【HVV】攻防演练红队信息收集打点思路

前言：

作为一名RT，在攻击之前一般需要做好信息收集、资产梳理。

信息收集决定了之后的攻击面有多广和漏洞扫描、挖掘、利用的范围有多大。能清楚地确定自己的攻击目标，打起来才不会像无头苍蝇一样到处乱撞。

域名/ip收集：

拿到靶标可能只是一个域名或者是IP，亦有可能只是一个单位名称。

下面推荐几款子域名Fuzz的工具

• Layer子域名挖掘机

  这款工具属于老古董了，原理是利用字典去Fuzz爆破子域名，可以自己找一些高质量的字典来配合挖掘机使用，提高子域名的准确率。
  

  https://github.com/euphrat1ca/LayerDomainFinder

• 在线子域名查询

  在线子域名查询其实也是用字典去Fuzz爆破的，速度够快，字典够强大。
  

  https://phpinfo.me/domain/

• subfinder

  是我常用的一个子域收集工具，它通过使用被动在线资源来发现网站的有效子域。它具有简单的模块化架构，并针对速度进行了优化。
  

  https://github.com/projectdiscovery/subfinder

利用网络空间测绘、搜索引擎语法去查找子域名

fofa、ZoomEye、shodan、360Quake等

使用时了解一下语法

百度、谷歌hk语法也是可以收集到子域名

site:xxx.com

端口查询

常见端口

80   HTTP443  HTTPS21   FTP——文件传输22   SSH——远程登陆23   Telnet——远程登陆25   SMTP——邮件服务器3389 RDP——远程登陆3306 MySQL——数据库1433 SQLServer——数据库

• Nmap端口扫描工具

  Kali自带的一款端口扫描工具，扫描服务器开放的端口以及对应的服务，不过速度较慢，看个人的使用习惯。
  

  扫描一些FTP、SSH、3389、3306这种服务的端口可以进行弱口令测试，以及像Oracle，Redis这种可以测一下未授权漏洞。

  
  

  弱口令检测工具

  可自定义端口，工具内置字典，可以自己去找top10-2000不等的字典，自己有蜜罐的也可以自己处理一份字典，最好对应某个协议/服务的专用字典去使用，这样可以提高效率。还有kali的一款Hydra(九头蛇)

  字典足够强大，爆破弱口令只是时间问题。
  

  https://github.com/shack2/SNETCracker

  
  

跟Nmap一样的一款是Zenmap，其实就是nmap的可视化窗口版本，在windows环境下使用还是挺不错的。

• 在线端口扫描

  在线工具更方便一点，师傅们可以自己去发掘一下。

  http://coolaf.com/tool/port

有些打点工具都自带有端口扫描的功能，节省时间提高效率

例如：Goby、yakit

资产梳理得非常清楚，开放的端口以及框架、中间件。能很清楚的看到攻击面。

• jQuery

• Apache
  

• Tomcat

• Thinkphp

• Struts2

• Shiro

• Solr
  

有很多时候web层的漏洞是不容易发现且不好利用，我们可以尝试利用框架或中间件的漏洞。

各搜索引擎找漏洞复现方法、POC直接打、github上找0day工具一把梭

Shiro反序列化漏洞利用工具

https://github.com/SummerSec/ShiroAttak2

Shiro_key仓库 目前key有1000+https://github.com/yanm1e/shiro_key

Apache Solr 漏洞检测利用工具

https://github.com/lovechuxin/Apache-Solr-Scan

Struts2漏洞检查工具

当年这个框架的漏洞估计也有不少师傅刷过很多分了，这里推荐的是shack2师傅的一个工具，想必大家都对这个工具非常眼熟。

https://github.com/shack2/Struts2VulsTools

TP漏洞工具

Thinkphp(GUI)漏洞利用工具，支持各版本TP漏洞检测，命令执行，getshell。 

https://github.com/Lotus6/ThinkphpGUI

针对企业、高校最常见的就是OA、VPN、邮箱等

通达OA、致远OA、蓝凌OA、泛微OA等等

0day，1day，nday，历史漏洞直打

oa、网络设备、防火墙等漏洞合集https://github.com/TheTh1nk3r/hvv_vul/tree/master/2021

C段资产收集

企业的可以通过域名解析的ip去查询C段的资产，又或者该企业用于上网的那条运营商的ip，通过扫描端口等方法，有可能发现暴露在外网的路由器、交换机这种设备

高校同理，还可以扩展一下，去找它归属的教育网段

• xx管理系统

• 堡垒机

• 路由器

• 交换器

• 防火墙

• 上网行为管理

C段极有可能收集到靶标暴露在外网的一些网络设备还有一些边缘的网络资产

Fofa找C段比较方便ip="0.0.0.0/24"

C段找到的一些暴露在外网的设备，管理系统等，

0day，1day，nday，历史漏洞一把梭

记得openfire有个ssrf的洞

pocGET /getFavicon?host=地址 HTTP/1.1

dnslog接收成功

代码信息泄露

1.网站备份源码泄露

• 网站源码压缩备份文件

• .svn源码泄露

• .git源码泄露

• config配置文件泄露
  

常见源码备份压缩包文件

0.rarweb.rarwww.rarwwwroot.rarback.rartemp.rarbackup.rarbbs.zipwebsite.rar

找top字典去fuzz一下

有些管理员喜欢以域名命名备份文件

linux系统xxx.xxx.com.tar.gz

windows系统xxx.xxx.com.rar

2.github信息泄露

有些开发人员会把代码扔在github上，直接搜索关键词就可以了。

微信公众号、服务号、小程序资产

当web、C段等这些资产收集完毕后，再扩展一下到微信里的这些资产，比较隐蔽，所以安全这一块可能是比较脆弱的。

在公众号、服务号、小程序可以测试的功能点也是比较多的。

Xray+BurpSuite联动 自动化测试

API接口

• XSS
  

• SQL注入

• 未授权等

百度/谷歌hk信息收集

site:xxx.com adminsite:xxx.com loginsite:xxx.com homesite:xxx.com systemsite:xxx.com 管理site:xxx.com 登陆site:xxx.com 系统site:xxx.com 后台

存在漏洞

• POST注入

• 未授权

• 越权等等
  

师傅们还可以自己去扩展一下

欢迎关注公众号：Cubs i安全

原文始发于微信公众号（寻云安全团队）：【HVV】攻防演练红队信息收集打点思路