【漏洞浅谈】信息收集（中）

点击关注公众号，知识干货及时送达👇

01

CMS指纹识别

网站的cms对渗透有很大的意义，因为它能够帮助攻击者了解网站的运行环境，从而找到更多的攻击方法。此外，如果知道网站使用的是哪个cms，还可以通过搜索引擎找到相关的已知漏洞。

1、在线CMS指纹识别平台

云悉：https://www.yunsee.cn/
潮汐指纹：http://finger.tidesec.net/
备用cms识别站点:http://whatweb.bugscaner.com/look/

2、whatweb：whatweb是一个web应用程序指纹识别工具。可自动识别CMS、BLOG等Web系统。而且是kali自带的一款工具。

3、通过页面底部版权信息，一般直接拉到底部查看版权信息，有些站点会显示出来，如下，下方明显写了Z-Blog。

4、robots.txt文件

robots.txt是网站用来防止爬虫爬取目录的文件，我们可以通过它来对CMS进行判断。

例：以下这种有很多/plus/目录的一般为织梦dedecms

5、浏览器插件——Wappalyzer

02

端口扫描

端口扫描是指某些别有用心的人发送一组端口扫描消息，试图以此侵入某台计算机，并了解其提供的计算机网络服务类型（这些网络服务均与端口号相关）。端口扫描是计算机解密高手喜欢的一种方式。攻击者可以通过它了解到从哪里可探寻到攻击弱点。实质上，端口扫描包括向每个端口发送消息，一次只发送一个消息。接收到的回应类型表示是否在使用该端口并且可由此探寻弱点。

扫描器是一种自动检测远程或本地主机安全性弱点的程序，通过使用扫描器你可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本！这就能让我们间接的或直观的了解到远程主机所存在的安全问题。

扫描端口可以使用Nmap，masscan进行扫描探测，尽可能多的搜集开启的端口号已经对应的服务版本，得到确切的服务版本后可以搜索有没有对应版本的漏洞。

常见的端口信息及渗透方法：

端口 ———————————— 服务 —————————— 渗透用途

tcp 20,21 FTP 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)

tcp 22 SSH 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等

tcp 23 Telnet 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令

tcp 25 SMTP 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑

tcp/udp 53 DNS 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控

tcp/udp 69 TFTP 尝试下载目标及其的各类重要配置文件

tcp 80-89,443,8440-8450,8080-8089 各种常用的Web服务端口 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……

tcp 110 POP3 可尝试爆破,嗅探

tcp 111,2049 NFS 权限配置不当

tcp 137,139,445 Samba 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……

tcp 143 IMAP 可尝试爆破

udp 161 SNMP 爆破默认团队字符串,搜集目标内网信息

tcp 389 LDAP ldap注入,允许匿名访问,弱口令

tcp 512,513,514 Linux rexec 可爆破,rlogin登陆

tcp 873 Rsync 匿名访问,文件上传

tcp 1194 OpenVPN 想办法钓VPN账号,进内网

tcp 1352 Lotus 弱口令,信息泄漏,爆破

tcp 1433 SQL Server 注入,提权,sa弱口令,爆破

tcp 1521 Oracle tns爆破,注入,弹shell…

tcp 1500 ISPmanager 弱口令

tcp 1723 PPTP 爆破,想办法钓VPN账号,进内网

tcp 2082,2083 cPanel 弱口令

tcp 2181 ZooKeeper 未授权访问

tcp 2601,2604 Zebra 默认密码zerbra

tcp 3128 Squid 弱口令

tcp 3312,3311 kangle 弱口令

tcp 3306 MySQL 注入,提权,爆破

tcp 3389 Windows rdp shift后门[需要03以下的系统],爆破,ms12-020

tcp 3690 SVN svn泄露,未授权访问

tcp 4848 GlassFish 弱口令

tcp 5000 Sybase/DB2 爆破,注入

tcp 5432 PostgreSQL 爆破,注入,弱口令

tcp 5900,5901,5902 VNC 弱口令爆破

tcp 5984 CouchDB 未授权导致的任意指令执行

tcp 6379 Redis 可尝试未授权访问,弱口令爆破

tcp 7001,7002 WebLogic Java反序列化,弱口令

tcp 7778 Kloxo 主机面板登录

tcp 8000 Ajenti 弱口令

tcp 8443 Plesk 弱口令

tcp 8069 Zabbix 远程执行,SQL注入

tcp 8080-8089 Jenkins,JBoss 反序列化,控制台弱口令

tcp 9080-9081,9090 WebSphere Java反序列化/弱口令

tcp 9200,9300 ElasticSearch 远程执行

tcp 11211 Memcached 未授权访问

tcp 27017,27018 MongoDB 爆破,未授权访问

tcp 50070,50030 Hadoop 默认端口未授权访问

03

目录扫描

目录扫描的目的就是为了查看是否存在敏感信息泄露：如网站的备份文件，上传口，PHPmyadmin等。它的原理就是利用不断地发送http请求，然后对返回的状态码进行判断，来寻找存在的网页、目录、文件，为后面的渗透测试作进一步的准备。

1、御剑

御剑下载地址：https://www.fujieace.com/hacker/tools/yujian.html

2、7kbscan

这个工具和御剑差不多

下载地址：https://github.com/7kbstorm/7kbscan-WebPathBrute

3、dirsearch

下载地址：https://gitee.com/Abaomianguan/dirsearch.git

常用指令：

python dirsearch.py -u http://www.baidu.com -x 404 -e * -r -o results.txt

注：这里的参数-e表示指定后缀，例如php的站点，则指定-e的值为php即可，在不知道目标站点是什么后端语言时，直接用*就可以了。

-x 404表示排除状态码为404的页面。-r表示递归扫描，会对发现的每个目录单独轮流进行扫描，时间会比较长。-o表示将扫描结果保存到本地文件中。

04

旁站、C段查询

旁注与C段嗅探的意义，旁注的意思就是从同台服务器上的其他网站入手，提权，然后把服务器端了，就自然把那个网站端了。C段嗅探，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同-C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务。

旁站：是和目标网站在同一台服务器上的其它的网站。

旁注：通过入侵安全性较差的旁站，之后可以通过提权跨目录等手段拿到目标服务器的权限。

工具：K8_C段旁注工具、WebRobot、御剑、明小子 …

C段：每个IP有ABCD四个段，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务。比如192.168.3.0-255的设备都处于同一个c段。

C段入侵：目标ip为192.168.1.128，可以入侵192.168.1.*的任意一台机器，然后利用一些黑客工具嗅探获取在网络上传输的各种信息。

工具：Cain、Sniffit 、Snoop、Tcpdump、Dsniff …

05

黑暗引擎

1、FOFA：https://fofa.info/

官网这样描述：FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。

简单理解就是，一个本土加强版shodan，知道某产品在互联网的部署情况、获取一个根域名所有子域名网站、根据IP确认企业、根据一个子域名网站找到跟他在一个IP的其他网站、全网漏洞扫描、一个新的漏洞全网的影响范围。

查询语法：在查询框下方有查询语法。

例如：查询百度子域名

2、Quake：https://quake.360.net/quake/#/index

Quake网络空间测绘系统是360安全大脑-测绘云的核心系统
持续性探测全球IPv4、IPv6地址，做到实时感知全球网络空间中各类资产并发现其安全风险

查询语法：在右下方有参考语法

例如：查询百度子域名

3、Shodan：https://www.shodan.io/

Shodan是互联网上最强大的一个搜索引擎工具。该工具不是在网上搜索网址， 而是直接搜索服务器。Shodan可以说是一款＂ 黑暗＂ 谷歌，一直不停的在寻找心所有和互联网连接的服务器、摄像头、打印机和路由器等。每个月都会在大约5亿个服务器上日夜不停的搜集信息。

查询语句：

• hostname：搜索指定的主机或域名，例如 hostname:”google”

• port：搜索指定的端口或服务，例如 port:”21”

• country：搜索指定的国家，例如 country:”CN”

• city：搜索指定的城市，例如 city:”Hefei”

• org：搜索指定的组织或公司，例如 org:”google”

• isp：搜索指定的ISP供应商，例如 isp:”China Telecom”

• product：搜索指定的操作系统/软件/平台，例如 product:”Apache httpd”

• version：搜索指定的软件版本，例如 version:”1.6.2”

• geo：搜索指定的地理位置，例如 geo:”31.8639, 117.2808”

• before/after：搜索指定收录时间前后的数据，格式为dd-mm-yy，例如 before:”11-11-15”

• net：搜索指定的IP地址或子网，例如 net:”210.45.240.0/24”

4、ZoomEye：https://www.zoomeye.org/topic?id=ics_project

ZoomEye（钟馗之眼）是一个针对网络空间的搜索引擎

得益于科技的高速发展，现在接入互联网的设备五花八门。除了PC和服务器，还有路由器、物联网家电、平板电脑、手机等，甚至还有监控探头、工业控制中的SCADA系统等比较敏感的设备。这些设备被视作节点，共同组成了我们所处的的网络空间（Cyberspace）。

ZoomEye 正是一个检索网络空间节点的搜索引擎。通过后端的分布式爬虫引擎（无论谁家的搜索引擎都是这样）对全球节点的分析，对每个节点的所拥有的特征进行判别，从而获得设备类型、固件版本、分布地点、开放端口服务等信息。

查询语法：查询语句在搜索框右侧

5、Hunter鹰图平台：https://hunter.qianxin.com/

奇安信网络空间测绘平台（简称HUNTER平台），可对全球暴露在互联网上的服务器和设备进行：资产探测、端口探活、协议解析、应用识别。通过网络空间测绘技术，将地理空间、社会空间、网络空间相互映射，将虚拟的网络空间绘制成一幅动态、实时、有效的网络空间地图，实现互联网资产的可查。可定位，帮助客户解决互联网资产暴露面梳理的难题。

查询语法：查询语法在搜索框下方。

例如：查询百度子域名

06

小结

后续请关注公众号，即将更新......

- End -

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

如果不想错过新的内容推送，可以设为星标哦

原文始发于微信公众号（希石安全团队）：【漏洞浅谈】信息收集（中）