avatar

web渗透学习笔记[一]--信息收集

信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测。正所谓,知己知彼百战百胜!

信息收集

网站敏感信息,域名,子域名,网站系统,cms指纹,网站真实ip,开放端口

域名探测

whois查询

收集注册信息,域名,ip地址

较慢Whois.net

分类Free Whois Lookup - Whois IP Search & Whois Domain Lookup | Whois.com

域名Whois查询 - 站长之家

域名Whois查询,域名注册信息查询,域名网站信息查询-查询网

namecheap

kali里工具:

  • whois +domain

备案号查询

http://www.beianbeian.com ICP备案查询

http://www.tianyancha.com 天眼查

https://icp.chinaz.com/ 站长之家,可查看截图

子域名探测

一些工具
  1. layer子域名挖掘机

    下载地址:

https://kaking.lanzous.com/ibk4w6d密码:8c0j

  1. Sublist3r(https://github.com/aboul3la/Sublist3r) 支持py2.7.x和3.4.x
  • python sublist3r.py -d example.com -p 80,443
  1. subDomainBrute(https://github.com/lijiejie/subDomainsBrute)
  • subDomainsBrute.py [options] target.com

kali内工具:

  • dnsenum -f 字典 域名
搜索引擎

google,bing

google支持减号去掉不感兴趣的子域名

site:yahoo.com -www -uk -tw

第三方收集

https://dnsdumpster.com/

https://tool.chinaz.com/subdomain/

DNS域传送

dns信息收集

VirusTotal(https://www.virustotal.com/)
ViewDNS(https://viewdns.info/)
DNSdumpster(https://dnsdumpster.com/)
Threatcrowd(https://www.threatcrowd.org/)

1
2
3
4
5
6
7
A       IP地址记录,记录一个域名对应的IP地址
AAAA IPv6 地址记录,记录一个域名对应的IPv6地址
CNAME 别名记录,记录一个主机的别名
MX 电子邮件交换记录,记录一个邮件域名对应的IP地址,如root@xxxx.com
NS 域名服务器记录 ,记录该域名由哪台域名服务器解析
PTR 反向记录,也即从IP地址到域名的一条记录
TXT 记录域名的相关文本信息

域传送 :DNS Zone Transfer

DNS服务器分为:主服务器备份服务器缓存服务器
域传送是指后备服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。
在主备服务器之间同步数据库,需要使用“DNS域传送”。

kali:

1
dig +multi AXFR @ns1.insecuredns.com insecuredns.com
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
dnsenum xxx.com -f /dns.txt 
-h 查看班助
--dnsserver <server> 指定域名服务器
--enum 快捷选项,相当于"--thread 5 -s 15 -w"
--noreverse 跳过反向查询操作
--nocolor 无彩色输出
--private 显示并在"domain_ips.txt"文件结尾保存私有的ips
--subfile <file> 写入所有有效的子域名到指定文件
-t,--timeout <value> tcp或者udp的连接超时时间,默认时间为10s
--threads <value> 线程数
-v,--verbose 显示所有的进度和错误信息
-o,--output <file> 输出选项,将输出信息保存早指定文件
-e,--exclude <regexp> 反向查询选项,从反向查询结果中排出与正则表达式相符的PTR记录,排查主机
-w,--whois 在一个c段网络地址范围提供whois查询
-f dns.txt 指定字典文件可以自定义

一般为port:53

https://www.shodan.io/

语法:

1
2
3
4
5
6
7
8
9
10
11
hostname:  搜索指定的主机或域名,例如 hostname:”google”
port:  搜索指定的端口或服务,例如 port:”21”
country:  搜索指定的国家,例如 country:”CN”
city:  搜索指定的城市,例如 city:”Hefei”
org:  搜索指定的组织或公司,例如 org:”google”
isp:  搜索指定的ISP供应商,例如 isp:”China Telecom”
product:  搜索指定的操作系统/软件/平台,例如 product:”Apache httpd”
version:  搜索指定的软件版本,例如 version:”1.6.2”
geo:  搜索指定的地理位置,例如 geo:”31.8639, 117.2808”
before/after:  搜索指定收录时间前后的数据,格式为dd-mm-yy,例如 before:”11-11-15”
net:  搜索指定的IP地址或子网,例如 net:”210.45.240.0/24”

https://www.zoomeye.org/

1
2
3
4
5
6
7
8
9
10
11
12
13
app:nginx  组件名
ver:1.0  版本
os:windows  操作系统
country:”China”  国家
city:”hangzhou”  城市
port:80  端口
hostname:google  主机名
site:thief.one  网站域名
desc:nmask  描述
keywords:nmask’blog  关键词
service:ftp  服务类型
ip:8.8.8.8  ip地址
cidr:8.8.8.8/24  ip地址段

https://fofa.so/

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
    title=”abc” 从标题中搜索abc。例:标题中有北京的网站。
header=”abc” 从http头中搜索abc。例:jboss服务器。
body=”abc” 从html正文中搜索abc。例:正文包含Hacked by。
domain=”qq.com” 搜索根域名带有qq.com的网站。例: 根域名是qq.com的网站。
host=”.gov.cn” 从url中搜索.gov.cn,注意搜索要用host作为名称。
port=”443” 查找对应443端口的资产。例: 查找对应443端口的资产。
ip=”1.1.1.1” 从ip中搜索包含1.1.1.1的网站,注意搜索要用ip作为名称。
protocol=”https” 搜索制定协议类型(在开启端口扫描的情况下有效)。例: 查询https协议资产。
city=”Beijing” 搜索指定城市的资产。例: 搜索指定城市的资产。
region=”Zhejiang” 搜索指定行政区的资产。例: 搜索指定行政区的资产。
country=”CN” 搜索指定国家(编码)的资产。例: 搜索指定国家(编码)的资产。
cert=”google.com” 搜索证书(https或者imaps等)中带有google.com的资产。
高级搜索:
title=”powered by” && title!=discuz
title!=”powered by” && body=discuz
( body=”content=\”WordPress” || (header=”X-Pingback” && header=”/xmlrpc.php” && body=”/wp-includes/“) ) && host=”gov.cn”

https://www.virustotal.com/gui/

查询SSL证书

https://myssl.com/

https://www.chinassl.net/ssltools/ssl-checker.html

http://web.chacuo.net/netsslcheck

https://aq.chinaz.com/

https://www.dute.org/ssl-validate

https://crt.sh/

https://censys.io

1
2
3
4
5
6
7
8
9
10
11
12
13
https://www.censys.io/certificates/help 帮助文档
https://www.censys.io/ipv4?q= ip查询
https://www.censys.io/domain?q= 域名查询
https://www.censys.io/certificates?q= 证书查询
23.0.0.0/8 or 8.8.8.0/24  可以使用and or not
80.http.get.status_code: 200  指定状态
80.http.get.status_code:[200 TO 300]  200-300之间的状态码
location.country_code: DE  国家
protocols: (“23/telnet” or “21/ftp”)  协议
tags: scada  标签
80.http.get.headers.server:nginx  服务器类型版本
autonomous_system.description: University  系统描述
正则

https://developers.facebook.com/tools/ct/

https://google.com/transparencyreport/https/ct/

DNS历史解析

https://dnsdb.io/zh-cn/

https://x.threatbook.cn/

google搜索C段

site:xx.xx.xx.*

在线C段查询:

https://phpinfo.me/bing.php

敏感信息收集

端口信息

nmap工具

常见端口

文件共享

21/22/69 ftp/tftp文件传输 匿名上传下载爆破嗅探
2049 Nfs 配置不当
139 Samba 爆破,未授权访问,远程代码执行
389 Ldap目录访问 注入,允许匿名访问,弱口令

远程连接

22 ssh 爆破,ssg隧道以及内网代理转发,文件传输
23 telnet 爆破,弱口令,嗅探
3389 Rdp shift后门,要求低版本,爆破
5900 VNC 弱口令
5632 PyAnywhere 抓密码,代码执行

邮件协议

25 SMTP 邮件伪造
110 POP3 爆破
143 IMAP 爆破

网络常见协议

53 DNS 域传送,dns劫持,缓存投毒,七篇
67/68 DHCP 劫持,欺骗
161 SNMP 爆破,搜集内网信息

web应用

80/443/8080 常见web服务 web攻击,爆破,对应版本漏洞
7001/7002 weblogic java反序列化,弱口令
8080/8089 Jboss/Resin/Jetty/Jenkins 反序列化,控制台弱口令
9090 websphere java反序列化,弱口令
4848 ClassFish 弱口令
1352 Lotus domino邮件 弱口令,信息邪路,爆破
10000 webmin-web 弱口令

数据库

3306 mysql 注入,提权,爆破
1433 mssql 注入,提权,sa弱口令,爆破
1521 Oracle TNS爆破,注入,反弹shell
5432 PostgreSQL 爆破,注入,弱口令
27017/27018 MongoDB 爆破,未授权访问
6379 Redis 弱口令,未授权访问
5000 SysBase/DB2 爆破,注入

特殊端口

2181 Zookeeper 未授权访问
8069 Zabbix 远程执行,sql注入
9200/9300 Elasticsearch 远程执行
11211 Memcache 未授权访问
512/513/514 Linux Rexec 爆破,Rlogin登录
873 Rsync 匿名访问,文件上传
3690 Svn Svn泄露,未授权访问
50000 SAP Management Console 远程执行

敏感目录

google hack

御剑

DirBuster

webrobot

web源代码泄漏

.hg

.git

/CVS/Root

.svn/entires

.DS_Store

WEB-INF/web.xml

.rar,.zip,.tar.gz,.bak,.tar

github信息泄露

内部邮箱账号密码

hadoop账号密码

ruby china的阿里oss key,使用工具连接

web指纹识别

一般cms,前端技术,web服务器,应用服务器,开发语言,操作系统消息,cdn信息,waf信息,ip及域名信息,端口信息。

  1. 特定文件的MD5值相比
  2. 正常页面或者错误页面中包含的关键字,比如底部
  3. 请求头信息的关键字匹配
  4. 部分url中包含的关键字,比如wp-includes,dede
  5. robots.txt文件
  6. 开发语言识别,PHP,JSP,ASPX,ASP
1
2
3
4
5
6
7
8
9
10
11
     (1)通过爬虫获取动态链接进行直接判断是比较简便的方法。

asp判别规则如下<a[^>]*?href=('|")[^http][^>]*?\.asp(\?|\#|\1),其他语言可替换相应asp即可。

(2)通过X-Powered-By进行识别

比较常见的有X-Powered-By: ASP.NET或者X-Powered-By: PHP/7.1.8

(3)通过Set-Cookie进行识别

这种方法比较常见也很快捷,比如Set-Cookie中包含PHPSSIONID说明是php、包含JSESSIONID说明是java、包含ASP.NET_SessionId说明是aspx等。

指纹识别工具

WhatWeb

Wapplyzer(有插件)

Whatruns(插件)

御剑

Web Developer

w11scan

  • 可以在docker安装——使用的是Mongodb,1800多种指纹,538种常见cms,支持手动添加指纹
1
2
3
4
5
6
1. docker pull boyhack/w11scan
docker run -it -p 666:8000 boyhack/w11scan:latest或者(因为导入过程可能需要较长时间)
docker run -d -p 666:8000 boyhack/w11scan:latest
账号admin,密码w11scan
2. docker build
docker build -t w11scan:1.0 .

指纹识别网站

http://whatweb.bugscaner.com/look/

http://www.yunsee.cn/

https://whatweb.net/

http://finger.tidesec.net/

识别waf

wafw00f

https://github.com/EnableSecurity/wafw00f

真实ip

  1. 判断目标是否使用了CDN,直接i使用ping命令,查看域名解析状况
  2. 使用在线ping网站

http://ping.chinaz.com

https://www.wepcc.com/

http://www.webkaka.com

http://www.pingwebsite.com

https://ping.aizhan.com/

绕过CDN寻找IP

网站邮件RSS订阅查找

国外主机解析域名

子域名

网站漏洞

网络空间引擎,shodan,fofa

利用https://securitytrails.com/

SSL

http://Censys.io

HTTP标头

znmap扫描全网

利用网站敏感信息,如phpinfo.php

网站个人app,公众号

DNS记录

1
2
3
4
5
https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP

资产梳理

平台:

https://www.hackerone.com/

http://www.bugx.org/

https://security.guazi.com/home

https://dvpnet.io/

https://www.cnvd.org.cn/

https://www.bugbank.cn/

https://www.butian.net

https://src.sjtu.edu.cn/login/

https://www.seebug.org/

http://www.expku.com/

http://ivd.winicssec.com/

http://www.bugscan.net/source/template/vulns/

www.0daybank.org

http://xssor.io/

http://0day.today/

http://routerpwn.com/

http://cve.mitre.org/

安全沙漏 https://www.secsilo.com/

华为安全情报https://isecurity.huawei.com/sec/web/index.do

被黑站点统计:

http://www.hac-ker.org/

https://www.hacked.com.cn/index.php

其他网站:

hash
md5
http://cmd5.com/
http://www.md5.cc/
https://www.somd5.com/
http://pmd5.com/

window hash
http://www.objectif-securite.ch/ophcrack.php

密码生成
https://github.com/bit4woo/passmaker
字典 https://github.com/rootphantomer/Blasting_dictionary
https://github.com/LandGrey/pydictor

隐藏身份

https://www.noip.com/
https://github.com/fate0/proxylist/blob/master/proxy.list

查找cdn后原始ip
https://github.com/christophetd/CloudFlair

域名历史

https://www.benmi.com/whoishistory/

查阅文章:

https://thief.one/2017/05/19/1/

https://forum.90sec.com/t/topic/524

文章作者: KaKing
文章链接: http://wlaqstcs.com/1/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 KaKing-网络安全渗透测试

评论