博客强调渗透测试本质是信息收集,介绍了漏洞挖掘中资产收集的方法。包括子域名收集,如用搜索引擎、工具、DNS查询等;C段信息收集,可通过扫描工具;关键词收集,如公司名称等;还有常规信息收集,如Whois信息、端口漏洞等。
漏洞挖掘之资产收集(信息收集)
写在前
忘了是在哪里看的一句话了,渗透测试的本质就是信息收集,确实,不管是渗透测试还是一些红蓝对抗中,都是一个信息收集的过程。之前也在跟一些面试的同志聊过关于信息收集的东西,千篇一律的回答就是那些东西,不管是在SRC众测还是攻防演练中,在拿到一个主站域名后,想从主站做入口进入到业务内网是很难的,或者说是不太现实的一件事,毕竟大多数的企业官网都是用的很成熟的框架,并且每天都会接受成千上万次的洗礼,能从主站拿到点东西第一是浪费事件,第二是难度太大,所以这里就体现出了信息收集的重要性,资产放大化,寻找脆弱点做入口,让自己的渗透之路更顺畅。下面是我总结的信息收集的一些方法,结合网上看到的一些文章跟自己实战中总结的一些经验。
一.子域名收集
利用搜索引擎进行信息收集
这里常用的就是Baidu,Bing,Google(这个需要TZ),Fofa(资产多的话需要开会员查看),
查询语法跟搜索引擎的不同查询语句也是不同的
这里简单写几个举例一下
Site:*****.com
Inurl:****.com
像如fofa这样的搜索引擎都有自己搜索语法,只是点一下思路,这里就不一一介绍了,
利用工具进行子域名枚举爆破
网上工具很多,但是经常用的基本就是Layer子域名挖掘机
工具参考链接:https://zhuanlan.zhihu.com/p/106705198(含23款子域名枚举工具)
DNS查询
这里推荐一个查询的网站,也是之前HW一位大佬推荐给我的
https://rapiddns.io/subdomain
简介:
Rapiddns目前拥有超过20亿个DNS解析数据,支持A,CNAME,AAAA,MX类型。A记录18亿,CNAME记录1.8亿,AAAA记录1.8亿,MX记录3.6亿。可以查询同一IP网站的域名(支持IPv6)。您还可以查询子域信息。
证书查询
这里我也是用的fofa
IP反查
往往有时候IP反查会收获到意想不到的资产
这里我常用的就是爱站的反查
https://dns.aizhan.com/aaa.com/
二丶C段信息收集
一般大型的企业都会把自己的资产放到一个或者多个公网的C段种,往往很多隐蔽的资产是互联网搜索不到的,这里我们就可以通过扫描C段资产进行更详细的信息收集
C段扫描的工具很多,这里简单写几个我常用的工具
Goby
这是我非常喜欢的一个收集资产的工具,可以扫到很多有用的信息,而且上面还集成了一下漏洞的POC
小米范web查找器
还有一些比如nmap,御剑之类的都可以
三丶关键词收集
这里的关键词可以以 公司名称 公司企业邮箱 公司电话 等,为什么这里我会写一下呢,因为之前也碰到过,通过搜索企业的招聘邮箱找到了一个此公司很早之前的一个网站,并且网站域名是之前的域名,没人维护了,然后通过此站点进入了内网
四丶常规信息收集
剩下的就是常规的一些方法,我也懒得排版了,直接把我之前做的笔记Copy到下面把
Whois信息
Whois是用来查询域名的IP以及所有者等信息的传输协议。whois信息可以获取关键注册人的信息,包括注册邮箱,注册商,所有者,联系电话,域名注册信息,域名到期时间,域名状态,DNS服务器等
Whois可以获取的信息:
1域名详细信息
2域名服务器信息
3网络IP地址
4域名创建,过期时间
5最近更新记录
whois信息在线收集地址:
爱站网:
https://www.aizhan.com
站长之家:
http://whois.chinaz.com/
阿里云域名信息查询:
https://whois.aliyun.com/
Kali whois命令
Python-whois模块查询域名信息(安装方式 pip2 install python-whois,pip3 install python-whois,导入方式import whois)
企业信息查询网站:
天眼查:
https://www.tianyancha.com/
企查查:
https://www.qichacha.com/
ICP备案查询:
http://www.beianbeian.com/
公安部备案:
http://www.beian.gov.cn/portal/recordQuery
github信息收集,svn的信息收集,邮箱信息收集,网盘信息收集:
github信息泄露:
.svn/entries
常见端口漏洞:
端口 服务 说明
21 FTP 主要看是否支持匿名,也可跑弱口令
22 SSH 弱口令爆破
22 SSH 弱口令爆破
23 telnet 弱口令爆破
80-90 WEB 常见WEB漏洞以及一些为管理后台
161 snmp public弱口令
389 ldap 是否为匿名访问
443 openssl 心脏出血以及一些WEB漏洞测试
445 smb 跑弱口令,检测是否有ms_08067等溢出
873 rsync 是否为匿名访问,也可以跑弱口令
1025 RPC NFS匿名访问
1099 java rmi 远程命令执行漏洞
1433 mssql 弱口令爆破
1521 oracle 弱口令爆破
2082/2083 cpanel 主机管理系统登陆 弱口令爆破
2222 DA 虚拟主机管理系统登陆 弱口令爆破
2601,2604 zebra路由器 默认密码zebra
3128 squid 代理默认端口 如果没设置口令很可能就直接漫游内网
3306 mysql 弱口令爆破
3312/3311 kangle 主机管理系统登陆 说明
3389 RDP 弱口令爆破,SHIFT后门,放大镜,输入法漏洞
4440 rundeck web
4848 GlassFish web中间件 弱口令admin/adminadmin
5432 postgres 弱口令爆破
5560,7778 iSqlPlus
5900,5901,5902 vnc 弱口令爆破
5984 CouchDB
http://xxx:5984/_utils/
6082 varnish
6379 redis 一般无验证,直接访问
7001,7002 weblogic 弱口令爆破
7778 Kloxo 主机控制面板登录
8080 tomcat\jboss 弱口令爆破,jboss后台可能不验证
8649 ganglia
8080-8090 常见WEB端口
8083 Vestacp主机管理系统 (国外用较多)
8649 ganglia
8888 amh/LuManager 主机管理系统默认端口 说明
9000 fcgi fcgi php命令执行漏洞
9200 elasticsearch 代码执行
9043 websphere 弱口令爆破
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 memcache 内存泄露
27017,28017 mongodb 未授权访问
50000 Upnp SAP命令执行
50060,50030 hadoop WEB 未授权访问
常见端口列表整理如下:
信息收集的作用 方式 burp的模块
nmap侦测的参数 burp爆破密码流程步骤
nmap怎么扫描ip 并 发现 80 3306 端口 白盒 黑盒测试的介绍
渗透测试流程
21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060
2.子域名搜集小工具
subDomainsBrute
https://github.com/lijiejie/subDomainsBrute
wydomain
https://github.com/ring04h/wydomain
wafw00f
https://github.com/EnableSecurity/wafw00f
WhatWeb
https://github.com/urbanadventurer/whatweb
layer子域名挖掘机
DNSdumpster
Sublist3r
https://github.com/aboul3la/Sublist3r
3.在线查询工具
http://tool.chinaz.com/subdomain/
https://www.virustotal.com/
https://censys.io/
https://x.threatbook.cn/
https://phpinfo.me/domain/
4.网络空间资产搜索引擎
Zoomeye
Shodan
Fofa
GitHub:https://github.com/Micropoor/Micro8
DNS查询/枚举/历史
证书证明度公开
WEB
五丶总结
信息收集的方法很多,这只是我常用的一些方法,在写的时候也是想起来什么写什么了,写的肯定是 不全的,仅供参考。
扫一扫
1603
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
