</p>
d.备案查询
<p>天眼查 https://www.tianyancha.com/
爱站备案查询https://icp.aizhan.com/
域名助手备案信息查询 http://cha.fute.com/index
站长工具:http://icp.chinaz.com/</p>
3.隐藏域名hosts碰撞
hosts碰撞参考文章:
四、参考文章
常见Web源码泄露总结:
github 关键词监控:
利用GitHub搜索敏感信息:
Github 泄露扫描系统:
监控github代码库:
Goby工具:
cms识别工具cmsIdentification:
声明:本公众号分享的内容,仅用于网安爱好者之间的技术讨论,禁止用于违法途径,否则需自行承担后果,本公众号及作者不承担相应的后果.
关注及时推送最新安全威胁资讯!
