想要构建一个"上帝视野",前期的信息收集工作是必不可少的,无论是了解一个人、一项业务、还是深入一个系统等,都需要“信息”。大佬曾说过,渗透测试的本质是信息收集,而个人直观感受就是“意料之外,情理之中”。
本文就简单整理下打点前的信息收集那些事。从信息收集本质上来说多数内容都是大同小异,遇到坚壁时,不用死磕,毕竟条条大路通罗马。
红队知识点大致流程:外网信息收集——>打点——>权限维持——>提权——>内网信息收集——>横向移动——>痕迹清理打点关键资产数据信息:
对于外网信息收集主要有几点:ip、域名、企业等资产信息以及相应端口/服务、指纹、敏感信息、社工碰撞等易受攻击面信息。
tips:
工具、网站
备注
爱站、站长工具
Whois、备案号、权重、公司名称等
天眼查、企查查、搜狗搜索引擎
ZoomEye、Shodan、FOFA、0.Zone、quake
网络空间资产搜索引擎
主域名收集
OneForAll、Layer、Rapid7的开源数据项目、ctfr、EyeWitness
子域名收集
Kscan、ShuiZe_0x727、ARL灯塔、Goby
自动化、批量信息收集
Bufferfly、Ehole
资产处理、信息筛选
dnsdb、CloudFlair
VirusTotal、微步、ip2domain
C段、域名/ip情报信息
Nmap、Masscan
端口服务信息
GoogleHacking、dirsearch、URLFinder
WEB站点信息、api接口等
wafw00f
waf识别
云悉、潮汐、WhatWeb
在线CMS识别
七麦、小蓝本
APP资产
ApkAnalyser
App敏感信息
乌云漏洞库、CNVD、waybackurls
历史漏洞、历史资产等
n0tr00t/Sreg、reg007
个人隐私信息
GitDorker
资产信息、源码泄露
theHarvester、Snov.io
OSINT开源情报和侦擦工具
开源情报资源导航
anti-honeypot、HoneypotHunter
蜜罐识别
域名用来代替IP使其更容易被用户找到、记住。对于"非用户"来说,可通过域名信息获取:主域名、存活站点、关联信息、钓鱼信息。为漏洞挖掘提供数据支撑。
反查可分为备案域名查询和未备案域名查询。
备案域名查询
未备案域名查询
whois是用来查询域名的IP以及所有者等信息的传输协议。
ps:
在线查询网站:
搜索引擎:
信息收集过程中,往往会因为配置错误或是未及时回收等原因,存在一些隐形资产。直接访问的话会出现访问限制的问题,如下:
究其原因,大多数是因为中间件对ip访问做限制,不能通过ip直接访问,必须使用域名进行访问。如果域名解析记录里也找不到域名记录,这时就可以用到HOST碰撞技术,通过将域名和IP进行捆绑碰撞,一旦匹配到后端代理服务器上的域名绑定配置,就可以访问到对应的业务系统,从而发现隐形资产。
手法:
使用收集到的目标IP、爬虫或自定义的内部域名(内网host池),作为字典,通过脚本进行碰撞,脚本会自动模拟绑定ip与host进行请求交互,通过标题或响应大小判断结果。只要字典够强大,总能出一两个,爆破时最好也试下TLS,部分主机会使用TLS的。
验证结果,只需修改本机host文件绑定host与ip后,看访问变化。
自动化:
DNS(DomainNameServer,域名服务器)是进行域名(domainname)和与之相对应的IP地址(IPaddress)转换的服务器。DNS中保存了一张域名(domainname)和与之相对应的IP地址(IPaddress)的表,以解析消息的域名,即保存了IP地址和域名的相互映射关系。域名是Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。域名是由一串用点分隔的名字组成的,通常包含组织名,而且始终包括两到三个字母的后缀,以指明组织的类型或该域所在的国家或地区。也正是因为DNS的存在,访问相应服务只需记住域名,不需要记住无规则的ip地址。
搜索引擎很多,这里以Google为例:
策略文件域名信息问题如:
策略配置方面如:
关键点:
HTTPheader的Content-Security-Policy属性
补天、漏洞银行、先知、hackerone等众测的广商提供的域名测试范围。
比如hackerone:alibaba
一般要求50%持股或者100%持股都可以算测试目标。
方便获取app历史版本
子域名一般是父级域名的下一级。一般企业主站域名的防护都是重点,安全级别较高,突破难度较大,而企业可能会有数十个甚至更多的子域名应用,因为数量众多,安全因素和成本投入多,相应的防护也没有那么及时有效。子域名往往是攻击突破口,通过子域名发现更多的可能性或是进行迂回攻击。
子域名信息点:
要说简单粗暴还是子域名枚举爆破,通过不断的拼接字典中的子域名前缀去枚举域名的A记录进行DNS解析,如果成功解析说明子域名存在。如xxx.com拼接前缀test组合成test.xxx.com,再对其进行验证。但是域名如果使用泛解析的话,则会导致所有的域名都能成功解析,使得子域名枚举变得不精准。
nslookup验证下~
那么域名使用了泛解析怎么去解决呢?
一般有两种:
在线查询:
其他:
DNS服务商的字典一般来说最准确有效,如:DNSPod公布的使用最多的子域名:dnspod-top2000-sub-domains.txt
普通字典:一些基础组合。
常用词组:常见的中英文词组。
爆破工具的字典:可结合整理过的字典
DNS服务器分为:主服务器、备份服务器和缓存服务器。
在主备服务器之间同步数据库,需要使用“DNS域传送”的一种DNS事务。域传送是指备份服务器从主服务器上复制数据,然后更新自身的数据库,以达到数据同步的目的,这样是为了增加冗余,一旦主服务器出现问题可直接让备份服务器做好支撑工作。
axfr是q-type类型的一种,axfr类型是AuthoritativeTransfer的缩写,指请求传送某个区域的全部记录。只要欺骗dns服务器发送一个axfr请求过去,如果该dns服务器上存在该漏洞,就会返回所有的解析记录值。
nmap--scriptdns-zone-transfer--script-argsdns-zone-transfer.domain=nhtc.wiki-p53-Pncloudy.dnspod.netpython
#DNS库xfr=dns.query.xfr(where=server,zone=self.domain,timeout=5.0,lifetime=10.0)zone=dns.zone.from\_xfr(xfr)一般情况下,DNS服务器配置都正常,关闭了域传送或设置白名单,利用率低。推荐交给自动化。
证书透明度(CertificateTransparency)是谷歌力推的一项拟在确保证书系统安全的透明审查技术。其目标是提供一个开放的审计和监控系统,可以让任何域名的所有者,确定CA证书是否被错误签发或恶意使用。TLS的缺点是你的浏览器隐性包含了一个大型受信任CA列表。如果任何这些CA恶意为域创建新证书,则你的浏览器都会信任它。CT为TLS证书信任提供了额外的安全保障:即公司可以监控谁为他们拥有的域创建了证书。此外,它还允许浏览器验证给定域的证书是否在公共日志记录中。————————Google的证书透明度项目
一般使用CT日志搜索引擎进行域名信息收集,因为是日志收集,只增不减,可能会有一些失效域名。
点击浏览器网站小锁-->安全连接-->更多信息-->查看证书-->查看主题替代名称处,有时候会有主域名和子域名信息。
利用已有公开的全网扫描数据集,对子域名信息进行收集。
收集方法:
FindDNSHostRecords(Subdomains)|hackertarget
netcraft
命令进行快速查找
VirusTotal会运行DNS复制功能,通过存储用户访问URL时执行的DNS解析来构建数据库。
搜索引擎是用于查找和排名与用户搜索匹配的Web内容的工具。
搜索引擎通过“蜘蛛”对全网进行大量爬行并处理后,建立索引*(索引是将抓取页面中的信息添加到叫做搜索索引的大型数据库中。)*。在此期间往往收集了大量的域名信息,需要对应的语法,即可从这数据库中获取想要的信息。
一份国外调查表:
俗称GoogleHacking大法,有十几种语法,混合使用可以更加准确地查找信息。
搜索子域名信息
逻辑连接符
具体含义
\=
匹配,=""时,可查询不存在字段或者值为空的情况
\=\=
完全匹配,==""时,可查询存在且值为空的情况
&&
与
|
或者
!\=
不匹配,!\=""时,可查询值为空的情况
~\=
正则语法匹配专用(高级会员独有,不支持body)
()
确认查询优先级,括号内容优先级最高
常用语法可通过”查询语法“功能获取:
例句(点击可去搜索)用途说明注
例句(点击可去搜索)
用途说明
注
title="beijing"
从标题中搜索“北京”
-
header="jboss"
body="Hackedby"
从html正文中搜索abc
domain="qq.com"
搜索根域名带有qq.com的网站。
icon_hash="-247388890"
搜索使用此icon的资产。
仅限高级会员使用
host=".gov.cn"
从url中搜索”.gov.cn”
搜索要用host作为名称
port="443"
查找对应“443”端口的资产
ip="1.1.1.1"
从ip中搜索包含“1.1.1.1”的网站
搜索要用ip作为名称
ip="220.181.111.1/24"
查询IP为“220.181.111.1”的C网段资产
status_code="402"
查询服务器状态为“402”的资产
搜索指定协议类型(在开启端口扫描的情况下有效)
city="Hangzhou"
搜索指定城市的资产。
region="Zhejiang"
搜索指定行政区的资产。
country="CN"
搜索指定国家(编码)的资产。
cert="google"
banner=users&&protocol=ftp
搜索FTP协议中带有users文本的资产。
type=service
搜索所有协议资产,支持subdomain和service两种。
搜索所有协议资产
os=windows
搜索Windows资产。
server=="Microsoft-IIS/7.5"
搜索IIS7.5服务器。
app="HIKVISION-视频监控"
搜索海康威视设备
after="2017"&&before="2017-10-01"
asn="19551"
搜索指定asn的资产。
org="Amazon.com,Inc."
搜索指定org(组织)的资产。
base_protocol="udp"
搜索指定udp协议的资产。
is_ipv6=true
搜索ipv6的资产
搜索ipv6的资产,只接受true和false。
is_domain=true
搜索域名的资产
搜索域名的资产,只接受true和false。
ip_ports="80,161"
搜索同时开放80和161端口的ip
搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)
port_size="6"
查询开放端口数量等于"6"的资产
仅限FOFA会员使用
port_size_gt="3"
查询开放端口数量大于"3"的资产
port_size_lt="12"
查询开放端口数量小于"12"的资产
ip_country="CN"
搜索中国的ip资产(以ip为单位的资产数据)。
搜索中国的ip资产
ip_region="Zhejiang"
搜索指定行政区的ip资产(以ip为单位的资产数据)。
搜索指定行政区的资产
ip_city="Hangzhou"
搜索指定城市的ip资产(以ip为单位的资产数据)。
搜索指定城市的资产
ip_after="2019-01-01"
搜索2019-01-01以后的ip资产(以ip为单位的资产数据)。
搜索2019-01-01以后的ip资产
ip_before="2019-07-01"
搜索2019-07-01以前的ip资产(以ip为单位的资产数据)。
搜索2019-07-01以前的ip资产
基础了解后,可以试试规则专题,官方有提供相应的指纹、组件查找,包含“数据库专题”、“工控专题”和“区块链专题”。也可以自己提交。
Shodan是一个搜索接入互联网的设备的搜索引擎,2009年由约翰·马瑟利发布。学生会员可以每个月下载1w条数据,黑五可能会有优惠价格。
ps:Shodan侧重于主机设备
它是一个免费的外部攻击面管理SaaS平台,供红蓝队使用,为防御者提供攻击者视角下的企业外部攻击面数据,减少攻防信息差,以促进企业攻击面的收敛和管理。
搜索企业名称示例(需要会员才能获取企业黄页)
不同于fofa,该平台做了收录信息归纳,感觉还不错。
全球鹰是奇安信的一款产品。通过网络空间测绘技术,全球鹰测绘平台可以提供IP、域名、开放端口、应用/组件、所属企业等关键安全信息,同时结合攻防场景绘制了资产画像与IP画像,实现互联网资产的可查、可定位、操作可识别的检索,助力企业日常的安全运营工作,例如未知资产发现、风险识别、漏洞修复等。目前全球鹰网络空间测绘平台已有3亿独立IP,资产(剔除历史重复数据)总数超过20亿,已实现全端口覆盖。在全球我们已覆盖了261个国家,96%ASN域。国内web资产最快4天更新,最慢7天更新。
语法参考
还有一些不错的检索平台,就不一一介绍,可以去官网瞧瞧语法和规则这块,这块还是api用得多。(没会员没法爽玩。。)
关于搜索引擎详细可以参考下:
总的来说,信息收集有很多重复性查询筛选,手工相对费时费力,因此可以借助半自动化工具来达到事半功倍的效果。
解决大多传统子域名收集工具不够强大、不够友好、缺少维护和效率问题的痛点,是一款集百家之长,功能强大的全面快速子域收集终极神器。
brewinstallsubfinder
Subfinder是一个子域发现工具,它通过使用被动在线资源来发现网站的有效子域。它具有简单的模块化架构,并针对速度进行了优化。subfinder是为只做一件事而构建的——被动子域枚举,它做得很好。
ksubdomain是一款基于无状态子域名爆破工具,支持在Windows/Linux/Mac上使用,它会很快的进行DNS爆破,在Mac和Windows上理论最大发包速度在30w/s,linux上为160w/s的速度。
递归爬取域名(netloc/domain),以及递归从JS中获取信息的工具
URLFinder是一款用于快速提取检测页面中JS与URL的工具。
功能类似于JSFinder,但JSFinder好久没更新了。
Layer子域名挖掘机是一款子域名收集工具,拥有简洁的界面和简单的操作模式,支持服务接口查询和暴力枚举获取子域名信息,同时可以通过已获取的域名进行递归爆破。
支持泛解析功能较全的枚举子域工具
Eyewitness可自动查询URL对应网站的截图、RDP服务、OpenVNC服务器以及一些服务器title、甚至是可识别的默认凭据等,最终会生成一个详细的html报告。
通过ip或域名获取到一些基本信息(端口、服务、架构、目录等)后,也可以通过ip段目标扩大攻击面,也有可能找到一些未分配的边缘资产。
CDN是IP信息探测或打点必不可绕过的一个话题。当目标使用了CDN加速,获取到的目标ip不一定是真实ip。所以通常在实施端口、漏扫等测试之前,需判断下是否真实IP,是否使用了CDN或其他代理等等,避免无效操作、蜜罐、非目标点。
一、国内CDN服务商
二、国外CDN服务商
确定CDN加速解析后,那就要考虑如何绕过来获取真实ip,以进一步攻击利用。
通过多地ping目标域名,如果没有使用CDN,只会显示一个IP地址,或者双线接入情况的两个不同运营商ip。
多ping在线站点:
如图,不同地区访问有不同ip,一般存在CDN:
获取到的DNS域名解析结果中返回多个ip的,一般都是存在CDN服务。
查询域名历史解析记录,可能会存在未使用cdn之前的真实ip记录:
CDN判断:
存在CDN,利用微步查询获取历史记录,然后将每个ip都测试一篇
通过源代码获取,确定真实ip
网络空间测绘,一般都会定时把全网资产扫一遍存在数据库里。
大概从以下几个关键因素去搜索验证:
通过获取logoicon指纹哈希特征,搜索其相同的主机结果,进一步探测真实IP:
未找到~
考虑到CDN成本问题,一些重要站点会采用cdn加速,而一些子域名则没有使用。一般情况下,一些子域名与主站的真实ip在同一c段或同一台服务器上,这时就可以通过发现子域名c段ip、端口信息,逐个探测定位主站真实ip地址。
常见查找方法和工具:
部分国内cdn广商只做了国内的线路,而没有铺设对国外的线路,这时就可以通过海外解析直接获取到真实IP。
可以使用:
证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中,SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此可以利用SSL/TLS证书来发现目标站点的真实IP地址。
CDN在提供保护的同时,也会与服务器之间进行加密通信(SSL)。当通过服443端口去访问服务器ip或域名时,就会暴露其SSL证书,也就可以通过证书比对发现服务器的真实IP地址。
通过Censys引擎搜索证书信息,发现多个有效或无效的证书:
ps:并不是有效的证书才是有价值的,无效的证书中也会有很多服务器配置错误依然保留着的信息。
精准定位有效SSL证书:
无果~~~
使用来自Censys的全网扫描数据查找CloudFlare背后网站的源服务器。
包括但不限于:
常见交互功能点:
只要字典够强大,数据够多,通过IP和子域的碰撞,总会有所收获。
在线工具:
一些app、小程序会直接采用ip进行通信交互,也可以通过一些历史版本探测真实ip。
一般常用的负载均衡实现方式:
例如:基于cookie会话保持情况:
F5在获取到客户端第一次请求时,会使用setcookie头,给客户端标记一个特定的cookie。
Set-Cookie:BIGipServerPool-i-am-na\_tcp443=2388933130.64288.0000;path=/;后续客户端请求时,F5都会去校验cookie中得字段,判断交给那个服务器处理。那么就可以利用此机制,获取处理服务器的ip地址,大概率也是网站服务器真实ip。具体解法如下:
一般来说基本都是内网ip,但也有例外,得看部署情况,无意间找到一个:
Set-Cookie:BIGipServerpool-shibboleth3-dev-8080=3045805720.36895.0000;path=/;Httponly自动化解码工具:
Set-Cookie:BIGipServerpool-shibboleth3-dev-8080=3045805720.36895.0000;path=/;Httponly0x13其他更多方法可以参考binmaker大佬的总结:
对于一些cdn节点可以使用阿里云的CDN节点判断验证找到的ip是否为CDN节点:
如果是假,则返回cdn信息
当目标信息比较笼统时,可以通过IP地址注册信息查询运营商给目标组织所分配的ip段信息,继而对这个段进行测试。这样既可以扩大范围也有可能直接找到CDN后的真实服务器。
以阿里为例,收集组织对应ip信息
ps:手工扫描都是实时的,相比空间搜索引擎较精准些。
速度快,精确度有待优化```shellmasscan-p80,8000-810010.0.0.0/8--rate=10000
一个服务器上存在多个站点,可通过ip查询相应站点,再从相应站点进一步突破获取服务器权限。
在线平台:
网络空间搜索引擎:
工具:
确定真实ip后,就可以进行端口扫描,比较常见的就是nmap和masscan了,masscan相比nmap多了速度的优势,可以快速扫描全端口。扫描可以结合空间引擎结果发现更多目标端口。
tips:
工具可参考C段章节
引用下某大佬的端口渗透思路表,可以学习学习下。
端口
服务
渗透用途
tcp20,21
FTP
允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd1.3.5),各类后门(proftpd,vsftp2.3.4)
tcp22
SSH
可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等
tcp23
Telnet
爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp25
SMTP
邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp53
DNS
允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
tcp/udp69
TFTP
尝试下载目标及其的各类重要配置文件
tcp80-89,443,8440-8450,8080-8089
各种常用的Web服务端口
可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……
tcp110
POP3
可尝试爆破,嗅探
tcp111,2049
NFS
权限配置不当
tcp137,139,445
Samba
可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp143
IMAP
可尝试爆破
udp161
SNMP
爆破默认团队字符串,搜集目标内网信息
tcp389
LDAP
ldap注入,允许匿名访问,弱口令
tcp512,513,514
Linuxrexec
可爆破,rlogin登陆
tcp873
Rsync
匿名访问,文件上传
tcp1194
OpenVPN
想办法钓VPN账号,进内网
tcp1352
Lotus
弱口令,信息泄漏,爆破
tcp1433
SQLServer
注入,提权,sa弱口令,爆破
tcp1521
Oracle
tns爆破,注入,弹shell…
tcp1500
ISPmanager
弱口令
tcp1723
PPTP
爆破,想办法钓VPN账号,进内网
tcp2082,2083
cPanel
tcp2181
ZooKeeper
tcp2601,2604
Zebra
默认密码zerbra
tcp3128
Squid
tcp3312,3311
kangle
tcp3306
MySQL
注入,提权,爆破
tcp3389
Windowsrdp
shift后门[需要03以下的系统],爆破,ms12-020
tcp3690
SVN
tcp4848
GlassFish
tcp5000
Sybase/DB2
爆破,注入
tcp5432
PostgreSQL
爆破,注入,弱口令
tcp5900,5901,5902
VNC
弱口令爆破
tcp5984
CouchDB
tcp6379
Redis
tcp7001,7002
WebLogic
Java反序列化,弱口令
tcp7778
Kloxo
tcp8000
Ajenti
tcp8009
tomcatAjp
Tomcat-Ajp协议漏洞
tcp8443
Plesk
tcp8069
Zabbix
远程执行,SQL注入
tcp8080-8089
Jenkins,JBoss
反序列化,控制台弱口令
tcp9080-9081,9090
WebSphere
Java反序列化/弱口令
tcp9200,9300
ElasticSearch
远程执行
tcp11211
Memcached
tcp27017,27018
MongoDB
tcp50070,50030
Hadoop
端口号
端口说明
渗透思路
21/69
FTP/TFTP:文件传输协议
爆破、内网嗅探
22
SSH:远程连接
用户名枚举、爆破
23
Telnet:远程连接
25
SMTP:邮件服务
邮件伪造
53
DNS:域名系统
DNS域传送\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
389
443
OpenSSL心脏滴血(nmap-sV--script=ssl-heartbleed目标)
445
SMB服务
ms17_010远程代码执行
873
rsync服务
1090/1099
Java-rmi
JAVA反序列化远程命令执行漏洞
1352
LotusDomino邮件服务
爆破:弱口令、信息泄漏:源代码
1433
MSSQL
注入、SA弱口令爆破、提权
1521
注入、TNS爆破
2049
配置不当
2181
ZooKeeper服务
3306
注入、爆破、写shell、提权
3389
RDP
爆破、Shift后门、CVE-2019-0708远程代码执行
4848
GlassFish控制台
爆破:控制台弱口令、认证绕过
5000
Sybase/DB2数据库
爆破、注入
5432
爆破弱口令、高权限执行系统命令
5632
PcAnywhere服务
爆破弱口令
5900
爆破:弱口令、认证绕过
6379
7001
WebLogic中间件
反序列化、控制台弱口令+部署war包、SSRF
8000
jdwp
JDWP远程命令执行漏洞(工具)
8080/8089
Tomcat/JBoss/Resin/Jetty/Jenkins
8161
ActiveMQ
admin/admin、任意文件写入、反序列化
8069
远程命令执行
9043
WebSphere控制台
9200/9300
Elasticsearch服务
远程代码执行
11211
Memcache
27017
50000
SAP
50070
hadoop
21
FTP/TFTP/VSFTPD
爆破/嗅探/溢出/后门
ssh远程连接
爆破/openssh漏洞
Telnet远程连接
爆破/嗅探/弱口令
SMTP邮件服务
DNS域名解析系统
域传送/劫持/缓存投毒/欺骗
67/68
dhcp服务
劫持/欺骗
110
pop3
爆破/嗅探
139
Samba服务
143
Imap协议
爆破161SNMP协议爆破/搜集目标内网信息
Ldap目录访问协议
smb
ms17-010/端口溢出
512/513/514
LinuxRexec服务
爆破/Rlogin登陆
Rsync服务
1080
socket
爆破
Lotusdomino邮件服务
爆破/信息泄漏
mssql
爆破/注入/SA弱口令
oracle
爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当
zookeeper服务
2375
dockerremoteapi
mysql
爆破/注入
Rdp远程桌面链接
爆破/shift后门
爆破/认证绕过
sybase/DB2数据库
爆破/注入/提权
postgresql
爆破/注入/缓冲区溢出
pcanywhere服务
抓密码/代码执行
vnc
Redis数据库
7001/7002
weblogic
java反序列化/控制台弱口令
80/443
web应用漏洞/心脏滴血
zabbix服务
远程命令执行/注入
activemq
弱口令/写文件
Jboss/Tomcat/Resin
爆破/PUT文件上传/反序列化
8083/8086
influxDB
9000
fastcgi
9090
Websphere
控制台爆破/java反序列化/弱口令
elasticsearch
memcached
27017/27018
mongodb
20
ftp_data
爆破、嗅探、溢出、后门
ftp_control
telnet
爆破、嗅探
smtp
DNS区域传输、DNS劫持、DNS缓存投毒、DNS欺骗、深度利用:利用DNS隧道技术刺透防火墙
67
dhcp
劫持、欺骗
68
samba
imap
161
snmp
ldap
512
linuxr
直接使用rlogin
513
514
rsync
888
BTLINUX
宝塔Linux主机管理后台/默认帐户:admin|默认密码:admin
999
PMA
护卫神佩带的phpmyadmin管理后台,默认帐户:root|默认密码:huweishen.com
爆破:进行内网渗透
lotus
爆破:弱口令、信息泄露:源代码
爆破:TNS、注入攻击
nfs
zookeeper
爆破、拒绝服务、注入
rdp
爆破、Shift后门
glassfish
sybase/DB2
缓冲区溢出、注入攻击、爆破:弱口令
pcanywhere
拒绝服务、代码执行
5901
5902
redis
JAVA反序列化、控制台弱口令、控制台部署webshell
7002
80
web
常见Web攻击、控制台爆破、对应服务器版本漏洞
8080
web|Tomcat|..
常见Web攻击、控制台爆破、对应服务器版本漏洞、Tomcat漏洞
zabbix
websphere
文件泄露、爆破:控制台弱口令、Java反序列
9200
9300
memcacache
27018
50075
14000
8480
8088
50030
50060
60010
60030
10000
Virtualmin/Webmin
服务器虚拟主机管理系统
10003
5984
couchdb
SMB
弱口令爆破,检测是否有ms_08067等溢出
1025
111
2082
cpanel主机管理系统登陆(国外用较多)
2083
2222
DA虚拟主机管理系统登陆(国外用较多)
2601
zebra路由
2604
3128
代理默认端口,如果没设置口令很可能就直接漫游内网了
3311
kangle主机管理系统登陆
3312
4440
参考WooYun:借用新浪某服务成功漫游新浪内网
6082
7778
8083
主机管理系统(国外用较多)
8649
8888
主机管理系统默认端口
fcgiphp执行
命令执行
Web端口:
80,81,82,443,5000,7001,7010,7100,7547,7777,7801,8000,8001,8002,8003,8005,8009,8010,8011,8060,8069,8070,8080,8081,8082,8083,8085,8086,8087,8088,8089,8090,8091,8161,8443,8880,8888,8970,8989,9000,9001,9002,9043,9090,9200,9300,9443,9898,9900,9998,10002,50000,50070服务器:
21,22,445,3389,5900数据库:
1433,1521,3306,6379,11211,270176.IP定位这里提供几个不错的溯源定位工具:
通过关键特征,去识别出目标指纹信息可以快速了解目标架构信息,调整攻击方向。
常见指纹信息:
已知目标CMS后,可以通过已知漏洞匹配利用,如果是开源CMS,就可以进行审计精准发现问题点。
nmap-OIPCMS识别思路特定文件的MD5一般来说,网站的特定图标、js、css等静态文件不会去修改,通过爬虫对这些文件进行抓取并与规则库中md5值做对比,如果一致就是同一CMS。这种情况不排除会出现二开导致的误报,但速度较快。
正则匹配关键字或报错信息判断。如PoweredbyDiscuz、dedecms等、tomcat报错页面
如:
将url中存在路由、robots.txt、爬虫结果与规则库做对比分析来判断是否使用了某CMS
ps:cms识别主要还是在于指纹库的维护和更新。
wappalyzer
遇到WAF就得对症下药,总的来说识别分为两种手工和工具:
一般直接输入敏感字段触发拦截规则库就行,如XSS、SQLpayload
常见组件漏洞简记参考博客《组件漏洞简记》章
对前期收集到的大量资产域名、ip信息批量进行存活性、title、架构、服务等信息进行验证提取时,可以用一些自动化工具筛选出有价值的数据,从而提高漏洞发现效率。
常见的敏感目录及文件,会对渗透突破有着很大作用,收集思路一般是爬虫采集、递归扫描、GoogleHacking。
dirsearch是一款使用python3编写的,用于暴力破解目录的工具,速度不错,支持随机代理、内容过滤。
用Rust编写的快速,简单,递归的内容发现工具
御剑目录扫描专业版
庞大的WebPentestingFuzz字典,部分精准度不错,可惜更新是2021的时候了。
WebFuzzingBox-Web模糊测试字典与一些Payloads,主要包含:弱口令暴力破解、目录以及文件枚举、Web漏洞...
js文件一般用于帮助网站执行某些功能,存储着客户端代码,可能会存在大量的敏感信息,通过阅读分析可能会找到宝藏。
通过查看页面源代码信息,找到.js后筛选特定信息,但这种方法费时费力,一般网站都会存在大量的js文件,还多数为混淆后的信息。
关键信息查找可以使用浏览器自带的全局搜索:
如:通过path:来查Vue框架路由
通过抓包拦截获取url后使用脚本筛选,比如BurpSuite专业版,可以在Target>sitemap下,选中目标网站选中Engagementtools->Findscripts,找到网站所有脚本内容。
也可以使用Copylinksinselecteditems复制出选中脚本项目中所包含的URL链接。
这种方法因为结合手工,在一些深层目录架构中,通过BurpSuitescript可以获取到一些工具跑不到的js信息。
JSFinder
JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具
JSINFO-SCAN
URLFinder
URLFinder是一款用于快速提取检测页面中JS与URL的工具。功能类似于JSFinder,但JSFinder好久没更新了。
HAE
HaE是基于BurpSuiteJava插件API开发的请求高亮标记与信息提取的辅助型框架式插件,该插件可以通过自定义正则的方式匹配响应报文或请求报文,并对满足正则匹配的报文进行信息高亮与提取。如匹配敏感信息、提取页面中的链接信息等。
Repo-supervisor
Repo-supervisor是一种工具,可帮助您检测代码中的秘密和密码。command-line-mode功能:CLI模式允许使用源代码扫描本地目录以检测文件中的机密和密码。结果可能以明文或JSON格式返回。
信息收集过程中,js文件不用仅限于当前网站版本,网站的历史版本中也可能会存在一些未失效的关键信息。
wayback会记录网站版本更迭,可以获取到之前版本的网站,不仅可以用于收集历史js文件,也有可能找到一些后来删除的敏感资产信息,或者一些漏洞
历史信息查找工具:
waybackurls
获取WaybackMachine知道的域的所有URL
收集历史js文件
webbackurlstarget.com|grep"\.js"|uniq|sort
通过WaybackMachine收集到的urljs列表需要进行存活检验,避免误报,可以使用curl命令或者hakcheckurl工具进行检验。最后在做url提取即可。
对于存在混淆的代码需要进行反混淆美化下,使其更易看懂
js-beautify
这个小美化器将重新格式化和重新缩进书签、丑陋的JavaScript、由DeanEdward的流行打包程序打包的解包脚本,以及由npm包javascript-obfuscator处理的部分去混淆脚本。
de4js
在线JavaScript反混淆器和解包器
Rad
一款专为安全扫描而生的浏览器爬虫。
whatweb-plus
获取网站title头及Web指纹
url-extractor
在线url提取
Google作为一款全球通用的发达搜索引擎,爬取的和收录的数据量也是庞大无比,善用搜索引擎语法可以帮忙我们发现更多敏感信息。
指令
用法
示例
“”(引号)
用引号来查询一个确切的单词或短语
查找有关《百年孤独》这本书的网页,语法:“百年孤独”
OR(或者)
用OR分隔搜索词,同时执行两个搜索查询,这将找到包含多个单词之一的页面。
搜索引用了“GoogleDrive”、“Dropbox”或“OneDrive”的页面,语法:GoogleDriveORDropboxOROneDrive
-(减号、连字符)
在单词或网站前使用连字符将其从搜索结果中排除
从搜索结果中排除www主机名,语法:-wwwsite:wikipedia.org
allintext:
使用allintext:[搜索短语]查找正文中包含这些单词的页面
查找正文中有关Roth、IRA投资讯息的页面,语法:allintext:RothIRA投资
allintitle:
使用allintitle:[搜索短语]查找标题中包含这些单词的页面
查找标题中同时包含“Apple”和“notebook”的页面,语法:allintitle:Applenotebook
allinurl:
使用allinurl:[搜索短语]查找URL中包含这些单词的页面
查找URL中同时包含”Microsoft”and“Surface”的页面,语法:allinurl:MicrosoftSurface
site:
使用site:[URL]将搜索结果限制到特定网站
查找云点SEO网关于谷歌SEO的页面,语法:site:yundianseo.com谷歌SEO
~(波浪号)
使用波浪号获得目标关键词及其近似词的搜索结果
查找SEO方面的策略或者教程,语法:SEO~教程
related:
使用related:[URL]查找与特定网站类似的网站
查找与云点SEO类似的网站,语法:related:yundianseo.com
define:
使用define:[搜索短语]查找其定义
查找SEO的定义,语法:define:SEO
$
使用$查找特定价格的商品
查找一款售价在99美金的手机,语法:mobilephone$99
location:
查询南京的酒店,语法:hotellocation:Nanjing
*(星号)
添加星号作为未知单词或事实的占位符
查找以“生活就像一个”开头的引语,语法:生活就像一个*
filetype:
使用filetype:[后缀]将结果限制为特定的文件格式,如PDF或DOC。
..(两点)
用两个句点分隔数字,不带空格,以搜索该范围内的数字
查找1950年至2000年间发生的计算机里程碑,语法:”计算机里程碑”1950..2000
AROUND(n)
在两个搜索词之间加上AROUND(n),以查找两个词间有特定距离的页面。用数字n设置术语之间的最大距离,这对于查找两个搜索词之间的关系很有用。
查找在同一句话或段落中提到Facebook和Microsoft的页面,语法:FacebookAROUND(7)Microsoft
#####phpinfosite:target.comext:phpintitle:phpinfo"publishedbythePHPGroup"
#####配置文件泄露site:target.comext:.xml|.conf|.cnf|.reg|.inf|.rdp|.cfg|.txt|.ora|.ini
#####数据库文件泄露site:target.comext:.sql|.dbf|.mdb|.db
#####日志文件泄露site:target.comext:.log
自从学会使用github并在上面乱捣鼓找到一些站点账号或源码后,就此走上不归路,各种Github监控搞上,又发现一些阿里key,简直是宝了……
Github有着自己的搜索语法,善用搜索语法能发现更多的有用信息。一般来说,Github搜索都是以域名、备案、js路径、网站技术支持等关键内容为主。
搜索包含"AccessKeyID"和password内容的代码。
一些工具中总结了一些常见的搜索语法:
TruffleHog是一款采用Python开发的工具,它可以检索GitHub代码库的所有代码提交记录以及分支,并搜索出可以表示密钥(例如AWS密钥)的高熵字符串。一般用来探测泄漏密钥的工具,支持扫描的数据源包括git、github、gitlab、S3、文件系统、文件和标准输入。
邮件服务器主要从端口和title标识两个信息点去确认的。
邮件服务器常见端口:
邮件服务器常见title:
主要通过一些子域名收集工具去确认,如:Subdomainbrute、ksubdomain、Oneforall、Sublist3r、TeeMO、LangSrcCurise、Layer挖掘机等。
战场主力也还是Googlehacking和网络空间搜索引擎
ps:基本都需要注册,注册获取的信息比游客多好多,有些还需要绑定手机号。
Hunter可让您在几秒钟内找到专业的电子邮件地址,并与对您的业务重要的人建立联系。
打码信息需要注册绑定手机号后才能看到。
Phonebook例举所有的域名,邮件地址,或者是所予域名的url,支持*.gov.uk的通配符,有340亿条记录。可以批量下载想要的域名。
如通过爱企查的爱番番寻宝客“获取更多的联系方式”
如使用八爪鱼采集器进行批量查询
theHarvester是Kali自带的一款社会工程学工具,默认集成了多个api,利用网络爬虫技术通过Google、Bing、PGP、LinkedIn、Baidu、Yandex、People123、Jigsaw、Shodan、PGP服务器等不同公开源整理收集,能够收集e-mail、用户名、主机名、子域名、雇员、开放端口和Banner等信息。
theHarvester参数详解
-d:指定搜索的域名或网址-b:指定采集信息的源(如baidu,biying,google)-l:指定采集信息的返回数量,默认500-f:输出文件名并保存采集结果,可以保存为HTML或XML格式;如果不指定,采集信息仅作屏幕显示
apikey没有配置的时候,结果较少。
verifyemail
员工名称拼音/首字母员工名称拼音/首字母+日期公司简称+年份员工名称+公司名passwd+日期P@sswd!+日期
爆破字典
由于网盘搜索工具的时效性,可以通过搜索引擎去获取一些。
关键词一般以单位名称、别称、产品业务等
通过获取App配置、数据包,去获取url、api、osskey、js等敏感信息。
ps:App关联打算另写一篇。
一般是通过抓包收集接口数据或者逆向获取配置数据。
抓包可能会需要进行证书绕过、绕过抓包限制等。
逆向可能会需要进行脱壳/解码等。
AppInfoScanner
通常将蜜罐(honeypot)定义为一种安全资源,它不需要提供实际的应用,蜜罐的存在价值就是诱导和记录攻击行为,从而了解攻击者的入侵方法和手段,并能够延缓其攻击进程,进而根据捕获的攻击行为数据,分析攻击者使用的攻击方法和工具,从而让防御方针对性地增强系统的安全防护能力
简单识别
持续更新……
旨在快速侦察与目标关联的互联网资产,构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产,发现存在的薄弱点和攻击面。
一个用于暴力破解的工具:
SecLists是安全测试人员的伴侣。它是安全评估期间使用的多种类型列表的集合,收集在一个地方。列表类型包括用户名、密码、URL、敏感数据模式、模糊测试负载、WebShell等等。目标是使安全测试人员能够将此存储库拉到一个新的测试框上,并可以访问可能需要的每种类型的列表。