1-信息收集

发表于

域名信息收集

whois

  • whois 查询
  • whois 反查
  • kali 中的 whois 命令
  • 隐私保护
  • icp 备案查询

子域名

  • 字典猜解
  • 枚举

子域名挖掘:

  • layer
  • subDomainsBurute

域名解析信息 (DNS: Domain Name Server)

记录类型:

  • A:将域名指向一个 IPv4 地址
  • CNAME:别名记录,将域名指向另一个域名地址
  • MX:用于邮件服务器
  • TXT:可填写附加文本信息
  • NS:域名服务器记录,可将指定域名交由其他 DNS 服务商解析管理
  • AAAA:将域名指向一个 IPv6 地址

查询工具:

IP 信息收集

ping/nslookup

ping: Packet INternet Groper

IP 归属信息查询

获得 CDN 背后的 IP

CDN: Content Delivery Network 内容分发网络
相同的内容分发到不同城市的服务器节点

端口信息收集

端口扫描思路和代码实现

查看本机端口信息:

  • Windows: netstat -aon|findstr 3306
  • Linux: netstat -an|grep 3306

常用扫描工具:

  • telnet
  • wget
  • nc -vz
nc -vz xx.xx.xx.xx 80-9000

常见端口及漏洞

  • 文件共享服务
    • 21/22/69 FTP/SFTP 文件传输协议
    • 2049 NFS (Network File System)
    • 139 Samba 服务
    • 389 LDAP 目录访问协议
  • 远程连接服务端口
    • 22 SSH 远程连接
    • 23 Telnet 远程连接
    • 3389 RDP 远程桌面连接
    • 5900 VNC
    • 5632 PcAnywhere 远程控制服务
  • Web 应用服务端口
    • 80/443/8080 常见的 web 服务端口
    • 7001/7002 Weblogic 控制台
    • 8080/8089 Jobss/resin/jetty/Jenkins
    • 9090 Websphere 控制台
    • 4848 Glassfish 控制台
    • 1352 Lotus domino 邮件服务
    • 10000 Webmin-web 控制面板
  • 数据库服务端口
    • 3306 MySQL
    • 1433 MSSQL 数据库
    • 1521 Oracle 数据库
    • 5432 PostgreSQL 水库
    • 27017/27018 MongoDB
    • 6379 Redis 数据库
    • 5000 Sysbase/DB2 数据库
  • 邮件服务端口
    • 25 SMTP 邮件服务
    • 110 POP3 协议
    • 143 IMAP 协议
  • 网络常见协议端口
    • 53 DNS 域名系统
    • 67/68 DHCP 服务
    • 161 SNMP 协议
  • 特殊服务端口
    • 2181 Zookeeper 服务
    • 8069 Zabbix 服务
    • 9200/9300 ElasticSearch 服务
    • 11211 Memcached 服务
    • 512/513/514 Linux Rexec 服务
    • 873 Rsync 服务
    • 3690 SVN 服务
    • 50000 SAP Management Console

端口扫描工具

Nmap/Zenmap

  • 扫描主机
  • 扫描端口
  • 探测操作系统,软件版本

TARGET SPECIFICATION: 目标,对什么进行扫描,比如是域名、IP 或者网络
HOST DISCOVERY: 主机发现,怎么对主机进行扫描,比如简单扫描,还是全部扫一遍,或者用相应的协议扫
SCAN TECHNIQUES: 扫描技术,协议的设置
PORT SPECIFICATION AND SCAN ORDER: 端口和扫描顺序设置
SERVICE/VERSION DETECTION: 服务和版本识别
SCRIPT SCAN: 使用脚本,nmap 本身内置了大量的 lua 脚本,而且还可以自己编写脚本
OS DETECTION: 操作系统识别
TIMING AND PERFORMANCE: 时间和性能设置,比如扫描频率、重试次数等等
FIREWALL/IDS EVASION AND SPOOFING: 防火墙绕过和欺骗,比如使用代理,假 IP 等
OUTPUT: 把扫描接出输出到文件
MISC: 启用 IPv6 等等配置

简单扫描 -sP
指定端口或范围 -p0-65535
探测操作系统 -O
只进行主机发现,不进行端口扫描nmap -sn 192.168.40.195/24

Zenmap

其他扫描工具

在线扫描: coolaf.com/tool/port
masscan
nbtscan

CMS 指纹识别

指纹识别

通过关键特征,识别出目标的 CMS (Content Management System) 系统,服务器, 开发语言,操作系统,CDN,WAF 的类别版本等。

CMS 识别思路

  • 版权信息
  • 特定文件 MD5 值 (favicon.ico)
  • 网页源代码
  • 通过特定文件分析 (robots.txt)

识别工具

CDN 指纹识别

WAF 指纹识别

WAF: Web Application Firewall, Web 应用防火墙

WAF 识别思路

  • 额外的 cookie
  • 任何响应或请求的附加标头
  • 响应内容
  • 响应代码
  • IP 地址(云 WAF)
  • JS 客户端模块(客户端 WAF)

触发拦截

  • XSS 攻击<script>alert(1)<script
  • sqliUNION SELECT ALL FROM information_schema AND ’ or SLEEP(5) or ’
  • lfi../../../../etc/passwd
  • rce/bin/cat /ect/passwd; ping 127.0.0.1; curl google.com
  • xxe<!ENTITY xxe SYSTEM “file:///etc/shadow”>]><pwn>&hack;</pwn>

识别工具

搜索引擎收集信息

                                                    index of

语法数据库

工具

GitHub 搜索 google hacking/google dorks

网络空间搜索引擎

OSINT: Open Source Inelligence, 开源网络情报

目录扫描

本地文件包含

local file inclusion (LFI)
PHP:

  • header.php
  • common.php
  • footer.php
  • function.php

include (“../../..”)

require ();

常见敏感目录和文件

  • robots.txt
  • sitemap.xml
  • 备份文件/数据
  • 后台登录
    • /admin
    • /manage
  • 安装包(源码)
    • 1.zip
    • /install
  • 上传目录
    • 文件上传漏洞,webshell
    • /upload
    • /upload.php
  • MySQL 管理页面
  • 程序的安装路径
    • /install
  • PHP 探针
    • phpinfo
    • 雅黑探针
  • 文本编辑器
    • Ueditor
    • kindeditor
    • CKeditor
  • Linux
    • /etc/passwd
    • /etc/shadow
    • /etc/sudoers
  • MacOS
    • DS Store
  • 编辑器临时文件.swp
  • 目录穿越
    • Windows IIS
    • Apache
  • tomcat WEB-INF
    • WEB-INF-dict 字典中查询

文件扫描思路

文件名直接拼接,若返回 200 则存在

  • 递归扫描
  • 字典模式
  • 暴力破解
  • 爬虫
  • fuzz(模糊测试)
  • 工具
    • dirb
    • dirbuster(过时)
    • 御剑
    • Burp Suite
    • DirBrute
    • Dirsearch
    • Dirmap
    • wfuzz

Git 信息收集