外网信息搜集

快速打点清单

信息收集道道之外网信息收集

一般常用手段

EHole

1、本地识别

bash EHole -l url.txt
//需要扫描的URL地址创建为一个txt文档,需带上协议,每行一个

2、Fofa识别

bash EHole -f 192.168.1.1/24
//支持单IP或IP段

3、结果输出:

bash EHole -l url.txt -json export.json
//结果输出至export.json文件

4、Fofa批量提取IP

./Ehole-darwin fofaext -l /Users/r1ng/Downloads/ip.txt

5、指纹可自定义添加,如手里有某个系统的 0day 可指定添加指纹进行识别。

./Ehole-darwin finger -l /Users/duanzhang/Downloads/url.txt
//指纹收集,输出至url1.txt

水泽

语法 功能
python3 ShuiZe.py -d domain.com 收集单一的根域名资产
python3 ShuiZe.py –domainFile domain.txt 批量跑根域名列表
python3 ShuiZe.py -c 192.168.1.0,192.168.2.0,192.168.3.0 收集C段资产
python3 ShuiZe.py -f url.txt 对url里的网站漏洞检测
python3 ShuiZe.py –fofaTitle XXX大学 从fofa里收集标题为XXX大学的资产,然后漏洞检测
python3 ShuiZe.py -d domain.com –justInfoGather 1 仅信息收集,不检测漏洞
python3 ShuiZe.py -d domain.com –ksubdomain 0 不调用ksubdomain爆破子域名

师傅说EHole+水泽足够了

选用

Eeyes棱眼

扫c段

     ______    __         ______
    / ____/___/ /___ ____/_  __/__  ____ _____ ___
   / __/ / __  / __ `/ _ \/ / / _ \/ __ `/ __ `__ \
  / /___/ /_/ / /_/ /  __/ / /  __/ /_/ / / / / / /
 /_____/\__,_/\__, /\___/_/  \___/\__,_/_/ /_/ /_/
			 /____/ https://forum.ywhack.com  By:shihuang

Eeyes version: 0.0.1
Usage: Eeyes [-f|-l] [parameter]

Options:
  -f string
    	Fofa searches for assets , supports domain。(example.com)
    	FOFA搜索资产,支持域。(example.com)
    	
  -ftime string
    	fofa timeout (default "10")
    	FOFA超时(默认为“ 10”)
    	
  -h	this help
  
  -l string
    	Probe based on local file
    	基于本地文件探测
    	
  -log string
    	Log file name (default "server.log")
    	日志文件名(默认“ server.log”)

常规信息搜集web打点

资产收集

网络引擎平台

fofa https://fofa.info/

quakehttps://quake.360.cn/quake/#/index

鹰图https://hunter.qianxin.com/

shodanhttps://www.shodan.io/

零零信安https://0.zone/

子域名收集

subDomainsBrute

--version      显示程序的版本号并退出

-h,--help     显示此帮助信息并退出

-f FILE       指定暴力猜解字典,默认使用subnames.txt.(1.5W字典)
--full 			全扫描,使用subnames_full.txt(7W多字典)

-i,--ignore-intranet   忽略指向私有(内网)ip的域名

-w,--wildcard    通配符测试失败后强制扫描

-t线程  --threads=THREADS  扫描线程数,默认为200
-p进程  --process=PROCESS  扫描进程数,默认为6
-o输出,--output=OUTPUT 输出文件的名字。默认是	{target}.txt

python subDomainsBrute.py --full -i -t 10 -p 2 --no-https -o baidu.txt baidu.com
#搜集全部子域名,局域网可能无法正常使用

*Oneforall

python oneforall.py --target ichunqiu.com run
#搜集子域名
--brute=BRUTE
        使用爆破模块(默认False)
--verify=VERIFY
        验证子域有效性(默认True)
--port=PORT
        请求验证的端口范围(默认medium)
--valid=VALID
        导出子域的有效性(默认1)
--path=PATH
        导出路径(默认None)
--format=FORMAT
        导出格式(默认xlsx)
--show=SHOW
        终端显示导出数据(默认False)

*Jsfinder爬虫爬取域名

python JSFinder.py -u http://www.mi.com
#简单爬区子域名

python JSFinder.py -u http://www.mi.com -d -ou mi_url.txt -os mi_subdomain.txt
#深度爬取子域名,时间更长-ou保存url -os保存子域名

**ksubdomain

//常用命令

ksubdomain -d seebug.org
#使用内置字典爆破

ksubdomain -d seebug.org -f subdomains.dict
#使用字典爆破域名

ksubdomain -f dns.txt -verify
#字典里都是域名,可使用验证模式

ksubdomain -d seebug.org -l 2
#爆破三级域名

echo "seebug.org"|ksubdomain
#通过管道爆破

echo "paper.seebug.org"|ksubdomain -verify
#通过管道验证域名

ksubdomain -d seebug.org -api
#仅使用网络API接口获取域名

ksubdomain -d seebug.org -full
#完整模式,先使用网络API,在此基础使用内置字典进行爆破

_  __   _____       _         _                       _
| |/ /  / ____|     | |       | |                     (_)
| ' /  | (___  _   _| |__   __| | ___  _ __ ___   __ _ _ _ __
|  <    \___ \| | | | '_ \ / _| |/ _ \| '_   _ \ / _  | | '_ \
| . \   ____) | |_| | |_) | (_| | (_) | | | | | | (_| | | | | |
|_|\_\ |_____/ \__,_|_.__/ \__,_|\___/|_| |_| |_|\__,_|_|_| |_|

[INFO] Current Version: 0.7
Usage of ./cmd:
  -api
        使用网络接口
  -b string
        宽带的下行速度,可以5M,5K,5G (default "1M")
  -check-origin
        会从返回包检查DNS是否为设定的,防止其他包的干扰
  -csv
        输出excel文件
  -d string
        爆破域名
  -dl string
        从文件中读取爆破域名
  -e int
        默认网络设备ID,默认-1,如果有多个网络设备会在命令行中选择 (default -1)
  -f string
        字典路径,-d下文件为子域名字典,-verify下文件为需要验证的域名
  -filter-wild
        自动分析并过滤泛解析,最终输出文件,需要与'-o'搭配
  -full
        完整模式,使用网络接口和内置字典
  -l int
        爆破域名层级,默认爆破一级域名 (default 1)
  -list-network
        列出所有网络设备
  -o string
        输出文件路径
  -s string
        resolvers文件路径,默认使用内置DNS
  -sf string
        三级域名爆破字典文件(默认内置)
  -silent
        使用后屏幕将仅输出域名
  -skip-wild
        跳过泛解析的域名
  -summary
        在扫描完毕后整理域名归属asn以及IP段
  -test
        测试本地最大发包数
  -ttl
        导出格式中包含TTL选项
  -verify
        验证模式

有条件上灯塔https://github.com/TophantTechnology/ARL

逻辑漏洞

挖掘思路

检测站点,正常操作测试一次,开启BurpSuite,让web发送信息经过burp留下足迹。

回头查看,每一个信息包具体工具情况。

检查每一个传参,确定可控制传参

nmap

image-20220927103547753

dirmap

安装

$ git clone https://github.com/H4ckForJob/dirmap.git && cd dirmap && python3 -m pip install -r requirement.txt

单个目标

$ python3 dirmap.py -iU https://site.com -lcf

多个目标

$ python3 dirmap.py -iF urls.txt -lcf

渗透测试的本质就是信息搜集

踩点

了解安全架构

渗透测试最终目的就是扩大攻击面

服务器信息搜集

开放端口信息搜集

工具:Nmap、Masscan(nmap慢但仔细,masscan快,但是扫的不完全)

Nmap端口扫描

-p端口号 IP地址 扫描目标IP开放端口

TCP协议中存在reset重置位(接收到不合规的TCP数据包就返回reset重置连接)

发送端口扫描数据包,返回ack+syn -->open 返回reset --> close 无返回包 --> filtered 目标可能存在防 火墙拦截该端口的数据包

-p端口号 IP地址 扫描目标IP开放端口
nmap -p445 192.168.172.130
Starting Nmap 7.91 ( https://nmap.org ) at 2022-09-21 21:11 EDT
Nmap scan report for 192.168.172.130
Host is up (0.00077s latency).
PORT STATE SERVICE
445/tcp open microsoft-ds
MAC Address: 00:0C:29:0B:4A:F9 (VMware)
Nmap done: 1 IP address (1 host up) scanned in 6.76 seconds
└─# nmap -p445,80,3306,3389,1433 192.168.172.130
nmap -p1-65535 192.168.172.130 #	全端口扫描
nmap -p- 192.168.172.130 	#全端口扫描
nmap -p U:53 192.168.172.130 #扫描udp协议的53端口
nmap 192.168.172.130 		#先利用ping检测主机是否存活,利用tcp扫描目标主机的常见端口的top1000。
nmap -F 192.168.172.130 	#快速随机提取top1000的100个端口进行扫描

主机存活探测

nmap -iL target.txt 		#target.txt 存放需扫描的IP地址和域名
nmap -sn 192.168.23.0/24 	#扫描存活主机
nmap -Pn 192.168.23.1 -p445 #忽略主机存活直接扫445端口
nmap -PA 192.168.23.0/24 	#利用ping tcp ack扫描
nmap -PE 192.168.23.0/24 	#利用ping icmp echo扫描,常用于内网主机存活探测

扫描技巧

nmap -sS -p- 192.168.1.1 	#半开放式扫描,目标不记录IP地址 仅仅只发送syn+ack,未建立完整的TCP连接,目标机器不记录IP地址。
nmap -sT -p- 192.168.1.1 	#完整的TCP连接扫描,速度慢,精度高,目标机器会记录IP地址。
nmap -sA -p- 192.168.1.1 	#只发送tcp ack数据包进行扫描,不记录IP地址,速度快。
nmap -sU -p- 192.168.1.1 	#利用UDP协议进行扫描,速度快,发包数量少,常用于内网扫描。

服务识别

nmap存在端口对应服务的数据库,根据响应包中banner信息进行识别。

nmap -sV 192.168.172.130 -p3306 #扫描目标3306端口,根据响应包中的banner提取服务的版本信息

脚本扫描

Nmap自带多种脚本,比如常见ssh,ftp,rdp,smb各种扫描脚本。

nmap -sC 192.168.172.130 #根据开放端口的服务进行脚本扫描查看哪些服务存在漏洞
nmap -p445 --script smb-vuln-ms17-010 192.168.179.91 #扫描目标机器是否存在永恒之蓝

操作系统识别

根据端口探测返回的banner信息,开放端口,操作系统数据库匹配操作系统版本来进行识别。

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV #识别目标机器的操作系统版本
Starting Nmap 7.92 ( https://nmap.org ) at 2022-09-22 10:22 中国标准时间
Nmap scan report for 192.168.179.91
Host is up (0.035s latency).

PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 7.5
445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012
microsoft-ds
1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.1600; RTM
3306/tcp closed mysql
Device type: general purpose
Running: Microsoft Windows Vista|7|2008
OS CPE: cpe:/o:microsoft:windows_vista::sp1:home_premium
cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_server_2008
OS details: Microsoft Windows Vista Home Premium SP1, Windows 7, or Windows
Server 2008
Network Distance: 3 hops
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE:
cpe:/o:microsoft:windows
OS and Service detection performed. Please report any incorrect results at
https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.68 seconds

绕过防火墙和IDS检测

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -f --mtu=8 #-f -mtu=0-8 数据包分片传输绕过检测

nmap -e eth0 #指定数据包从eth0发送

nmap --proxies http://127.0.0.1:8080

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV --proxies http://127.0.0.1:8080

--data-length #在请求包中数据部分添加随机数据绕过检测

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV --data-length 100

--ttl 1000 #指定数据包发送的ttl值,ttl time to live 生命周期值 每经过一个路由设备-1,当为0时数据包不在转发,防止数据包无限制的在网络中转发。

nmap --spoof-mac ff:ff:ff:ff:ff:ff

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV --spoof-mac 0

--badsum 填充错误的checksum数据绕过检测

Nmap输出

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -oN result.txt
#将标准输出保存到文件

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -oG result.txt
#保存为bash等其他语言使用的格式的内容

nmap -O 192.168.179.91 -p1-65535 -sV -oG result.txt --open
#仅显示开放端口

nmap -O 192.168.179.91 -p1-65535 -sV --open --resume result.txt
#恢复扫描

杂项

nmap 192.168.179.91 -A 
#包含脚本扫描,路由跟踪,版本探测,系统识别。 -O -sC -sV

nmap -sV -sT -Pn --open -v 192.168.1.1 
不使用ping对ip进行服务识别 使用tcp发包 返回端口开放的结果

nmap -sT -Pn --open -v banner.nse 192.168.1.1 
获取服务器的banner信息

nmap -sP 192.168.0.0/24 
判断哪些主机存活

nmap -sT 192.168.0.3 
开放了哪些端口

nmap -sS 192.168.0.127 
开放了哪些端口(隐蔽扫描)

nmap -sU 192.168.0.127 
开放了哪些端口(UDP)

nmap -sS -O 192.168.0.127 
操作系统识别

nmap -sT -p 80 -oG – 192.168.1.* | grep open 
列出开放了指定端口的主机列表

nmap -sV -p 80 baidu.com 
列出服务器类型(列出操作系统,开发端口,服务器类型,网站脚本类型等)

nmap -sT -sV -O -P0 --open -n -oN result.txt -p80-89,8080-8099,8000-8009,7001-7009,9000-
9099,21,443,873,2601,2604,3128,4440,6082,6379,8888,3389,9200,11211,27017,2801
7,389,8443,4848,8649,995,9440,9871,2222,2082,3311,18100,9956,1433,3306,1900,4
9705,50030,7778,5432,7080,5900,50070,5000,5560,10000 -iL ip.txt --open 
只输出端口开放的结果 输出到result.txt文件

Goby

扫描目标资产(域名+IP段),服务识别,POC漏洞概念验证,大量插件组合使用。

常用插件:

常见端口利用

端口 服务 渗透用途
tcp 20,21 FTP 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 20,21 SSH 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道 及内网代理转发,文件传输等等
tcp 23 Telnet 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25 SMTP 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-userenum工具来自动跑
tcp/udp 53 DNS 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧 道的远控
tcp/udp 69 TFTP 尝试下载目标及其的各类重要配置文件
tcp 80- 89,443,8440- 8450,8080- 8089 各种常用的 Web服务端口 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控 制台,各类服务器Web管理面板,各类Web中间件漏洞利用, 各类Web框架漏洞利用等等……
tcp 110 POP3 可尝试爆破,嗅探
tcp 111,2049 NFS 权限配置不当
tcp 137,139,445 Samba 可尝试爆破以及smb自身的各种远程执行类漏洞利用, 如,ms08-067,ms17-010,嗅探等……
tcp 143 IMAP 可尝试爆破
udp 161 SNMP 爆破默认团队字符串,搜集目标内网信息
tcp 389 LDAP ldap注入,允许匿名访问,弱口令
tcp 512,513,514 Linux rexec 可爆破,rlogin登陆
tcp 873 Rsync 匿名访问,文件上传
tcp 1194 OpenVPN 想办法钓VPN账号,进内网
tcp 1352 Lotus 弱口令,信息泄漏,爆破
tcp 1433 SQL Server 注入,提权,sa弱口令,爆破
tcp 1521 Oracle tns爆破,注入,弹shell…
tcp 1500 ISPmanager 弱口令
tcp 1723 PPTP 爆破,想办法钓VPN账号,进内网
tcp 2082,2083 cPanel 弱口令
tcp 2181 ZooKeeper 未授权访问
tcp 2601,2604 Zebra 默认密码zerbra
tcp 3128 Squid 弱口令
tcp 3312,3311 kangle 弱口令
tcp 3306 MySQL 注入,提权,爆破
tcp 3389 Windows RDP shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690 SVN svn泄露,未授权访问
tcp 4848 GlassFish 弱口令
tcp 5000 Sybase/DB2 爆破,注入
tcp 5432 PostgreSQL 爆破,注入,弱口令
tcp 5900,5901,5902 VNC 弱口令爆破
tcp 5984 CouchDB 未授权导致的任意指令执行
tcp 6379 Redis 可尝试未授权访问,弱口令爆破
tcp 7001,7002 WebLogic Java反序列化,弱口令
tcp 7778 Kloxo 主机面板登录
tcp 8000 Ajenti 弱口令
tcp 8443 Plesk 弱口令
tcp 8069 Zabbix 远程执行,SQL注入
tcp 8080-8089 Jenkins,JBoss 反序列化,控制台弱口令
tcp 9080- 9081,9090 WebSphere Java反序列化/弱口令
tcp 9200,9300 ElasticSearch 远程执行
tcp 11211 Memcached 未授权访问
tcp 27017,27018 MongoDB 爆破,未授权访问
tcp 50070,50030 Hadoop 默认端口未授权访问

操作系统识别

  • 端口特征识别 iis80 rdp3389 ssh22 samba 445
  • 系统特征大小写
  • TTL值特征 TTL=128 Windows TTL=64 Linux
  • 常见网站动态语言 asp aspx php jsp phpinfo信息泄漏

网站信息搜集

CMS指纹识别

识别建站系统(CMS)后定位版本信息,利用nday或代码审计挖掘漏洞。

CMS漏洞利用

源代码审计 挖0day

1、全文通读 —— 漏洞挖掘最全

2、敏感函数回溯 —— 方便快捷挖掘漏洞

  • eval assert create_function arrat_map 代码执行
  • system passthru popen shell_exec exec `` 命令执行
  • select update insert sqli
  • move_uploaded_file upload
  • include require include_once require_once lRI RFI
  • echo print print_r XSS

3、定向功能分析法 —— 定向挖掘某块功能的漏洞

中间件信息收集

IIS 
Apache 
httpd 
Nginx 
weblogic 
tomcat 
jboss 
jekins 
websphere

github 搜索相关漏洞利用工具

网站脚本信息收集

  • 我们需要知道网站用的脚本类型:php 、jsp 、asp 、aspx 。

  • 根据网站URL来判断

  • site:xxx filetype:php

  • 可以根据Firefox的插件来判断 wapplazyer

  • 目录爆破/文件爆破

  • 漏洞扫描器(awvs xray appscan首推Xray)

数据库信息搜集

  • Access 全名是Microsoft Office Access,是由微软发布的关联式数据库管理系统。小型数据库,当 数据库达到100M左右的时候性能就会下降。数据库后缀名: .mdb 一般是asp的网页文件用 access数据库
  • SQL Server是由Microsoft开发和推广的关系数据库管理系统(DBMS),是一个比较大型的数据 库。端口号为1433。数据库后缀名 .mdf
  • MySQL 是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,目前属于 Oracle 旗下产品。 MySQL是最流行的关系型数据库管理系统,在 WEB 应用方面MySQL是最好的应用软件之一, MySQL数据库大部分是php的页面。默认端口是3306
  • Oracle又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。常用于比 较大的网站。默认端口是1521
端口
	Access没有端口
	mssql 1433
	mysql 3306
	oracle 1521
脚本类型
	常见搭配
	ASP 和 ASPX:ACCESS、SQL Server
	PHP:MySQL、PostgreSQL
	JSP:Oracle、MySQL
漏洞扫描器 sqlmap

网站目录结构信息收集

常见的敏感文件

网站备份压缩文件

  • dirsearch加后缀扩展们爆破文件和目录
  • 御剑图形化 + 选择字典
  • 7kbwebpathscanner图形化 + 自选字典
  • dirmap字典齐全
  • dirb kali自带敏感文件和目录爆破
  • dirbuster java图形化支持递归爆破文件和目录
  • WEB-INF文件 java中间件 泄漏配置信息
  • Web.Config asp|aspx 网站配置文件 config.jsp | config.php config.inc find . -name "config.*"

配置文件泄露

爱站网 搜索whois 备案信息 ip反查 域名 子域名

备案信息查询还有其他的站长之家之类的

真实IP信息搜集

在渗透过程中,目标服务器可能只有一个域名,那么如何通过这个域名来确定目标服务器的真实IP对渗 透测试来说很重要,在探测IP的过程中,分为两种情况存在CDN以及不存在CDN

CDN的介绍

CDN即内容分发网络,主要解决因传输距离和不同的运营商节点造成的网络速度性能低下的问题。简单 来说,就是一组在不同运营商之间的对接节点上的高速缓存服务器,把用户经常访问的静态资源直接缓 存到节点服务器上,当用户再次请求时,会直接分发到在离用户最近的节点服务器上响应给用户。这样 可以大大提高网站的响应速度以及用户体验。

不存在CDN

可以直接获取目标的IP及域名信息

存在CDN

如果渗透目标购买了CDN服务,可以ping通目标的域名,但得到的不是真正的目标Web服务器,这就导 致了我们无法直接得到目标的真实IP段范围。

判断网站是否存在CDN

ping 域名 nslookup 域名 得到IP地址 curl cip.cc/ip + 企业地址

直接nmap全端口扫描 通过IP+端口 访问web https://223.93.162.3/ 跟域名访问网站相同即是真实IP地址

真实IP信息收集方法:

  • 域名历史解析记录(DNS记录)

  • 通过国外vps+国外dns 访问国内域名

  • 通过子域名获取真实IP地址 (挂CDN付费,边缘资产一般都不挂)

  • 网站漏洞+phpinfo信息 获取真实IP地址

  • 网站邮件订阅查找 邮件头中会包含邮箱服务器 真实IP

  • 全网扫描 根据网站banner信息确定IP地址【banner 信息来表示欢迎语,其中会包含一些敏感信息,所以获取 banner 也属于信息搜集的范畴。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。在 banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。

    banner 信息获取的基础是在和目标建立链接后的,只有建立的链接,才可以获取到相应的 banner 信息,当目标对 banner 信息进行隐藏或者配置了禁止读取时,这时的 banner 则获取不到。】

  • DNS历史记录

  • 网络空间搜索引擎 搜索筛选

ichunqiu.com #fofa数据中含有ichunqiu.com的网站
body="ichunqiu.com" #直接从网站正文中获取含有ichunqiu.com结果
title="【i春秋】-专注网络安全_信息安全_白帽子的在线学习_教育_培训平台"
header="ichunqiu.com"
查看网站https证书 将序列号去除: 16进制转10进制
0C:0E:E0:20:B8:07:D6:3C:48:B3:5D:40:DA:3C:1F:5B
0C0EE020B807D63C48B35D40DA3C1F5B
16027973957445612478614285750581862235
https://tool.lu/
cert=16027973957445612478614285750581862235

fofa语法

FOFA相关语法

title="beijing" 从标题中搜索“北京” 

header="jboss" 从http头中搜索“jboss” 

body="Hacked by" 从html正文中搜索abc 

domain="qq.com" 搜索根域名带有qq.com的网站。 

host=".gov.cn" 从url中搜索”.gov.cn” 搜索要用host作为名称

port="443" 查找对应“443”端口的资产 

ip="1.1.1.1" 从ip中搜索包含“1.1.1.1”的网站 搜索要用ip作为名称

ip="220.181.111.1/24" 查询IP为“220.181.111.1”的C网段资产。

protocol="https" 查询https协议资产 搜索指定协议类型(在开启端口扫描的情况下有

icon_hash="713581487" 指定网站图标搜索相关网站

city="Hangzhou" 搜索指定城市的资产。

region="Zhejiang" 搜索指定行政区的资产。

country="CN" 搜索指定国家(编码)的资产。

cert="google" 搜索证书(https或者imaps等)中带有google的资产。

server=="Microsoft-IIS/7.5" 搜索IIS 7.5服务器。

app="HIKVISION-视频监控" 搜索海康威视设备。

ip="60.191.116.170/24" && port="3306" #搜索网段开放指定端口的资产

ip="60.191.116.181" #搜索指定IP开放的端口

ip="60.191.116.0/24" #搜索指定c段资产

domain="hzvtc.edu.cn" #搜索域名包含hzvtc.edu.cn的资产

domain="hzvtc.edu.cn" && status_code="200" #搜索指定网站状态码为200的资产

cert="hzvtc.edu.cn" #搜索证书域名包含hzvtc.edu.cn的资产

cert="62915681758986821938903689415000632430" #搜索序列号为62915681758986821938903689415000632430资产,更加准确

server=="Microsoft-IIS/7.5" 搜索指定中间件

app="HIKVISION-视频监控" #搜索指定指纹资产 从https://fofa.info/library提取指纹库

旁站/C段信息收集

企业信息搜集

员工信息(手机号码、邮箱、姓名等),组织框架、企业法人、企业综合信息等。
其中员工信息收集是信息收集中的一项重要工作,员工信息包括:员工姓名、员工工号、员工家庭及交际信息、上网习惯等。(社会工程学)
员工身份信息:员工简历,员工身份证,手机号,生日,家乡,住址等个人信息。
员工社交账号信息。
生成社工字典 + 利用社工手段利用

敏感文件信息收集

  • 资产包含特征系统名 利用文库搜索敏感平台操作文件
  • .edu.cn password vpn github搜索语法 选择code 从代码中找关键字
“target.com” send_keys
“target.com” password
“target.com” api_key
“target.com” apikey
“target.com” jira_password
“target.com” root_password
“target.com” access_token
“target.com” config
“target.com” client_secret
“target.com” user auth
  • 云盘分享文件

暴力破解

  • 数据库

账号:root

密码:root、root123、123456

  • tomcat

账号:admin、tomcat、manager

密码:admin、tomcat、admin123、123456、manager

  • jboss

账号:admin、jboss、manager

密码:admin、jboss、manager、123456

  • weblogic

账号:weblogic、admin、manager

密码:weblogic、admin、manager、123456

字典生生成工具白鹿

爆破工具

Hydra

Hydra也称九头蛇,是支持众多协议的爆破工具,且Windows/Linux环境下都支持,且本软件已经集成 到kali系统中

常用参数:

-l 指定用户名
-L 指定用户名字典
-p 指定密码
-P 指定密码字典
-vV 显示爆破细节
-f 找到正确的账密就停止爆破
-o 保存爆破结果。
-t 线程 默认线程为16 ※注意:如果线程过大,会导致hydra崩溃
-e nsr
-e下的三个选项,n是null --空密码试探,s是same --密码与用户名一致,r是反向 --将用户名倒
置。
如:用户名是root 倒置为toor。

常用命令:

hydra -l user -P passlist.txt ftp://192.168.0.1 #指定用户爆密码
hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN #指定密码爆用户
hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5
hydra -l admin -p password ftp://[192.168.0.0/24]/ #指定用户名密码爆破网段
hydra -L logins.txt -P pws.txt -M targets.txt ssh #指定目标用户名密码爆破ssh

超级弱口令检测工具

nmap手册

-sTTCP connect()扫描,这是最基本的TCP扫描方式。这种扫描很容易被检测到,在目标主机的日志中会记录大批的连接请求以及错误信息。

-sSTCP同步扫描(TCP SYN),因为不必全部打开一个TCP连接,所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是,很少有系统能够把这记入系统日志。不过,你需要root权限来定制SYN数据包。

-sF,-sX,-sN秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是:关闭的端口需要对你的探测包回应RST包,而打开的端口必需忽略有问题的包(参考RFC 793第64页)。

-sPping扫描,用ping方式检查网络上哪些主机正在运行。当主机阻塞ICMP echo请求包是ping扫描是无效的。nmap在任何情况下都会进行ping扫描,只有目标主机处于运行状态,才会进行后续的扫描。

-sU如果你想知道在某台主机上提供哪些UDP(用户数据报协议,RFC768)服务,可以使用此选项。

-sAACK扫描,这项高级的扫描方法通常可以用来穿过防火墙。

-sW滑动窗口扫描,非常类似于ACK的扫描。

-sRRPC扫描,和其它不同的端口扫描方法结合使用。

-bFTP反弹攻击(bounce attack),连接到防火墙后面的一台FTP服务器做代理,接着进行端口扫描。

-P0在扫描之前,不ping主机。

-PT扫描之前,使用TCP ping确定哪些主机正在运行。

-PS对于root用户,这个选项让nmap使用SYN包而不是ACK包来对目标主机进行扫描。

-PI设置这个选项,让nmap使用真正的ping(ICMP echo请求)来扫描目标主机是否正在运行。

-PB这是默认的ping扫描选项。它使用ACK(-PT)和ICMP(-PI)两种扫描类型并行扫描。如果防火墙能够过滤其中一种包,使用这种方法,你就能够穿过防火墙。

-O这个选项激活对TCP/IP指纹特征(fingerprinting)的扫描,获得远程主机的标志,也就是操作系统类型。

-I打开nmap的反向标志扫描功能。

-f使用碎片IP数据包发送SYN、FIN、XMAS、NULL。包增加包过滤、入侵检测系统的难度,使其无法知道你的企图。

-v冗余模式。强烈推荐使用这个选项,它会给出扫描过程中的详细信息。

-S <IP>在一些情况下,nmap可能无法确定你的源地址(nmap会告诉你)。在这种情况使用这个选项给出你的IP地址。

-g port设置扫描的源端口。一些天真的防火墙和包过滤器的规则集允许源端口为DNS(53)或者FTP-DATA(20)的包通过和实现连接。显然,如果攻击者把源端口修改为20或者53,就可以摧毁防火墙的防护。

-oN把扫描结果重定向到一个可读的文件logfilename中。

-oS扫描结果输出到标准输出。

--host_timeout设置扫描一台主机的时间,以毫秒为单位。默认的情况下,没有超时限制。

--max_rtt_timeout设置对每次探测的等待时间,以毫秒为单位。如果超过这个时间限制就重传或者超时。默认值是大约9000毫秒。

--min_rtt_timeout设置nmap对每次探测至少等待你指定的时间,以毫秒为单位。

-M count置进行TCP connect()扫描时,最多使用多少个套接字进行并行的扫描。目标地址可以为IP地址,CIRD地址等。如192.168.1.2,222.247.54.5/24

-iL filename从filename文件中读取扫描的目标。

-iR让nmap自己随机挑选主机进行扫描。

-p端口 这个选项让你选择要进行扫描的端口号的范围。如:-p 20-30,139,60000。

-exclude排除指定主机。

-excludefile排除指定文件中的主机。
posted @ 2023-03-15 13:58  断zhang  阅读(722)  评论(0)    收藏  举报