高效信息收集
概述:
渗透测试的本质是信息收集。
分为:主动信息收集+被动信息收集。
主动信息收集,就是直接访问、扫描网站,这种流量将流经网站,不可避免的留下了自己来过的痕迹。
被动信息收集,则是利用第三方的服务对目标进行访问了解,比如利用搜索引擎Google、Shodon等。
收集的内容其实就两种:域名、IP。
1、关于域名
1.1 子域名收集
1.1.1 第一种:搜索引擎查找
FOFA(https://fofa.so/) title="公司名称" ; domain="xx.cn"
百度(https://www.baidu.com/s):intitle=公司名称;site:xx.cn
Google(https://www.google.com/):intitle=公司名称;site:xx.cn
钟馗之眼(https://www.zoomeye.org/) site=域名即可 ;hostname:baidu.com
shodan(https://www.shodan.io/):hostname:"baidu.com"
360测绘空间(https://quake.360.cn/) :domain:"xx.cn"1.1.2 第二种:在线查询
站长之家:https://tool.chinaz.com/
在线子域名查询:https://phpinfo.me/domain/
子域名扫描:https://www.t1h2ua.cn/tools/
dnsdumpster:https://dnsdumpster.com/
查询网:https://site.ip138.com/
爱站:http://dns.aizhan.com1.1.3 第三种:工具
子域名挖掘机: 图形化的使用方式。
SubDomainBrute工具: python3 subDomainsBrute.py -t 10 zkaq.cn -f subnames_full.txt -o 111.txt
Sublist3r工具 python3 sublist3r -t 10 -b -d zkaq.cn
OneForALL工具:python3 oneforall.py --target zkaq.cn run
Wydomain工具:python wydomain.py -d zkaq.cn -o zkaq.txt
FuzzDomain工具: 图形化的使用方式。1.1.4 第四种:SSL/TLS证书查询
SSL/TLS安全评估报告:https://myssl.com
crt.sh:https://crt.sh/
SPYSE:https://spyse.com/tools/ssl-lookup
censy:https://censys.io/1.2 旁站和C段
-
旁站:同一个服务器内的站点。
-
C段:同网段,不同服务器内的站点。
1.2.1 旁站查询
站长之家:https://stool.chinaz.com/same
在线:https://chapangzhan.com/
搜索引擎:fofa: ip="1.1.1.0/24"1.2.2 C段查询
webscan:https://c.webscan.cc/1.3 隐藏域名hosts碰撞
一般来说,通过ip直接访问目标,要比通过域名来访问目标网站,得到的信息会更多。但如果域名绑定过多个ip的话,管理员出现配置上的失误,是会导致一些敏感信息泄露的。那么这种情况就可以通过域名+ip捆绑的形式进行碰撞,收集目标公司资产的域名以及解析过的所有ip,将他们一对多的形式进行碰撞,能发现一些很有意思的东西出现。
2、关于IP
2.1 CDN
2.1.1 CDN检测
使用全球ping:不同的地区访问有着不同的IP,这样就确定了该域名使用了cdn。
https://ping.chinaz.com/
https://ping.aizhan.com/
https://www.17ce.com/2.1.2 CDN绕过
绕过的核心是hosts绑定。也可以进行IP反查,通过反查的网站来渗透。
第一种:国外dns获取真实IP:
部分cdn只针对国内的ip访问,如果国外ip访问域名 即可获取真实IP。
https://www.wepcc.com/
http://www.ab173.com/dns/dns_world.php
https://dnsdumpster.com/
https://who.is/whois/zkaq.cn第二种:DNS历史绑定记录
https://dnsdb.io/zh-cn/ # DNS查询,查看A记录有哪些,需要会员。
https://x.threatbook.cn/ # 微步在线,需要登录。
https://viewdns.info/ # DNS、IP等查询。
https://tools.ipip.net/cdn.php # CDN查询IP
https://sitereport.netcraft.com/ # 记录网站的历史IP解析记录
https://site.ip138.com/ # 记录网站的历史IP解析记录第三种:被动获取:
让目标连接我们获得真实IP。比如网站有编辑器可以填写远程URL图片,或者有SSRF漏洞。
2.2 主机发现
2.2.1 二层发现
主要利用arp协议,速度快,结果可靠,不过只能在同网段内的主机
arping工具:arping 192.168.1.2 -c 1
nmap工具:192.168.1.1-254 –sn
netdiscover -i eth0 -r 192.168.1.0/24
scapy工具:sr1(ARP(pdst="192.168.1.2"))2.2.2 三层发现
主要利用ip、icmp协议,速度快但没有二层发现快,可以经过路由转发,理论上可以探测互联网上任意一台存活主机,但很容易被边界防火墙过滤。
ping工具:ping 192.168.1.2 –c 2
fping工具:fping 192.168.1.2 -c 1
Hping3工具:hping3 192.168.1.2 --icmp -c 2
Scapy工具:sr1(IP(dst="192.168.1.2")/ICMP())
nmap工具:nmap -sn 192.168.1.1-2552.2.3 四层发现
主要利用tcp、udp协议,速度比较慢,但是结果可靠,可以发现所有端口都被过滤的存活主机,不太容易被防火墙过滤。
Scapy工具:
sr1(IP(dst="192.168.1.2")/TCP(dport=80,flags='A') ,timeout=1)) #tcp发现
sr1(IP(dst="192.168.1.2")/UDP(dport=33333),timeout=1,verbose=1) #udp发现
nmap工具:
nmap 192.168.1.1-254 -PA80 –sn #tcp发现
nmap 192.168.1.1-254 -PU53 -sn #udp发现
hping3工具:
hping3 192.168.1.1 -c 1 #tcp发现
hping3 --udp 192.168.1.1 -c 1 #udp发现2.3 操作系统识别
知道目标存活主机的操作系统后,可以依据操作系统来实施针对性的渗透测试。
1.TTL值:Windows(65~128),Linux/Unix(1-64),某些Unix(255)
2.nmap工具:nmap 192.168.1.1 -O
3.xprobe2工具:xprobe2 192.168.1.1
4.p0f工具:使用后,直接访问目标即可2.4 端口扫描
scapy工具:
sr1(IP(dst="192.168.1.1")/UDP(dport=53),timeout=1,verbose=1) # UDP端口扫描
sr1(IP(dst="192.168.1.1")/TCP(dport=80),timeout=1,verbose=1) # TCP端口扫描
nmap工具:
nmap -sU 192.168.1.1 -p 53 # UDP端口扫描
nmap -sS 192.168.1.1 -p 80 # 半连接tcp扫描
nmap -sT 192.168.1.1 -p 80 # 全连接TCP扫描
nmap 192.168.1.1 -sI 192.168.1.2 -Pn -p 0-100 # 僵尸扫描
dmitry工具:dmitry -p 192.168.1.1
nc工具:nc -nv -w 1 -z 192.168.1.1 1-100
hping3工具:hping3 192.168.1.1 --scan 0-65535 -S 
2.5 服务探测
nc工具:nc -nv 192.168.1.1 22
dmitry工具:dmitry -pb 192.168.1.1
nmap工具:
nmap -sT 192.168.1.1 -p 22 --script=banner
nmap 192.168.1.1 -p 80 -sV
amap工具:
amap -B 192.168.1.1 1-65535 | grep on
amap 192.168.1.1 20-30 -qbSNMP服务:SNMP是简单网络管理协议,由于经常被管理员错误配置,导致很容易造成系统的信息泄露,可以说是“信息的金矿”。
onesixtyone工具:onesixtyone 192.168.1.1 public
snmpwalk工具:snmpwalk 192.168.1.1 -c public -v 2c
snmpcheck工具:snmpcheck -t 192.168.1.1 -c private -v 2SMB服务:smb是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。默认开放,实现复杂,实现文件共享,这也是微软历史上出现安全问题最多的一个协议。
nmap工具:nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 192.168.1.1
nbtscan工具:-r 192.168.1.0/24
enum4linux工具:enum4linux -a 192.168.1.1SMTP服务:SMTP是一种提供可靠且有效的电子邮件传输的协议。如果能发现目标系统的邮箱账号,那么可以进行相关的攻击,比如钓鱼等。
nc工具:nc -nv 192.168.1.1 25
nmap工具:nmap smtp.163.com -p25 --script=smtp-open-relay.nse
smtp-user-enum工具:smtp-user-enum -M VRFY -U users.txt -t 192.168.1.12.6 目录文件扫描
目录型的站点,后台,敏感文件,比如.git文件泄露,.svn文件泄露,phpinfo泄露等等,表现形式:域名后加路径,例如:域名 xx.cn 加后缀 xx.cn/admin/admin.php。
目录扫描工具:
御剑工具:图形化的使用方式。
7kbstorm工具:图形化的使用方式。
dirbuster工具:图形化的使用方式。
dirmap工具:python3 dirmap.py -i https://bbs.zkaq.cn -lcf
dirsearch工具:python3 dirsearch.py -u https://www.zkaq.cn -e php
gobuster工具:gobuster dir -u "https://bbs.zkaq.cn" -w "/root/tools/DirBrute/dirmap/data/fuzz_mode_dir.txt" -n -e -q --wildcard文件接口工具:
1.jsfinder:https://gitee.com/kn1fes/JSFinder
2.Packer-Fuzzer: https://github.com/rtcatc/Packer-Fuzzer
3.SecretFinder:https://gitee.com/mucn/SecretFinder
2.7 whois查询
在线网站查询
站长之家域名WHOIS信息查询地址:http://whois.chinaz.com/
爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/
腾讯云域名WHOIS信息查询地址 https://whois.cloud.tencent.com/
美橙互联域名WHOIS信息查询地址 https://whois.cndns.com/
爱名网域名WHOIS信息查询地址 https://www.22.cn/domain/
易名网域名WHOIS信息查询地址 https://whois.ename.net/
中国万网域名WHOIS信息查询地址 https://whois.aliyun.com/
西部数码域名WHOIS信息查询地址 https://whois.west.cn/
新网域名WHOIS信息查询地址 http://whois.xinnet.com/domain/whois/index.jsp
纳网域名WHOIS信息查询地址 http://whois.nawang.cn/反查邮箱
福人:https://bbs.fobshanghai.com/checkemail.html
whois反查:https://www.benmi.com/rwhois
站长工具:http://whois.chinaz.com/reverse?ddlSearchMode=1注册人反查
注册人查询:www.reg007.com
站长工具:http://whois.chinaz.com/reverse?ddlSearchMode=1备案查询
天眼查 https://www.tianyancha.com/
爱站备案查询https://icp.aizhan.com/
域名助手备案信息查询 http://cha.fute.com/index
站长工具:http://icp.chinaz.com/2.8 中间件、数据库 漏洞利用
apache解析漏洞、redis未授权访问漏洞等。
2.9 CMS识别、漏洞挖掘与利用
2.10 第三方接口 漏洞
比如:第三方js库 漏洞
浙公网安备 33010602011771号