信息收集
查询备案的网站有:
查询网: https://site.ip138.com/
公安部备案查询: http://www.beian.gov.cn/portal/recordQuery
ICP 备案查询网: http://www.beianbeian.com/
工信部备案查询: http://beian.miit.gov.cn/publish/query/indexFirst.action
天眼查: https://www.tianyancha.com/
站长工具: https://icp.chinaz.com/
爱查 ICP: https://m.aichaicp.com/
查 ICP: https://www.chaicp.com/
企查查: https://www.qcc.com/
备案历史: https://icplishi.com/
国家企业信用信息公示系统: http://www.gsxt.gov.cn/index.html
子域名收集
常用的工具有:子域名挖掘机Layer、subDomainsBrute、Dnsenum、Dnsmap …
在线收集子域名的网站:https://phpinfo.me/domain/
子域名检测工具
Layer 子域名挖掘机:https://github.com/euphrat1ca/LayerDomainFinder
Sublist3r:https://github.com/aboul3la/Sublist3r
subDomainsBrute:https://github.com/lijiejie/subDomainsBrute
wydomain:https://github.com/ring04h/wydomain
判断CDN
现在大多数的网站都开启了CDN加速,导致我们获取到的IP地址不一定是真实的IP地址
nslookup :找国外的比较偏僻的DNS解析服务器进行DNS查询,因为大部分CDN提供商只针对国内市场,而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP。
二级域名法:目标站点一般不会把所有的二级域名放cdn上。通过在线工具如站长帮手,收集子域名,确定了没使用CDN的二级域名后。本地将目标域名绑定到同IP(修改host文件),如果能访问就说明目标站与此二级域名在同一个服务器上;如果两者不在同一服务器也可能在同C段,扫描C段所有开80端口的IP,然后挨个尝试。
全国ping:直接ping example.com(例如baidu.com)
Ping 网站有:
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
绕过CDN查找真实 ip
同国家IP地址访问查询:
子域名查询:
某些企业业务线众多,有些站点的主站使用了CDN,或者部分域名使用了CDN,某些子域名可能未使用。查询子域名的方法就很多了:subDomainsBrute、Sublist3r、Google hack等。
可查询网站:https://dnsdb.io/zh-cn/
邮箱查询:
很多站点都有发送邮件sendmail的功能,如Rss邮件订阅等。而且一般的邮件系统很多都是在内部,没有经过CDN的解析。可在邮件源码里面就会包含服务器的真实 IP。
敏感文件(探针或者phpinfo.php):
扫描全网:
通过Zmap、masscan等工具对整个互联网发起扫描,针对扫描结果进行关键字查找,获取网站真实IP。
DNS历史记录(微步https://x.threatbook.cn/):
查询IP与域名绑定历史记录,可能会发现使用CDN之前的目标ip。
网络空间引擎搜索:
常见的有钟馗之眼,shodan,fofa 搜索。以 fofa 为例,只需输入:domain=“域名”或title:“网站的 title 关键字”就可以找出 fofa 收录的有这些关键字的 ip 域名,很多时候能获取网站的真实 ip
钟馗之眼 zoomeye: https://www.zoomeye.org/
FOFA: https://fofa.so/
Shodan: https://www.shodan.io/
扫描网站测试文件的探针 :
目标敏感文件泄露,扫描查找如 phpinfo()之类的探针、test()、robot.txt 之类的文件、GitHub
信息泄露等从而获得目标的真实 IP。
社工
插件wappalyzer
用到的东西:
https://www.reg007.com/ 注册过哪些网站
https://www.email-format.com/i/search/ 在线邮箱查询
Maltego 信息收集
各种招聘网
https://github.com/shack2/SNETCracker/releases 超级弱口令工具
https://anonymousemail.me/ 匿名邮箱
JS信息收集
JS作为我们信息收集里面重要的一个环节很多人忽略,JS里面可能蕴藏了很大敏感信息,组成字典fuzz效果更好
用到的脚本:
https://github.com/Threezh1/JSFinder
WAF识别
WAF与网络防火墙的区别
网络防火墙作为访问控制设备,主要工作在OSI模型三、四层,基于IP报文进行检测。只是对端口做限制,对TCP协议做封堵。其产品设计无需理解HTTP会话,也就决定了无法理解Web应用程序语言如HTML、SQL语言。因此,它不可能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
waf的种类
- 硬件设备类(绿盟、启明、安恒、知道创宇、天融信等)
- 软件产品类(安全狗、云锁、D盾等)
- 基于云的WAF(阿里云、安恒、知道创宇)
用到的脚本:
https://github.com/EnableSecurity/wafw00f
WAF 探测
手工探测
更改请求方式,造成误报
提交恶意数据,查看是否拦截
数据包响应包 X-Powered-By 字段
工具探测
WAFW00F,Kali 内置
Nmap 脚本探测,两种探测脚本
http-waf-detect
nmap -p80,443 --script=http-waf-detect [ip]
http-waf-fingerprint
nmap -p80,443 --script=http-waf-fingerprint [ip]
常见端口
文件共享服务端口
| 端口号 | 端口说明 | 攻击方向 |
|---|---|---|
| 21/22/69 | Ftp/Tftp | 允许匿名的上传、下载、爆破和嗅探操作 |
| 2049 | Nfs服务 | 配置不当 |
| 139 | Samba服务 | 爆破、未授权访问、远程代码执行 |
| 389 | Ldap目录访问协议 | 注入、允许匿名访问、弱口令 |
远程连接服务端口
| 端口号 | 端口说明 | 攻击方向 |
|---|---|---|
| 22 | SSH远程连接 | 爆破、SSH隧道以及内网代理转发、文件传输 |
| 23 | Telnet远程连接 | 爆破、嗅探、弱口令 |
| 3389 | Rdp远程桌面连接 | shift后门(winserver 2003以下)、爆破 |
| 5900 | VNC | 弱口令爆破 |
| 5632 | PyAnywhere服务 | 抓密码、代码执行 |
web应用服务端口
| 端口号 | 端口说明 | 攻击方向 |
|---|---|---|
| 80/443/8080 | 常见的web服务端口 | web攻击、爆破、对应服务器版本漏洞 |
| 7001/7002 | weblogic控制台 | Java反序列化、弱口令 |
| 8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 |
| 9090 | WebSphere控制台 | Java反序列化、弱口令 |
| 4848 | GlassFish控制台 | 弱口令 |
| 1352 | Lotus domino邮件服务 | 弱口令、信息泄露、爆破 |
| 10000 | Webmin-web控制面板 | 弱口令 |
数据库服务端口
| 端口号 | 端口说明 | 攻击方向 |
|---|---|---|
| 3306 | MySQL | 注入、提取、爆破 |
| 1433 | MSSQL数据库 | 注入、提权、SA弱口令、爆破 |
| 1521 | Oracle数据库 | TNS爆破、注入、反弹Shell |
| 5432 | PostgreSQL数据库 | 爆破、注入、弱口令 |
| 27017/27018 | MongoDB | 爆破、未授权访问 |
| 6379 | Redis数据库 | 可尝试未授权访问、弱口令爆破 |
| 5000 | SYSBase/DB2数据库 | 爆破、注入 |
邮件服务端口
| 端口号 | 端口说明 | 攻击方向 |
|---|---|---|
| 25 | SMTP邮件服务 | 邮件伪造 |
| 110 | POP3协议 | 爆破、嗅探 |
| 143 | IMAP协议 | 爆破 |
特殊服务端口
| 端口号 | 端口说明 | 攻击方向 |
|---|---|---|
| 2181 | Zookeeper服务 | 未授权访问 |
| 8069 | Zabbix服务 | 远程执行、SQL注入 |
| 9200/9300 | Elasticsearch 服务 | 远程执行 |
| 11211 | Memcache服务 | 未授权访问 |
| 521/513/514 | Linux Rexec 服务 | 爆破、Rlogin登录 |
| 873 | Rsync服务 | 匿名访问、文件上传 |
| 3690 | Svn服务 | Svn泄露、未授权访问 |
| 50000 | SAP Management Console | 远程执行 |
NAMP扫描
-ST TCP connect()扫描,这种方式会在目标主机的日志中记录大批连接请求和错误信息。
-sS 半开扫描,很少有系统能把它记入系统日志。不过,需要Root权限。秘密FIN数据包扫描、Xmas Tree、Null扫描模式
-SF-sN 秘密FIN数据包扫描、Xmas Tree、Null扫描模式
-SP ping扫描,Nmap在扫描端口时,默认都会使用ping扫描,只有主机存活,Nmap才会继续扫描
-sU UDP扫描,但uDP扫描是不可靠的
-sA 这项高级的扫描方法通常用来穿过防火墙的规则集
-sV 探测端口服务版本
-Pn 扫描之前不需要用ping命令,有些防火墙禁止ping命令。可以使用此选项进行扫描
-v 显示扫描过程,推荐使用
-h 帮助选项,是最清楚的帮助文档
-p 指定端口,如1-65535、1433、135、22、8o”等
-o 启用远程操作系统检测,存在误报
-A 全面系统检测、启用脚本检测、扫描等
-ON/-ox/-oG 将报告写入文件,分别是正常、XML、grepable 三种格式
-T4 针对TCP端口禁止动态扫描延迟超过10ms
-iL 读取主机列表,例如“-iL C:\ip.txt”
nmap -iflist :查看本地主机的接口信息和路由信息-A:选项用于使用进攻性方式扫描
-T4:指定扫描过程使用的时序,总有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDs检测并屏蔽掉,在网络通讯-ox test.xml:将扫描结果生成test.xml文件,如果中断,则结果打不开
-oA test.xml:将扫描结果生成test.xml 文件,中断后,结果也可保存-oG test.txt:将扫描结果生成test.txt文件
-sn :只进行主机发现,不进行端口扫描
-o:指定Nmap进行系统版本扫描
-sv:指定让Nmap进行服务版本扫描-p
-sS/sT/sA/sM/SM:指定使用TCP SYN/Connect()/ACK/Window/Naimon scans的方式来对目标主机进行扫描-sU:指定使用uDP扫描方式确定目标主机的UDP端口状况
-script
标签:www,爆破,收集,扫描,端口,信息,https,com From: https://www.cnblogs.com/xibro-baiyu/p/17492769.html