外围信息收集

发布于 2021-08-06  103 次阅读


域名的相关知识

域名的技术指的是一个域名由多少级组成,域名的各个级别被“.”分开,简而言之,有多少个点就是几级域名 顶级域名:.com(商)、.edu(教)、.gov(政)、.mil(军) 一级域名:qq.com 二级域名:ke.qq.com 三级域名:zhz.ke,qq.com

CDN

什么是CDN?

CDN就是内容分发网络,主要解决因传输距离和不同运营商借点造成的网络速度性能低下的问题。说简单点,就是在不同运营商之间的对接节点上的高速缓存服务器,把用户经常范文的静态数据资源(例如静态的html,CSS,js等文件。) 直接缓存在借点服务器上,当用户在其请求时,直接分发到在李用户进的借点服务器上响应给用户,当用户有实际数据交互时才会从远程Web服务器上响应,这样可以大大提高网站的响应速度及用户体验。

CDN对渗透测试的影响

如果渗透目标购买了CDN服务,可以直接凭目标的域名,单但得到的并不是真正的Web服务器,只是离我们最近的一台目标节点的CDN服务器,这就导致了我么你没法直接得到目标的真是IP段范围。

判断目标是否使用了cdn

可以进行全国多地区的ping服务 器操作,让后对比每个地区ping出的IP结果,查看这些ip是否一致,如果都是一样的,极有可能不存在CDN。如果IP太多不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN。

在线工具:

https://www.17ce.com

http://ping.chinaz.com/

如何绕过CDN?

1. 收到邮件,邮件发送的ip一般是真实ip ,通过目标网站注册或者RSS订阅功能,查看邮件、寻找邮件头中的邮件服务器域名ip。(这里必须是目标的邮件服务器,第三方或者公共邮件服务器是没有用的)
2. 扫描网站测试文件,如phpinfo,test等,从而找到目标的真是ip
3. 国外访问,一般国内网址,国外都不会挂在CDN。因此,通过国外在线代理网站APP Synthetic Monitor(https://asm.ca.com/en/ping.php)访问,可能会得到真实的ip
4. 查询历史记录,查询未挂载CDN之前真实ip ([https://www.netcraft.com)(viewsdns)](https://www.netcraft.com)(viewsdns)/)
5. 有的网站主站存在CDN,但是他的子站可能不存在,可能会出现子站和主站不在同一个IP但是在同一个C段下面的情况,从而能判断出目标的真实ip。
6. 如果目标站点有自己的APP,可以尝试使用burpsuit转包,从里面找到目标的真实IP
7. 查看phpinfo配置信息
8. 绕过CloudFlare CDN查找真实IP。现在很多网站都使用CloudFlare提供的CDN服务,在确定了目标网站使用CDN后,可以先尝试通过在线网站CloudFlareWatch对C;oudFlare客户网站进行真实ip查询。(https://ww.crimeflare.us/csf.html#box)
9. 使用censys.io进行检索:`443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:xxx.com`

备案信息查询

ICP备案查询网:http://www.beibeian.com

天眼查:http://www.tianyancha.com

什么是whois

whois指的是域名注册时留下的信息,比如管理员的名字,电话号码,邮箱

为什么要收集whois?

域名注册人可能就是网站管理员,可以尝试社工,套路,查询是不是注册了其他域名扩大攻击范围。

查询方式:

百度whois,然后找到类似于站长之家的网站进行查询,一般外国网站更好用一点

https://whois.aizhan.com

http://whois.chainaz.com

https://www.virustotal.com

kail上自带whois查询

子域名查询

顶级域名下的二级域名或者三级升值更多级的域名都属于子域名,有一些直接ip访问的web站我们也归结于子域名收集范围

为什么要收集子域名?

有一些网站,主站没有什么功能或者防护过于严密,因此我们没有办法通过主站拿下相关数据,我们只能通过子域名的收集来来扩大我们的攻击范围。

如何收集子域名?

使用Google hacking 进行搜集。 ​ IP反查域名 ​ 使用工具爆破DNS服务器(layer.exe 也叫子域名挖掘机)

使用js文件发现子域名 https://github.com/Threezh1/JSFinder

使用oneforall进行探测,需要进行的api和config配置https://github.com/

端口探测(Namp)

为什么要探测端口?

有些危险的端口开放了我们可以尝试入侵,例如445|3306|22|1433|6379 可以尝试爆破或者是使用某些端口存在漏洞的服务。而且有可能一台服务器上面不同的端口代表着不同的Web网站。很多时候不同端口对应着相应的服务,因此我们可以通过端口扫描来推测网站可能开启哪些服务。

如何探测端口呢?

利用工具namp,被称为扫描之王:使用方法如下: ​ 1、cmd->nmap 提示信息,表示打开成功。 ​ 2、nmap 域名 ​ 3、相关指令: ​ -p 指定端口扫描 (-p 445 210.30.1.141) 这里建议全端口扫描的时候,可以使用-p 1- 65535 避免高端口不被扫描的情况发生。 ​ -v 查看他扫描的一些细节 ​ -Pn 会先ping一下 看机器是否存活,如果不存活不会扫描。 ​ -O 探测主机操作系统 ​ -A 全面扫描,简单说就是一起方法都用

不同端口利用

文件共享服务端口

端口号端口说明攻击方向
21/22/69Ftp/Tftp文件传输协议如需匿名的上传、下载、爆破和嗅探操作
2049Nfs服务配置不当
139Samba爆破、未授权访问、远程代码执行
389Ldap注入、与虚拟名访问、弱口令

远程连接服务端口

端口号端口说明攻击方向
22SSh远程连接爆破、SSH隧道及内网代理转发、文件传输
23Telnet远程连接爆破、嗅探、弱口令
3389Rdp远程连接桌面shift后门(需要Windows Server 2003 以下的系统)、爆破
5900VNC弱口令爆破
5632PyAnywhere抓密码、代码执行

web应用服务端口

端口号端口说明攻击方向
80/443/8080常见的web服务端口Web攻击、爆破、对应服务器版本漏洞
7001/7002webLogic控制台Java反序列化、弱口令
8080/8089Jboss/Resin/Jetty/Jenkins反序列化、控制台弱口令
9090WebSphere控制台Java反序列化、弱口令
4848GlassFish控制台弱口令
1352Lotus domino邮件服务弱口令、信息泄露、爆破
10000Webmin-Web控制面板弱口令

数据库服务端口

端口号端口说明攻击方向
3306MySQL注入、提前、爆破
1433MSSQL注入、提权、SA弱口令、爆破
1521OracleTNS爆破、注入、反弹shell
5432PostgreSQL爆破、注入、弱口令
27017/27018MongoDB爆破、未授权访问
6379Redis数据库可尝试未授权访问、弱口令爆破
5000SysBase/DB2数据库爆破、注入

邮件服务端口

端口号端口说明攻击方向
25SMTP邮件服务邮件伪造
110POP3协议爆破、嗅探
143IMAP协议爆破

网络常见协议端口

端口号端口说明攻击方向
53DNS域名系统允许区域传送、DNS劫持、缓存投毒、欺骗
67/68DHCP服务劫持、欺骗
161SNMP协议爆破、搜集目标内网信息

特殊服务端口

端口号端口说明攻击方向
2181Zookeeper服务未授权访问
8069Zabbix服务远程执行、SQL注入
9200/9300Elasticsearch服务远程执行
11211Memcache服务未授权访问
512/513/514Linux Rexec服务爆破、Rlogin登陆
873Rsync服务匿名访问、文件上传
3690Svn服务Svn泄露、未授权访问
50000SAP Management Console远程执行

目录扫描(御剑)

什么是网站目录?

在我们访问某个网站的时候其实就是在访问某一个文件夹里面存储的内容。

为什么要目录扫描?

通过不断重复的扫描,可能获得存有重要信息的目录,如后台登录地址等 ​ 如何目录扫描? ​ 使用工具御剑,然后要记得不断地丰富自己的字典呦。

指纹识别

这里的指纹识别指的是网站CMS指纹识别、计算机操作系统及web容器的指纹识别,识别其特征安等等

为什么要指纹识别?

cms可能存在通杀漏洞,如果使用了cms建站我们可以用通杀漏洞直接攻击。或者来说读取很多这个web页面的相关信息

如何指纹识别?

http://whatweb.bugscaner.com/

https://s.threatbook.cn/

常见的cms

Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、DVbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等

旁站查询

为什么要查询旁站?

旁站值得是在同一个ip上面的多个网站,如果你成功拿下旁站,运气好和主站再同一台机器上,就有机会拿到主站,甚至尝试内网渗透。

如何扫描旁站?

1、在线工具

http://stool.chinaz.comhttps://www.webscan.cc/

https://phpinfo.me/domain(子域名爆破网站)

https://dns.aizhan.com(IP反查绑定域名网站)

2、搜素引擎枚举,如谷歌语法。

3、第三方聚合应用枚举

很多第三方DNS服务汇聚了大量DNS数据集,可通过他们检索摸个给定域名的子域名。如DNSdumpster(https://dnsdumpster.com/)、在线DNS侦查。

4、证书透明度公开日志枚举

证书透明度是证书授权机构(CA)的一个项目,证书授权机构与会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址。可以使用 https://crt.sh和https://censys.io来查询。

C段扫描

为什么要扫描c段? ​ 有些高校或者说大公司,他们会持有整个ip段,这个ip段中所有的ip都是那个公司的资产,拿下一台可能有有用信息,可能在同一内网。 ​ 如何c段扫描? ​ 得到一个真实ip,然后自己进行推断。

内容敏感信息泄露(gooole hacking)

尝试谷歌语法,找到某些敏感内容,比如包含身份证号码的表格,包含服务器账号密码的文件,某些敏感文件,备份数据库等 谷歌语法 site:可以限制你搜索范围的域名.

inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用.

intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)

intitle: 查包含关键词的页面,一般用于社工别人的webshell密码

filetype:搜索文件的后缀或者扩展名

intitle:限制你搜索的网页标题.

link: 可以得到一个所有包含了某个指定URL的页面列表.

查找后台地址:site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

查找可注入点:site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞:site:域名 inurl:file|load|editor|Files

找eweb编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库:site:域名 filetype:mdb|asp|#

查看脚本类型:site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵:inurl:cms/data/templates/images/index/

网络空间搜索引擎:

1:www.zoomeye.org (钟馗之眼)

2:www.shodan.io

3: https://fofa.so (fofa)