06.信息收集

01常规信息收集
02网络信息收集
03后台查找总结
04CDN绕过总结
05KALI信息收集

 

01常规信息收集

信息收集
网络情况分析
web方向信息收集
服务器方向信息收集
网络设备信息收集

目标对象分析
单个目标服务器(非web)
Web服务器 整个网络拓扑
内网:
网络设备:交换机、路由器、防火墙、ids、等
网络中的服务器:文件服务器、dns、http、域控制器等
外网:
相关联的其他服务器(ip关联、服务关联)
旁站、c段、邮件服务器、dns服务器、代理服务器等


信息收集的目的:
更好更更全面发现网络安全问题,网络信息,为漏洞分析,内网渗透做好铺垫。

问?我们要去收集哪些信息
问?我们要收集谁的信息
答:要根据渗透的目标来进行收集

收集这个ip对外所开放的所有服务,哪些服务会被黑客入侵

多针对web漏洞收集,因为web漏洞多
owasp top10

非其他服务:
1.漏洞利用 smb:08067 17-010 rdp:12-020
2.爆破口令 root 测试弱口令 服务的权限在系统中可能是sys tem权限
3.欺骗 arp欺骗:数据被人嗅探窃取。
4.钓鱼 敏感信息被人窃取
等等很多

服务怎么收集:
扫端口:nmap

拿到了服务器权限,就得以服务器为跳板打入内网


web方向信息收集:
域名信息
敏感目录
旁站C段
整站分析
谷歌hacker
url采集
信息分析


域名信息:
对应ip收集 相关域名对应ip,相关工具:nslookup、一些工具网站
①收集到ip可以查看时哪个机房有没有waf
例如:ping www.fanghan521.com 返回结果1.1.1.1 通过百度ip查询:青岛 阿里云
//阿里云就知道不能用工具扫,不能用sqlmap跑,会封Ip
//通过ip反查,看看出来目标站还有没有其他旁站。

②子域名收集:
侧重于:学校 大学站点 机构 大型公司 大型政府 企业 团体机构
例如:齐鲁理工大学,每一个科目都会有一个站。主站一般安全性比较高,子站一般都是内部人访问。
找到主站域名qlit.edu.cn
子域名挖掘机:qlit.edu.cn //注意子域名挖掘的挂的ie,得把代理去掉。端口可以加3306.3389
很多子域名:根据容器分析漏洞存在情况优先测试
iis apache nginx tomcat jboss //iis 6.0 7.0 8.0 10.0//大多是windows搭建有低版本先搞低版本asp aspx php等低版本会有解析漏洞
apache(win32)//一般都是集成环境phpstudy upupw 宝塔。phpstudy有phpmyadmin,mysql,可能root root就登进去了

大学这种一般会买一个端,子域名的机房会在公网端,那不到主域名可以进行嗅探

subDomainsBrute-master(工具):解压到python2里去
命令:subDomainsBrute.py 目标域名
③whois(注册人)信息查询
根据已知域名反查,分析出此域名的注册人、邮箱、电话等
工具:爱站网、站长工具、微步在线(https://x.threatbook.cn) site.ip138.com、searchdns.netcraft.com
whois:
注册人姓名
注册人邮箱
注册人电话
注册人地址
域名注册时间
等等
对应利用:
1.社工库查询 //邮箱的密码可以用来撞目标站库
2.注册人反查 //注册人其他站如果有注入,可以通过装好密码去撞目标站库
3.邮箱反查
4.社工 // 社工注册域名的运营商,提供电话地址注册时间等


敏感目录:
收集方向
robots.txt 后台目录 安装包 上传目录 mysql管理接口 安装页面 phpinfo、编辑器、iis短文件,分析网站cms
常用工具
字典爆破 >> 御剑、dirbuster、wwwscan、IIS_shortname_Scanner等 蜘蛛爬行 >> 爬行菜刀、webrobot,burp等

robots.txt:fanghan.com/robost.txt记录了不允许百度谷歌蜘蛛爬行的目录//证明该目录很重要
后台目录:御剑无字典扫描,御剑,御剑后台珍藏版,DirBuster,中国菜刀爬行
DirBuster使用:域名,线程,字典,php,安全狗防止---options--advanced--httpopxx---打开Dirbus文件位置---bypass.txt--找到不拦截的百度爬虫的放进去---ok开始

旁站c段
旁站:同服务器其他站点
C段:同一网段其他服务器 收集方向:域名、端口、目录
常用工具: web >> http://www.5kik.com/c/、目录扫描工具 端口 >> portscan

测不到主站,去测旁站或者c段
知道旁站:1ip,
2域名, //ip反查找目录工具python Toos ai-c.py
3不同端口,
4二级目录

ai-c.py工具使用:需要安装bs4 requests模块
,运行后会在d:/t11.csv生成一个文件,打开后保存在记事本里,再次使用。

端口收集:
Scanpout:
其实ip目标地址
结束ip
设置高危的端口
目录:
通过二级目录子目录来看有没有建立网站


整站分析


服务器类型
服务器平台、版本等 //系统,版本
网站容器
搭建网站的服务组件,例如:iis、Apache、nginx、tomcat等
脚本类型
ASP、PHP、JSP、aspx等
数据库类型
access、sqlserver、mysql、oracle、postgresql等
CMS类型 //y
WAF

更好的去发掘漏洞,了解网站的架构。

fanghan.com:
asp的脚本类型,一般windows站居多
通过检查Network访问他的响应包// microsoft-IIS/10 windows2016
ASP小企业一般都是access数据库
cms识别:轻量指纹识别,云溪指纹识别系统
WAF and 1=1 或者扫描扫一下就知道是否拦截了

 

谷歌黑客语法:

1.Intext:? ?? ?
查找网页中含有xx关键字的网站? ?例:Intext:管理员登录
2.Intitle:?? 查找某个标题? ?? ?例:intitle:后台登录
3.Filetype: 查找某个文件类型的文件?例:数据挖掘 filetype:doc
4.Inurl:? 查找url中带有某字段的网站例:inurl:php?id=?
5.Site:? 在某域名中查找信息?
6.intitile:<%eval( ,intitle:<eval($_POST //查看tile是否被植入一句话

思路:
site:qlit.edu.cn inurl:asp?id= //可以找找目标站aso的站点,asp好搞一点
site:jp //日本 测试日本的网站
inurl:fackeditor
inurl:upload //上传

采集相关url的同类网站
例如:
php?id=
漏洞网站
相同某种指纹网站
常用工具 谷歌hacker
url采集器
url采集需要4个东西
requests bs4 selenium chromedriver
打开谷歌查看版本号
百度搜索python selenium chromedriver下载对应驱动
驱动放到python目录下
原理:用selenium去驱动谷歌浏览器,模拟正常用户搜索
1.打开url采集文本模式转到48行:broeser.get('http://www.baidu.com')
2.打开url信息采集 转到51行
query = "需要去百度采集的内容"
3.右键进入windows powershell //如果没有就得打开一级一级进入目录
4.cmd
5.python3 baidu_url采集.py //回车执行
6保存位置在d盘 fi = open('d:/bai_url.txt', 'a')

url采集后批量利用:
工具M7lrvCMS
右键导入
右键扫描

思路,1000个旁站可以用来工具扫漏



服务器方向信息收集:
服务信息收集:
网络服务:web/ftp/telnet/ssh/mail/mysql/mssql/oracle/rdp
服务版本,漏洞等相关信息收集
系统版本信息收集

除了web服务,其他服务靠的是端口

工具Scan port 看看端口开放//出现不在知道的端口就用nmap去识别
nc telnel去链接ip加端口


网络开放端口
路由
防火墙 代理服务器等相关设备的收集
shodan

例如测试目标
web没有漏洞
但通过子网获取到了一个网段
通过shodan来分析ip
可能一些ip用在了摄像头服务器上。 摄像头服务器可能就是默认口令
这些摄像头服务器都可以web管理,拿到get shell进行提权

shodan网络搜索引擎偏向网络设备以及服务器的搜索,具体内容可上网查阅,这里给出它的高级搜索语法。 地址:https://www.shodan.io/
搜索语法 hostname:  搜索指定的主机或域名,例如 hostname:”google”
port:  搜索指定的端口或服务,例如 port:”21”
country:  搜索指定的国家,例如 country:”CN”
city:  搜索指定的城市,例如 city:”Hefei”
org:  搜索指定的组织或公司,例如 org:”google”
isp:  搜索指定的ISP供应商,例如 isp:”China Telecom”
product:  搜索指定的操作系统/软件/平台,例如 product:”Apache httpd”
version:  搜索指定的软件版本,例如 version:”1.6.2”
geo:  搜索指定的地理位置,例如 geo:”31.8639, 117.2808”
before/after:  搜索指定收录时间前后的数据,格式为dd-mm-yy,例如 before:”11-11-15”
net:  搜索指定的IP地址或子网,例如 net:”210.45.240.0/24”

censys搜索引擎
censys搜索引擎功能与shodan类似,以下几个文档信息。
地址:https://www.censys.io/
搜索语法
默认情况下censys支持全文检索。
23.0.0.0/8 or 8.8.8.0/24  可以使用and or not
80.http.get.status_code: 200  指定状态
80.http.get.status_code:[200 TO 300]  200-300之间的状态码
location.country_code: DE  国家
protocols: (“23/telnet” or “21/ftp”)  协议
tags: scada  标签
80.http.get.headers.server:nginx  服务器类型版本
autonomous_system.description: University  系统描述
正则

FoFa搜索引擎
FoFa搜索引擎偏向资产搜索。
地址:https://fofa.so
搜索语法
title=”abc” 从标题中搜索abc。例:标题中有北京的网站。
header=”abc” 从http头中搜索abc。例:jboss服务器。
body=”abc” 从html正文中搜索abc。例:正文包含Hacked by。
domain=”qq.com” 搜索根域名带有qq.com的网站。例: 根域名是qq.com的网站。
host=”.gov.cn” 从url中搜索.gov.cn,注意搜索要用host作为名称。
port=”443” 查找对应443端口的资产。例: 查找对应443端口的资产。
ip=”1.1.1.1” 从ip中搜索包含1.1.1.1的网站,注意搜索要用ip作为名称。
protocol=”https” 搜索制定协议类型(在开启端口扫描的情况下有效)。例: 查询https协议资产。
city=”Beijing” 搜索指定城市的资产。例: 搜索指定城市的资产。
region=”Zhejiang” 搜索指定行政区的资产。例: 搜索指定行政区的资产。
country=”CN” 搜索指定国家(编码)的资产。例: 搜索指定国家(编码)的资产。
cert=”google.com” 搜索证书(https或者imaps等)中带有google.com的资产。
高级搜索:
title=”powered by” && title!=discuz
title!=”powered by” && body=discuz
( body=”content=\”WordPress” || (header=”X-Pingback” && header=”/xmlrpc.php” && body=”/wp-includes/“) ) && host=”gov.cn”

钟馗之眼
钟馗之眼搜索引擎偏向web应用层面的搜索。
地址:https://www.zoomeye.org/
搜索语法
app:nginx  组件名
ver:1.0  版本
os:windows  操作系统
country:”China”  国家
city:”hangzhou”  城市
port:80  端口
hostname:google  主机名
site:thief.one  网站域名
desc:nmask  描述
keywords:nmask’blog  关键词
service:ftp  服务类型
ip:8.8.8.8  ip地址
cidr:8.8.8.8/24  ip地址段

后台查找总结

1 弱口令默认后台:admin,admin/login.asp,manage,login.asp等等常见后台
2 查看网页的链接:一般来说,网站的主页有管理登陆类似的东西,有些可能被管理员删掉
3 查看网站图片的属性
4 查看网站使用的管理系统,从而确定后台
5 用工具查找:wwwscan,intellitamper,御剑
6 robots.txt的帮助:robots.txt文件告诉蜘蛛程序在服务器上什么样的文件可以被查看
7 GoogleHacker
8 查看网站使用的编辑器是否有默认后台
9 短文件利用
10 sqlmap --sql-shell load_file('d:/wwroot/index.php');

目录扫描找后台 考目录字典(字典的大小在于找目录是否准确)
爬行蜘蛛 爬去的是网站的超链接
例如qasdadmin这个后台字典没有,但爬行蜘蛛可能会爬出来,所有后台和自己最好一起去执行他。

一般后台地址
admin
admin.asp
managr
houtai
guanli
admin888


织梦:dede
DZ:admin.php
phpv9:admin.php
admin.php


帝国:e/amin
动易:admin
aspcms:admin_aspcms
客信:admin/login.asp


找不到就去扫,爬


谷歌语法
site:baidu.com inurl:admin


后台子域名:
admin.xxx.com
manage.xxx.com //菠菜大多会在这上面


高危端口:
192.168.8.1:高位端口
ip:8000/8888/9999


运营商搜索法:
复制运营商去百度,搜索出来成千上万的运营商,总有一个页面会显示登录。然后复制该登录页面的地址,使用到目标站

ip反查域名:
目标站点招不到后台,就去旁站找后台,因为大多都是一家运营商建立的。
旁站cms不一样但可能后台路径是一样的


编辑器
ewebeditor/admin_login.asp//登录编辑器一样可以拿到webshell


CDN绕过

什么是CDN
如何判断网站有没有使用CDN(超级ping)
1.查找二级域名
2.让服务器主动给你发包(邮件)
3.敏感文件泄露
4.查询历史解析ip
访问绕过cdn
修改hosts文件

CDN主要用来加速的

百度为了全国方便用户使用会在各地放5个缓存服务器
当解析服务器,实际上就解析的是1.cdn缓存服务器,这样你访问的速度会快一点
但真实与你交互的是百度的真实服务器
攻击一个网站,没有绕过CDN访问真实ip的话,你的攻击是无效的。


站长工具ping测试:
全国各地的ip都显示相同就证明没有做CDN,反正不一样的就证明有


二级域名查找方法:
www.qlit.edu.cn //该主站挂了CDN
bbsqlit.edu.cn //子域名可能就没挂CDN//通过很多子域名去分析

验证方法:
绑定hosts:
c---windows---system32---drivers---hosts
152.265.256.25 bbsqlit.edu.cn
浏览器输入152.265.256.25返回结果如果是目标二级站,那么就是真实ip
原理:服务器ip都得绑定解析域名

2.让服务器主动给你发包(邮件

打开邮箱:显示原文件,找到从哪个Ip发送的,一般就是真实iP


3.查看ip历史解析记录
网址ip138
输入域名
发现更换了ip解析,可能就是使用了cdn,看他以前的ip可能就是真实ip.把之前的域名ip保存和hosts做一个绑定试试。

4.app如果网站由app就抓包,去分析他的接口,就能找到真实Ip


KALI 信息收集工具使用

新建---典型---稍后安装---Linux---Debian 8*64位---名称Kali---KAli111---20G--内存2G
虚拟机设置声卡,打印去掉---CD/DVD---加载ISO镜像KAli-Linux-2019.2-admin64.iso
开启虚拟机---install安装---简体中文---中国---汉语---回车--回车---root密码123123--设置磁盘---推荐新手----改变写入---yes----

 

手机kali-安卓系统安装
需要下载三个软件
Linux deploy/ssh/vnc
设置源ip http://202.141.160.110/kali
连接配置安装软件


kali系统

用KALI会经常更新,会涉及到源:网络服务器软件仓库地址
源的路径地址 /etc/apt/sources.list这里面
vi /etc/apt/sources.list //配置完源
注意:w3af要地址包

1.apt-get update //更新源,升级一下
2.apt-get install 软件名称 例如 apt-get install sqlmap //安装sqlmap
3.apt-get remove 软件名称 例如 apt-get remove sqlmap //卸载sqlmap
4.sqlmap回车

deb的包
dpkg -i xxxx.deb

deb如果有依赖关系怎么办?
1.先执行apt-get --fix-broken install
2.dpkg -i xxxx.deb


Kali---信息收集
Robots文件探测
DNS信息收集
敏感目录探测
端口探测
整站识别
Waf探测
工具型站的使用
Google语法

Robots文件
获取网站隐藏敏感目录活文件
比如:安装目录,上传目录,编辑器目录,管理目录,管理页面等


DNS搜集
搜集网站域名信息,如子域名,其他域名,解析服务器,区域传送漏洞等
常用工具:dnsenum、dig、fierce
Whois信息搜集
Whois qufutuan.com


dnsenum 可以通过字典或者谷歌猜测可能存在的域名,并对一个网段进行反查。
dnsenum --enum cracer.com 获取其他域名
-r 允许用户设置递归查询
-w允许用户设置whois请求。
-o 允许用户指定输入文件位置

dnsenum重点
他会查到域名对应解析的ip
对域名做的dns服务器
会测有没有右键服务器
通过测得dns服务器有没有区域文件传输漏洞AXFR
AXFR区域文件传输:
卡里模拟目标地址站的DNS服务器,向主域名去申请下载里的配置文件,下载成功,那么目标域名站里的配置文件就会被下载到本地。导致敏感文件,敏感服务器泄露

 


fierce 工具主要是对子域名进行扫描和收集信息的。使用fierce工具获取一个目标主机上所有ip地址和主机信息。还可以测试区域传送漏洞。
fierce -dns baidu.com 获取其他域名
--wordlist 指定字典
fierce -dns ns9.baidu.com --wordlist host.txt /tmp/12.txt

//该工具可以测dns信息以及他的子域名

内容:
测出做解析的服务器数量
在对做区域文件传送测试
对工具自带的字典进行子域名爆破。

dig工具也是一款比较流行的dns侦查工具
dig www.cracer.com 查询dns
dig -t ns cracer.com 找解析域名的授权dns
dig axfr @ns1.dns.net cracer.com //查找指定的dns服务器有没有区域文件传输漏洞

 

敏感目录探测

暴力破解
暴力破解的方法就是需要一个强大的目录名称字典,用来尝试逐个匹配,
如果存在通过响应吗的回显来确定目录或者页面是否存在
目录爬行
目录爬行原理是通过一些自带网络蜘蛛爬行的工具对网站链接进行快速爬行


目录暴力破解工具
dirb 工具是一款非常好用的目录暴力猜解工具,自带强大字典
dirb http://www.cracer.com
dirb https://www.cracer.com
dirb http://www.cracer.com /usr/wordlist.txt
dirb http://www.cracer.com/a/ //扫描指定目录
dirb http://www.cracer.com -X 123.html // 把结果保存指定文件
dirb http://www.cracer.com /usr/share/dirb/wordlists/xxxx.txt //指定用字典路径
dirb http://www.cracer.com -a "百度爬虫地址" -c "cookie信息" -H "请求头"
//dirb好处就是扫描字典用的递归目录去扫

 

目录暴力破解工具
dirbuster工具是一款非常好用的目录暴力猜解工具,自带强大字典


目录爬行:
burpsuite

端口探测
nmap

整站识别
whatweb
用来识别网站cms 及大家平台环境的工具
whatweb -v http://www.cracer.com
平台、脚本、cms、容器、数据库等信息探测
//识别出整个网站的头部信息
//分析出:
系统版本
容器版本
脚本类型
数据库

探测waf的工具
wafw00f http://www.qufu123.com
// 国外准一点,国内还好,直接and 1=1


工具型网站
netcraft
searchdns.netcraft.com
站长工具
http://tool.chinaz.com/
爱站
http://www.aizhan.com/
shodan.io
Google hacker

 

综合扫描工具
DMitry(Deepmagic Information Gathering Tool)是一个一体化的信息收集工具。 是一个收集框架
它可以用来收集以下信息:
1. 端口扫描
2. whois主机IP和域名信息
3. 从Netcraft.com获取主机信息
4. 子域名
5. 域名中包含的邮件地址
尽管这些信息可以在Kali中通过多种工具获取,但是使用DMitry可以将收集的信息保存在一个文件中,方便查看。
dmitry -wnpb cracer.com
dmitry -winse cracer.com 扫描网站注册信息
dmitry -p cracer.com -f -b 查看主机开放端口


Recon-ng
与MSF的使用方法非常类似,插播一下msf使用基础流程,
第一步:search name模块
第二步:use name模块
第三步:info 查看模块信息
第四步:show payloads 查看该模块可以使用的攻击载荷(为scanner的时候不需要)
第五步:set payload 载荷
第六步:show targets查看该攻击载荷使用的系统类型(为scanner的时候不需要)
第七步:set targets num 设置目标的系统类型
启动命令
Recon-ng
模块分类:
Recon modules//信息收集模块
Reporting modules//报告模块
Import modules //导入模块
EXPloitation modules//漏洞利用模块
Discovery modules//发现模块

posted @ 2020-09-05 14:58  那个人叫方寒  阅读(1192)  评论(0编辑  收藏  举报