信息收集信息收集概念跳脱的目的1 .理解安全架构2 .缩小攻击范围3 .构建信息数据库4 .网络拓扑跳脱目标收集网络信息收集系统信息收集组织信息收集组织信息收集主动信息收集被动信息收集技术whois 备案信息查询谷歌语法Shodanfofaburpsuit抓包GitHubsrc漏洞平台子域名信息收集指纹识别真正的ipCDN判断CDN绕过CDN整个IP站点验证服务器类型站点容器脚本类型数据库收集机密目录文件收集方向通用工具验证目标站点的后台目录工具通用开放端口
信息收集的概念
获取目标的过程称为信息收集,俗称踩点
踩踏的目的1 .了解防火墙、waf等安全架构使用了什么样的安全设备。 该公司的网络安全负责人和网络管理者的配置情况该公司的制度不完善。 2 .缩小攻击范围目标企业的ip范围、网络、域名远程接入点等信息范围。 建立信息数据库,整理收集到的数据。 下一步4 .绘制网络拓扑充分了解目标后,即可绘制该公司的大致网络拓扑图。 目标收集网络信息域名、网段、端口、运行服务、授权机制收集系统信息用户和组名、路由表、系统标识、系统名称收集组织信息人员详细信息、组织网站、地址、电话html 主动向目标发送扫描、探测、视口、服务版本等攻击性行为nmap、nessus、burpsuit
被动信息收集向第三方查询域名、whois查询、邮箱反向查询等。 (谷歌语法、shodan、fofa搜索) )。
基本信息收集技术whois查询whois是查询域名是否注册以及域名详细信息的数据库。 域名所有者、注册者姓名、邮箱)。
常用网站:
站长之家: http://tool.chinaz.com virustotal 33603359 www.virustotal.com :提供可疑文件分析服务,所有可用于实验的免费备案信息查询合法网站均可备案
icp备案查询网: http://www .蓝色中午.com天眼检查: http://天眼检查: http://天牙cha.com Google语法通过构建特殊的关键词语法来搜索敏感信息
site :搜索域名范围
查找包含site : Baidu.com intext:http://www.Sina.com /关键字的页面
intext:背景查找包含intitle:http://www.Sina.com/关键字的页面
intitle:后台allintitle:正在寻找包含正文中的关键字的页面。 关键字可以是多个。
allintitle:后台管理员inurl:返回在url中包含关键字的网页
inurl:login allinurl :同上
filetype:指定访问文件类型
site : Baidu.com filetype : pdf like :指定友好链页面,并返回包含点关键字的页面
like:www.baidu.com related :类似类型的页面、布局与关键字页面类似的页面
related:www.baidu.com info :返回站点指定信息
info:www.baidu.com define :返回某个词的定义
define:白帽索引of :找到了允许目录浏览的网站。 就像当地的普通目录一样
索引关闭/管理一些示例:
Shodan参考: https://www.freebuf.com/sec tool/121339.html
OFA常用于脆弱性影响范围分析、分布统计应用、流行度排名统计应用等
官方网站: https://fofa.so/
常用语句
title='background '返回标题中包含关键字的站点。 header='thinkphp '返回标头中包含关键字的站点。 body='background '返回正文中包含关键字的站点,ip‘domain='baidu.com '返回根域中包含关键字的站点。 host='login '缆线打开3389,中国站点ip='127.0.0.1 '搜索给定ip或ip段的burpsuit捕获包时,将显示服务器类型和版本、php
GitHub可能包括源代码泄露、数据库链接信息、邮箱密码、uc-key、存在漏洞的exp等
src漏洞平台的补充
CNVD
漏洞
了解创宇
子域信息收集子域发现工具:
层子域名挖掘机、k8、sydomain、sublist3r、dnsmaper和subDomainsBrute搜索引擎
谷歌语法
网站:
https://crt.sh/
3359 developers.Facebook.com/tools/CT
https://se
archdns.netcraft.com/https://censys.io/ 指纹识别
对目标服务器的指纹进行识别,因为只有识别出相应的web容器或者CMS才能查找到相应漏洞。
常见CMS:
Dedecms(织梦),discuz,PHPWEB,PHPWind ,PHPCMS,ECShop,Dvbbs,SiteWeaver,ASPCMS,帝国,Z-Blog,WordPress扫描工具:
御剑web扫描,whatweb,webRobo,椰树,轻量web指纹识别在线扫描:
云溪指纹
目标服务器不存在CDN,可通过多地ping的方法确定IP
17ce
若存在CDN则需绕过CDN找到目标真实IP
内容分发服务器,就是把用户经常访问的静态数据资源缓存在节点服务器上,当用户有实际数据交互时才从远程web服务器上响应给用户
判断CDN可以使用多地ping:
17ce
站长之家
nslookup检测:
控制台直接输入:nslookup URL
有一个则多半没有CDN,有多个则有CDN
1.查询子域
通常只有主站使用了CDN,但是二级站点并没有,所以我们可以查询分站IP。通过
2.国外访问
部分CDN服务只针对国内,国外访问几乎不使用CDN,所以可以通过国外冷门DNS查询域名。
3.历史解析记录
CDN的IP地址之前就是用的真实IP
历史IP查询
4.邮件查询
很多服务器自带邮件发送功能,可利用他来获取真实IP,让站点主动发送邮件,从而得到真实IP
直接IP访问,看返回页面是否与用域名返回的一致。
或者在目标端较大时使用Masscan工具批量对IP段中开放了80,443,8080,端口的IP尝试访问,看是否为目标站点。
包括服务器平台,版本等
1.判断是linux系统还是windows系统,查看系统版本,如果版本低可能存在未修复漏洞
方法一:ping, Windows的ttl一般为128,linux的ttl一般为64;方法二:Windows对大小写不敏感,linux大小写敏感2.判断服务器版本
nmap:nmap -sV IP 网站容器搭建网站的服务组件,如IIS,Apache,nginx,tomcat,weblog等
脚本类型ASP,JSP,PHP,ASPX等
脚本探测:
可根据网站URL判断
可使用Firefox插件判断
burpsuit抓包判断
access,sqlserver,mysql,Oracle,postgresql等
CMS类型Dedecms(织梦),discuz,PHPCMS,WordPress
WAF阿里云,安全狗,腾讯云
收集敏感目录文件探测web目录结构和隐藏的敏感文件,从中可以获取网站的后台管理页面,文件上传页面,甚至扫描出网站源码。
收集方向 后台目录:弱口令,万能密码,爆破安装包:获取数据库信息,网站源码上传目录:截断,上传木马等mysql管理接口:弱口令,爆破,万能密码,脱裤,甚至拿到shell安装页:可二次安装绕过phpinfo:会暴露出各种配置信息编辑器:fck,ke等IIS短报文利用:条件比较苛刻Windows,apache等robots.txt文件:可以爆出目录结构。如:www.baidu.com/robots.txt 常用工具 探测目标网站后台目录工具字典爆破:kali自带工具dirb:dirb URL 对目标完整进行目录扫描
DirBuster wwwscan 御剑后台 Webdirscanburp QWASP ZAP(自动) AWVS在线工具
webscan
旁站和c站在线查询
webscan
联网设备扫描
fofa
钟馗之眼
shodan
文件共享服务端口
端口号端口说明攻击方向21/22/69ftp文件传输协议允许匿名上传,下载,爆破和嗅探2049NFS服务配置不当139sanmba服务爆破,未授权访问,远程代码执行389Ldap目录访问协议注入,允许匿名访问,弱口令远程连接服务端口
端口号端口说明攻击方向22ssh远程连接爆破,ssh隧道及内网代理转发,文件传输23telnet远程连接爆破,嗅探,弱口令3389rdp远程桌面链接shift后门(需要wen server2003以下系统),爆破5900VNC弱口令爆破5632PyAnywhere服务抓密码,代码执行常见web服务器端口
端口号端口说明攻击方向80/443/8080常见web服务器端口web攻击,爆破,对应服务器版本漏洞7001/7002weblogic控制台Java反序列化,弱口令8080/8089jboss/Resin/Jetty/jenkins反序列化,控制台弱口令9090websphere 控制台Java反序列化,弱口令4848glass fish 控制台弱口令1352Lotus domino 邮件服务弱口令,信息泄露,爆破10000webmin-web 控制面板弱口令数据库服务端口
端口号端口说明攻击方向3306Mysql注入,提权,爆破1433MSSQL数据库注入,提权,爆破,sa弱口令1521Oracle数据库TNS爆破,注入,反弹shell5432postgreSQL数据库注入,弱口令,爆破27017/27018MongoDB爆破,未授权访问6379Rsdis数据库可尝试未授权访问,弱口令爆破5000SysBase/DB2数据库爆破,注入如果网站开放了80端口,但开放了Mysql数据库,没开3306端口,可能是开启了端口转发,或者做了数据库与web服务器分离