要你多了解一点——SRC信息搜集(上)

admin 2020年9月6日19:30:50评论478 views字数 4252阅读14分10秒阅读模式
要你多了解一点——SRC信息搜集(上)
SRC信息搜集(上)

先说一下渗透测试吧

目的:以保护系统为目的,利用模拟黑客攻击的手法,最终找出安全隐患

要你多了解一点——SRC信息搜集(上)

常见渗透测试流程:

要你多了解一点——SRC信息搜集(上) 

了解搜集思路需要先明白面向SRC的漏洞挖掘与传统渗透测试的区别

传统渗透侧重关注命令执行、XSS、SQL注入等,能进一步推进到getshell层面的漏洞,而面向SRC的漏洞挖掘,不仅关注getshell,还关注业务逻辑方面,对可能造成业务损失(薅羊毛)或者用户信息泄漏的漏洞也进行收集(这些漏洞对getshell而言帮助并不大)。

要你多了解一点——SRC信息搜集(上)
要你多了解一点——SRC信息搜集(上)
要你多了解一点——SRC信息搜集(上)
要你多了解一点——SRC信息搜集(上)
SRC挖掘信息
要你多了解一点——SRC信息搜集(上)
要你多了解一点——SRC信息搜集(上)
要你多了解一点——SRC信息搜集(上)


常见漏洞分类

越权类

常见越权点
查看我的订单 已完成/未完成/已取消
前往支付的页面
下载账单/打印账单
个人中心
提交订单
订单确认
编辑已有地址
添加新地址

枚举类/爆破类

无验证码/验证码过于简单/验证码未刷新

逻辑漏洞

登录类

密码重置
密码找回
任意用户注册
修改手机号/Email

支付类

总价改负数或0.01
单个商品改负数价格导致总价降低

步骤类

各种强行跳过步骤

信息搜集

常规的资产收集

子域名

工具:layer subdomainsbrute等

平台:云悉,shodan,fofa

端口扫描

Nmap

目录扫描

Dirbuster,dirb,御剑

厂商IP段收集

Shodan,bgp.he.net

搜索引擎的妙用

Baidu,bing,google,shodan

企业动态早知道

公众号,app的收集:微信,天眼查,crunchbase


要你多了解一点——SRC信息搜集(上)
资产探测

1.1子域名收集

A、搜索引擎查询

Shodan(网络空间安全搜索引擎)发现系统漏洞

我们可以通过 Shodan 搜索指定的设备,或者搜索特定类型的设备。Shodan能找到的设备有很多,比如:服务器、路由器、交换机、公共ip的打印机、网络摄像头、加油站的泵、voip电话和所有 数据采集监控系统等。其中 Shodan 上最受欢迎的搜索内容是:webcam,linksys,cisco,netgear,SCADA等

指纹设备检索

zoomeye: 它支持公网设备指纹检索和web指纹检索

网站指纹: 包括应用名、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统和数据库等在内的网站信息

设备指纹: 则指包括应用名、版本、开放端口、操作系统、服务名、地理位置等等的服务信息

zoomeye首页:  https://www.zoomeye.org/

互联网设备信息

互联网设备信息搜索引擎,听起来似乎跟Shodan有点类似。事实上也有点不同,Shodan基于无时无刻的全网扫描,而Censys是一个强大的完整的数据库,里面保存着每个暴露在互联网上的设备信息

Censys搜索首页: https://censys.io/ipv4

要你多了解一点——SRC信息搜集(上)
要你多了解一点——SRC信息搜集(上)

要你多了解一点——SRC信息搜集(上)

搜索实例

查找位于合肥的Apache服务器:apache city:"Hefei"

查找位于国内的Nginx服务器:nginx country:"CN"

查找GWS(Google Web Server)服务器:                    Server:gws"hostname:"google"

查找指定网段的华为设备:huawi net:“61.191.146.0/24”

 PS:可编写Python脚本批量查询、获取

要你多了解一点——SRC信息搜集(上)
要你多了解一点——SRC信息搜集(上)


B、在线查询接口

·DNSdumpster网页:https://dnsdumpster.com/

子域名爆破网站:https://phpinfo.me/domain

IP反查域名网站:https://dns.aizhan.com/

工具:在线DNS侦查和搜索

C、子域名检测工具

主要有Layer子域名挖掘机(推荐),K8,wydomain,Sublist3r(推荐),dnsmaper,subDomainsBrute(推荐),Maltego CE

D、DNS查询/枚举

优点:非常直观,通过查询DNS服务器的A记录、CNAME等,可以准确得到相关信息,较全

缺点:有很大的局限性,很多DNS是禁止查询的

参考:https://www.cnblogs.com/xuanhun/p/3489038.html

域传送漏洞

DNS暴力破解:fierce

参考链接:http://blog.csdn.net/jeanphorn/article/details/44987549

Passive DNS

参考链接:http://www.freebuf.com/articles/network/103815.html

E、HTTPS证书

推荐使用以下网站:

crt.sh:http://scrt.sh/

censys:https://censys.io

基于 HTTPS 证书的子域名收集小程序 :GetDomainsBySSL.py

参考链接:http://www.freebuf.com/articles/network/140738.html

F、综合搜索

提莫:https://github.com/bit4woo/teemo

主要有三大模块:搜索引擎 第三方站点 枚举

利用全网IP扫描http端口 在访问IP的80或者8080端口的时候,如遇到配置了301跳转的,可在header里获取域名信息。

全网扫描结果如下:https://scans.io/study/sonar.http

1.2 相关域名收集:

A、旁站及c段收集

同IP网站及C段查询

IP反查域名

工具:御剑、K8

在线查询工具:

http://www.hackmall.cn/

http://www.webscan.cc/ 

https://phpinfo.me/bing.php

将C段收集的相关IP,推测该单位所在的IP段,再针对IP段进行服务器端口扫描

B、端口扫描

通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透目标服务器

收集工具: Nmap、无状态端口扫描工具Masscan、ZMap、御剑高速TCP端口扫描工具

nmap使用详细解析:https://www.yuque.com/vc5m9a/gwrqmg/yz3ewf#mg7RT

常用端口

文件共享服务端口

远程连接服务端口

Web应用服务端口

数据库服务端口

邮件服务端口

网络常见协议端口

特殊服务端口

C、主站提取

通过编写爬虫,从主站页面(一般在主页)获取相关业务系统

跨域策略文件 crossdomain.xml

如:https://www.baidu.com/crossdomain.xml

D、移动端

随着移动端的兴起,很多单位都有自己的移动APP、微信公众号、支付宝生活号等,这也是值得重点关注的点。

E、行业系统

行业可能同存在类似的系统

要你多了解一点——SRC信息搜集(上)
信息收集

主要是针对单个站点的信息收集技巧,主要围绕服务器IP、域名、网站

2.1 服务器IP

A、绕过CDN查找网站真实ip

1、查询历史DNS记录:

查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录,相关查询网站有:

https://dnsdb.io/zh-cn/

https://x.threatbook.cn/

https://x.threatbook.cn/

http://viewdns.info/

2、xcdn

   https://github.com/3xp10it/xcdn

3、Zmap扫描全网

操作方法:http://bobao.360.cn/learning/detail/211.html

Tips:找到真实ip,绑定host,是否可以打开目标网站,就是真实IP,对真实IP进行入侵测试,DDOS流量攻击,CC等等,实现无视CDN防御

B、识别服务器及中间件类型

远程操作系统探测

用 NMAP 探测操作系统

C、端口及服务

Nmap  1-65535端口扫描,探测端口服务

D、查询IP所在位置

IP地址查询:

http://www.hao7188.com

http://www.882667.com

2.2 域名

A、搜索引擎

Google Hacking

B、whois信息/DNS解析

在whois查询中,获取注册人姓名和邮箱、电话信息,可以通过搜索引擎,社交网络,进一步挖掘出更多域名所有人的信息

DNS服务器

http://whois.chinaz.com

https://whois.aliyun.com

域名注册邮箱,可用于社工或是登录处的账号

2.3 站点

A、robots.txt

网站通过Robots协议告诉搜索引擎哪些页面可以抓取,哪些页面不能抓取,可能存在一些敏感路径

B、网站架构

网站语言、数据库,网站框架、组件框架历史漏洞

常用的网站架构如:LAMP/LNMP

PHP框架:ThinkPHP

C、目录结构/后台地址

D、敏感文件信息泄露

备份文件、测试文件、Github泄露、SVN源码泄露

常用的工具

DirBuster

御剑后台扫描

wwwscan

Spinder.py(轻量级快速单文件目录后台扫描)

在线工具WebScan:http://www.webscan.cc/

1. 字典类扫描

2. 爬行类扫描

敏感文件:

1. 网站备份文件  www.rar wwwroot.zip

2. 数据备份文件  database.sql databak.sql等

3. 说明文件   readme.txt 说明.txt

4. 其他文件

E、web 指纹(CMS)

1. 开源CMS

dedecms discuz phpcms wordpress zblog 74cms phpweb aspcms等

2. 识别技术

工具识别  御剑Web 指纹识别、WhatWeb WebRobo 、椰树、轻量WEB指纹识别等可以快速识别一些主流CMS


一些在线网站查询CMS指纹识别

· BugScaner:http://whatweb.bugscaner.com/look/

· 云悉指纹:http://www.yunsee.cn/finger.html

· WhatWeb:https://whatweb.net/

F、安全防护

安全防护,云waf、硬件waf、主机防护软件、软waf

参考链接:

我是如何收集厂商ip段,并进行简单的信息探测的

http://www.91ri.org/15674.html

他山之石 | 渗透测试中的各种子域名枚举技术介绍

http://www.freebuf.com/articles/web/154809.html

子域名搜集思路与技巧梳理

http://www.freebuf.com/articles/web/117006.html

企业人员信息收集

https://www.zhihu.com/question/24195319


敏感端口

要你多了解一点——SRC信息搜集(上) 

要你多了解一点——SRC信息搜集(上)



湖南农业大学蝰蛇安全实验室

文案 | Loo5mity

图文编辑 |jacky楠

审核 | 小贾涛涛

指导老师 | Hard Target



点亮在看,你最好看
要你多了解一点——SRC信息搜集(上)



  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2020年9月6日19:30:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   要你多了解一点——SRC信息搜集(上)http://cn-sec.com/archives/120323.html

发表评论

匿名网友 填写信息