红队渗透基础——信息收集

信息收集-web⽹站资产

域名后缀注册信息

通过⼀些域名注册⽹站来查询⽬标域名的后缀注册情况，看看是否有⼀些其他相关的域名⽹站，如 果没有则证明⽬标⽹站可能存在较多的前缀域名⼦⽹站，也为我们进⾏⼦域名的收集，提供了更加精准的收集。

微步社区查询

通过微步社区的威胁情报查询来获取⽬标域名，来获取相关资产，如DNS解析记录，⼦域名，获取到服 务器的真实IP，但是获取到的IP可能⾮真实IP，可能是cdn加速服务。

CDN加速服务

我们在信息收集到的IP资产可能⾮真实服务器IP，可能只是⼀台加速服务器，那样就算打进 去了加速服务器也不会对⽬标⽹站有任何影响，所以就需要通过各种⽅式来获取到⽬标的真实 IP。

CMD命令⾏判断cdn通过cmd命令⾏，输⼊nslookup ⽬标域名 ；在提示的⾮权威信息中，如果没有显 示多个IP，那么⼤概率没有开启cdn加速。

nslookup： 在 cmd 命令⾏中，nslookup 是⼀个⽤于查询 DNS（DomainNameSystem，域名系统）信息的⼯具

⼦域名

通过收集到的⼦域名，⼦⽹站，来拓展我们的攻击⾯，因为主站的防护主观来说是最强

的，所以我们要通过⼀些⼦⽹站来进⾏攻击，因为⼦⽹站相对较弱。

（1）使用 微步社区 查询目标域名，找到子域名

（2）也可以进行IP反查(站长之家)，得到子域名，进而增加攻击面

（3）使用各大威胁情报平台的搜索引擎，尽可能收集有用的攻击面，进行信息收集查漏补

缺。

（4）与目标站点进行比对，将信息进行筛选，确认信息对我们渗透测试流程有用

（5）然后在子域名平台查看子域名中的友链，将进攻面扩充到最大

 查找关键信息

（1）通过查询网站初步收集敏感信息，并且要进行比对信息，确保信息正确（名称，邮箱，手机号，地址，备案号，法人等）

相关网站：ICP/IP地址/域名信息备案管理系统 (miit.gov.cn)，[国家企业信用信息公示系统] (国家企业信用信息公示系统 (gsxt.gov.cn))，[天眼查](天眼查-商业查询平台_企业信息查询_公 司查询_工商查询_企业信用信息系统 (tianyancha.com))，企查查，爱站网等

5. 搜索引擎语法查询

Google，Bing，baidu

语法

含义

site

可以限制你搜索范围的域名

inurl

用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用

intext

只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字)

intitle

查包含关键词的页面，一般用于社工别人的webshell密码

filetype

搜索文件的后缀或者扩展名

link

可以得到一个所有包含了某个指定URL的页面列表

allintitle

搜索所有关键字构成标题的网页. 但是推荐不要使用

示例：

intext:管理

filetype:mdb

inurl:file

site:http://xx.com filetype:txt 查找TXT文件 其他的依次内推

site:http://xx.com intext:管理

site:http://xx.com inurl:login

site:http://xx.com intitle:后台

端⼝信息收集

利⽤空间引擎或者通过⼯具nmap来收集端⼝信息，收集到端⼝信息，我们可以获得⽬标开启的服

务，尝试针对端⼝服务的攻击。

服务常⽤端⼝：

服务器常⽤端⼝服务

21端⼝：FTP ⽂件传输服务

22端⼝：SSH协议、SCP（⽂件传输）、端⼝号重定向

23/tcp端⼝：TELNET 终端仿真服务

25端⼝：SMTP 简单邮件传输服务

53端⼝：DNS 域名解析服务

69/udp：TFTP

80/8080/3128/8081/9098端⼝：HTTP协议代理服务器

5110/tcp端⼝：POP3（E-mail）

119端⼝：Network

123端⼝：NTP（⽹络时间协议）

135、137、138、139端⼝： 局域⽹相关默认端⼝，应关闭

161端⼝：SNMP（简单⽹络管理协议）

389端⼝：LDAP（轻量级⽬录访问协议）、ILS（定位服务）

443/tcp 443/udp：HTTPS服务器

465端⼝：SMTP（简单邮件传输协议）

873端⼝：rsync

1080端⼝：SOCKS代理协议服务器常⽤端⼝号、QQ

1158端⼝：ORACLE EMCTL

1433/tcp/udp端⼝：MS SQL*SERVER数据库server、MS SQL*SERVER数据库monitor

1521端⼝：Oracle 数据库

2100端⼝：Oracle XDB FTP服务

3389端⼝：WIN2003远程登录

3306端⼝：MYSQL数据库端⼝

5432端⼝：postgresql数据库端⼝

5601端⼝：kibana

6379端⼝：Redis数据库端⼝

8080端⼝：TCP服务端默认端⼝、JBOSS、TOMCAT、Oracle XDB（XML 数据库）

8081端⼝：Symantec AV/Filter for MSE

8888端⼝：Nginx服务器的端⼝

9000端⼝：php-fpm

9080端⼝：Webshpere应⽤程序

9090端⼝：webshpere管理⼯具

9200端⼝：Elasticsearch服务器端⼝

10050端⼝：zabbix_server 10050

10051端⼝：zabbix_agent

611211端⼝：memcache（⾼速缓存系统）

27017端⼝：mongoDB数据库默认端⼝

22122端⼝：fastdfs服务器默认端⼝

通过字典枚举爆破信息收集

通过字典，如⽬录字典，⼦域名字典，参数字典，来进⾏⽬标的⽹站模糊测试，尝试快速的爆破资

产信息。

指纹识别

查询⽹站的架构，查看是否为开源的cms，与插件获取的信息差不多，⽤于信息获取的互补。

WAF

⽤nmap⼯具检测，或者直接⽤敏感的语句，如sql注⼊语句，xss语句等来检测是否开启waf。

后台查找

常⽤后台字段，通过模糊测试或者⼯具来爆破后台地址。

铸剑⼯具的使⽤

1.填⼊⽬标域名或IP

2.选定⽹站的后端语⾔和需要显示的状态码

3.开始测试 软件会显示已经选定好要回显的⽬录

总结：信息收集至关重要，可以扩宽渗透测试的攻击面，提高渗透成功的机会。

以上内容仅供参考学习，尊师珑羽