渗透之信息收集

admin 2022年9月16日08:50:27安全文章评论14 views2736字阅读9分7秒阅读模式

在信息收集中,最主要的就是收集服务器的配置信息网站的敏感信息,其中包括域名及子域名信息、目标网站系统、CMS指纹、目标网站真实IP、开放的端口等。

只要与目标网站有关,都应尽量收集。

1 收集域名信息

包括域名的DNS服务器信息注册人的联系信息等。

1.1 Whois查询

Whois是一个标准的互联网协议,可用于收集网络注册信息(域名所有人、域名注册商),注册域名IP地址等信息。

Whois查询得到的注册人姓名和邮箱信息通常对测试个人站点非常有用,可通过搜索引擎和社交网络继续深挖其他信息。

对中小站点而言,域名所有人往往是管理员

Kali已默认安装Whois查询,输入命令whois 域名即可。

在线Whois查询工具:

1.爱站网(https://whois.aizhan.com/)2.站长之家(http://whois.chinaz.com/)

1.2 备案信息查询

主要针对国内网站,如果网站搭建在国外,则不需要备案。

在线备案信息查询工具:

1.ICP备案查询网(https://beian.miit.gov.cn/)2.站长之家(http://icp.chinaz.com/)

2 收集敏感信息

构造特殊的关键字语法,利用搜索引擎来搜索相关信息。

例如Google的常用语法及说明:

关键字 说明
site 指定域名
inurl URL中存在关键字的网页
filetype 指定文件类型
intitle 网页标题中的关键字
link 返回与关键字做了链接的URL
info 查找指定站点的一些基本信息
intext 网页正文中的关键字
cache 搜索Google里关于某些内容的缓存

其他搜索引擎也大同小异。

除此之外,可以在GitHub上寻找相关信息,如数据库连接信息邮箱密码uc-key阿里的osskey泄露的源代码等。

可以在乌云(http://wy.zone.ci/)查询历史漏洞。

3 收集子域名信息

一般主域都是重点防护区域,于是先从子域下手是比较好的选择。

3.1 子域名检测工具

1.Layer子域名挖掘机2.Sublist3r3.subDomainsBrute4.K85.wydomain6.。。。

3.2 搜索引擎枚举

例如site:baidu.com

3.3 在线查询

子域名爆破网站(https://phpinfo.me/domain)

IP反查绑定域名网站(https://dns.aizhan.com/)

4 收集常用端口信息

常用工具:Nmap,Masscan,ZMap,御剑高速TCP端口扫描工具。

4.1 文件共享服务端口

端口号 端口说明 攻击方向
21/22/69 Ftp/Tftp文件传输协议 允许匿名的上传、下载、爆破和嗅探操作
2049 Nfs服务 配置不当
139 Samba服务 爆破、未授权访问、远程代码执行
389 Ldap目录访问协议 注入、允许匿名访问、弱口令

4.2 远程连接服务

端口号 端口说明 攻击方向
22 SSH远程连接 爆破、SSH隧道及内网代理转发、文件传输
23 Telnet远程连接 爆破、嗅探、弱口令
3389 Rdp远程桌面连接 Shift后门(Windows Server 2003以下的系统)、爆破
5900 VNC 弱口令爆破
5632 PyAnywhere 抓密码、代码执行

4.3 Web应用服务端口

端口号 端口说明 攻击方向
80/443/8080 常见的Web服务端口 Web攻击、爆破、对应服务器版本漏洞
7001/7002 WebLogic控制台 Java反序列化、弱口令
8080/8089 Jboss/Resin/Jetty/Jenkins 反序列化、控制台弱口令
9090 WebSphere控制台 Java反序列化、弱口令
4848 GlassFish控制台 弱口令
1352 Lotus domino邮件服务 弱口令、信息泄露、爆破
10000 Webmin- Web控制面板 弱口令

4.4 数据库服务端口

端口号 端口说明 攻击方向
3306 MySQL 注入、提权、爆破
1433 MSSQL数据库 注入、提权、SA弱口令、爆破
1521 Oracle数据库 TNS爆破、注入、反弹Shell
5432 PostgreSQL数据库 爆破、注入、弱口令
27017/27018 MongoDB 爆破、未授权访问
6379 Redis数据库 可尝试未授权访问、弱口令爆破
5000 SysBase/DB2数据库 爆破、注入

4.5 邮件服务端口

端口号 端口说明 攻击方向
25 SMTP邮件服务 邮件伪造
110 POP3协议 爆破、嗅探
143 IMAP协议 爆破

4.6 网络常见协议端口

端口号 端口说明 攻击方向
53 DNS域名系统 允许区域传送、DNS 劫持、缓存投毒、欺骗
67/68 DHCP服务 劫持、欺骗
161 SNMP协议 爆破、搜集目标内网信息

4.7 特殊服务端口

端口号 端口说明 攻击方向
2181 Zookeeper服务 未授权访问
806 Zabbix服务 远程执行、SQL 注入
9200/9300 Elasticsearch 服务 远程执行
11211 Memcache服务 未授权访问
512/513/514 Linux Rexec服务 爆破、Rlogin登录
873 Rsync服务 匿名访问、文件上传
3690 Svn服务 Svn泄露、未授权访问
50000 SAP Management Console 远程执行

5 指纹识别

常见的CMS有Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、 ASPCMS、 帝国、Z-Blog、 WordPress等。

代表工具有御剑Web指纹识别、WhatWeb、 WebRobo、 椰树、轻量WEB指纹识别等。

在线工具:

1.BugScanner(http://whatweb.bugscaner.com/look/)2.云悉指纹:http://www.yunsee.cn/finger.html

6 收集真实IP地址

若目标不存在CDN,则很容易获取其IP地址。

若目标存在CDN,则需要绕过CDN寻找目标真实IP。

内部邮箱源

一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找此邮件服务器的域名。

如果目标的邮件服务器,不是自己的邮件服务器,则此方法无效。

分站域名

很多网站的主站访问量较大,所以主站很可能挂着CDN,此时就可以从分站下手。

国外访问

国内的CDN往往只对国内用户的访问加速,而国外的CDN就不一定了。可通过国外在线代理网站App Synthetic Monitor访问,从而得到真实IP。

7 收集敏感目录文件

主要工具有DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py(轻量级快速单文件目录后台扫描)、Sensitivefilescan、Weakfilescan等


原文始发于微信公众号(FACday安全团队):渗透之信息收集

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月16日08:50:27
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  渗透之信息收集 http://cn-sec.com/archives/1045626.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: