信息搜集
域名信息
Whois域名詳細信息
kali默認安裝了Whois,使用命令:
whois baidu.com
網站:
愛站工具網 http://whois.aizhan.com
VirusTotal http://www.virtustotal.com
備案信息
ICP備案信息查詢網 http://www.beianbeian.com
敏感信息收集
關鍵字 | 說明 |
---|---|
Site | 指定域名 |
Inurl | URL中存在關鍵字的網頁 |
Intext | 網頁正文中的關鍵字 |
Filetype | 指定文件類型 |
Intitle | 網頁標題中的關鍵字 |
link | link:baidu.com即表示返回所有和baidu.com做了鏈接的URL |
info | 查找指定站點的一些基本信息 |
cache | 搜索Google里關于某些內容的緩存 |
烏云漏洞表 http://wooyun.shuimugan.com
子域名信息
- 工具:Layer子域名挖掘機,K8,wydomain,Sublist3r,dnsmaper,subDomainBrute,Maltego CE
- 搜索引擎枚舉: 如在google中使用 site:baidu.com
- 第三方聚合應用枚舉 : DNSSdumpster網站( http://dnsdumpster.com/ ), 在線DNS偵查和搜索的工具
- 證書透明度公開日志枚舉 : crt.sh: https://crt.sh和 sensys: https://censys.io
- 子域名爆破網站:http://phpinfo.me/domain IP反查綁定域名網站 http://dns.aizhan.com
收集常用端口信息
文件服務duankou
端口號 | 端口說明 | 攻擊方向 |
---|---|---|
21/22/69 | FTP/TFTp文件傳輸協議 | 允許匿名的上傳,下載,爆破和嗅探操作 |
2049 | NFS服務 | 配置不當 |
139 | Samba服務 | 爆破,未授權的訪問,遠程代碼執行 |
389 | Ldap目錄訪問協議 | 注入,允許匿名訪問,弱口令 |
遠程連接服務端口
端口號 | 端口說明 | 攻擊方向 |
---|---|---|
22 | SSH遠程連接 | 爆破,SSH隧道及內網代理轉發,文件傳輸 |
23 | Telnet遠程連接 | 爆破,嗅探,弱口令 |
3389 | RDP遠程桌面連接 | Shift后門(需要Windows Server 2003以下的系統),爆破 |
5900 | VNC | 弱口令爆破 |
5632 | PyAnywhere服務 | 抓密碼,代碼執行 |
Web應用服務端口
端口號 | 端囗說明 | 攻擊方向 |
---|---|---|
80/443/8080 | 常見的wb服務端口 | web攻擊、爆破、對應服務器版本漏洞 |
7001/7002 | Weblogic控制臺 | Java反序列化、弱口令 |
8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制臺弱口令 |
9090 | Websphere控制臺 | Java反序列化、弱口令 |
4848 | Glassfish控制臺 | 弱口令 |
1352 | Lotus domino郵件服務 | 弱口令、信息泄露、爆破 |
10000 | Webmin-Web控制面板 | 弱口令 |
數據庫服務端口
端口號 | 端口說明 | 攻擊方向 |
---|---|---|
3306 | Mysql | 注入、提權、爆破 |
1433 | MSSQL數據庫 | 注入、提權、SA弱口令、爆破 |
1521 | Oracle數據庫 | TNS爆破、注入、反彈 Shell |
5432 | PostgreSQL數據庫 | 爆破、注入、弱口令 |
27017/27018 | MongoDB | 爆破、未授權訪問 |
6379 | Redis數據庫 | 可嘗試未授權訪問、弱口令爆破 |
5000 | SysBase/DB2數據庫 | 爆破、注入 |
郵件服務端口
端口號 | 端口說明 | 攻擊方向 |
---|---|---|
25 | SMTP郵件服務 | 郵件偽造 |
110 | POP3協議 | 爆破、嗅探 |
143 | IMAP協議 | 爆破 |
網絡常見協議端口
端口號 | 端口說明 | 攻擊方向 |
---|---|---|
53 | DNS域名解析系統 | 允許區域傳輸、DNS劫持、緩存投毒、欺騙 |
67/68 | DHCP服務 | 劫持、欺騙 |
161 | SNMP協議 | 爆破、收集目標內外信息 |
特殊服務端口
端口號 | 端口說明 | 攻擊方向 |
---|---|---|
2181 | Zookeeper服務 | 未授權訪問 |
8069 | Zibbix服務 | 遠程執行、SQL注入 |
9200/9300 | Elasticsearch服務 | 遠程執行 |
11211 | Memcache服務 | 未授權訪問 |
512/513/514 | Linux Rexec服務 | 爆破、Rlogin登錄 |
873 | Rsync服務 | 匿名訪問、文件上傳 |
3690 | Svn服務 | Svn泄露、未授權訪問 |
50000 | SAP Management Console | 遠程執行 |
指紋識別
這里的指紋是指網站CMS指紋識別。計算機操作系統及Web容器的指紋識別等。
CMS (Content Management System) : 整站系統或文章系統
內容管理系統(content management system,CMS)是一種位于WEB 前端(Web 服務器)和后端辦公系統或流程(內容創作、編輯)之間的軟件系統。內容的創作人員、編輯人員、發布人員使用內容管理系統來提交、修改、審批、發布內容。這里指的“內容”可能包括文件、表格、圖片、數據庫中的數據甚至視頻等一切你想要發布到Internet、Intranet以及Extranet網站的信息。
常見CMS:織夢dedecms、discuz、phpweb、phpwind、phpcms、ecshop、dvbbs、siteweaver、aspcms、帝國、Z-Blog、wordpress等
識別主流CMS的代表工具:御劍Web指紋識別、whatweb、webrobo、椰樹、輕量web指紋識別
識別主流CMS指紋的在線網站:
BugScanner : http://whatweb.bugscaner.com/look/
云悉指紋 : http://www.yunsee.cn/finger.html
和WhatWeb : https://whatweb.net(https://whatweb.net/)
查找真實IP
如果目標服務器不存在CDN,可以直接通過 www.ip138.com 獲取目標的一些IP和域名信息。
下面是幾種繞過CDN尋找目標服務器的真實IP
CDN的全稱是Content Delivery Network,即內容分發網絡。CDN是構建在現有網絡基礎之上的智能虛擬網絡,依靠部署在各地的邊緣服務器,通過中心平臺的負載均衡、內容分發、調度等功能模塊,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率。CDN的關鍵技術主要有內容存儲和分發技術。
CDN的基本思路是盡可能避開互聯網上有可能影響數據傳輸速度和穩定性的瓶頸和環節,使內容傳輸的更快、更穩定。通過在網絡各處放置節點服務器所構成的在現有的互聯網基礎之上的一層智能虛擬網絡,CDN系統能夠實時地根據網絡流量和各節點的連接、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節點上。其目的是使用戶可就近取得所需內容,解決 Internet網絡擁擠的狀況,提高用戶訪問網站的響應速度。
1. 目標服務器存在CDN
目標服務器存在CDN,通過ping 域名來查看IP結果只是離我們最近的一臺目標節點的CDN服務器。
2. 判斷目標是否使用了CDN
判斷目標服務器是否存在CDN,通過ping 域名來查看IP結果是否一樣。
也可以通過https://www.17ce.com判斷。
原則:ping出的IP結果一致,極有可能不存在CDN。若IP大多不太一樣或規律性很強,則可能存在CDN。
3. 繞過CDN尋找真實IP
- 內部郵箱源 (ping該郵件服務器的域名,即可獲得真實IP 第三方或者公共郵件8服務器不適用)
- 掃描網站測試文件(例如phpinfo、test)
- 分站域名(ping二級域名獲取分站IP)
- 訪問(通過國外在線代理網站訪問)
- 查詢域名解析記錄(https://www.netcraft.com)
- 繞過CloudFlare CDN查找真實的IP(http://www.crimeflare.us/cfs.html#box)
4. 驗證IP
- Web網站通過IP訪問防戰
- 借助Masscan的工具掃描對應IP段中所有開啟80,443,8080端口的IP,在逐個嘗試
收集蜜柑目錄文件
針對網站目錄掃描:DirBuster、御劍后臺掃描珍藏版、wwwscan、Spinder.py、Sensitivefilescan、weakfilescan等工具
社會工程學
作者:ZZUGeneral
地址:http://www.yanghelong.top