莫西莫西-信息收集
0X00-引言
攻防比赛中的信息收集,以寻找真实IP为先,再根据真实IP展开一系列的操作,思路很重要。
拿到目标之后,进入网站看看,目标网站里面会存在一些有用的信息。从上看到下,每一模块的链接都要注意,尤其是有IP地址的链接,基本上都是某个网站的真实IP,其中也有一些是网站的内网IP链接,这样就可以发现内网地址段,为之后操作准备,还有一些是某个系统的入口。
找出目标的真实IP(ZF的难找,一般方法找不到,其他方法不会),查找IP对应的有用资产(系统)。
之后再根据这些有用资产开搞或再进一步信息收集。
0X01-收集域名信息
whois查询:
Whois是一个标准的互联网协议,可用于收集网络注册信息、注册的域名、IP地址等信息。简单来说,Whois是一个用于查询域名是否已被注册以及注册域名的详细信息的数据库。而在kali中,Whois已经默认安装,只需要输入要查询的域名即可。
格式为:whois 域名
在线whois查询:爱站工具网(http://whois.aizhan.com)、站长之家(http://whois.chinaz.com)、VirusTotal(http://www.virustotal.com)
备案信息查询:
ICP备案查询网:http://www.beianbeian.com
本人常用爱企查,可以查看股权穿透(找到对应资产),网站备案(直接找到目标)。
0X02-收集子域名
Layer子域名挖掘机:字典爆破,可以添加字典。GitHub上面搜索即可下载。
OneForall:收集子域名,一个OneForall就可以了。导出CSV表格,收集信息极其详细,里里外外,干干净净。GitHub上面搜索即可下载。
在线子域名收集:https://phpinfo.me/domain/ 好用至极
0X03-查找敏感信息
邮箱,源码,文档,账号,密码
谷歌语法:
site:找到与指定网站有关的url,可以找到一些子域名,例,site: baidu.com
inurl:搜索包含有特定字符的url,可以找到一些后台信息,例,inurl: admin.php/index.jsp
intext:搜索的网页正文中包含指定的字符,类似在搜索框中搜索,例,intext:我是帅哥
intitle:网页标题中包含指定字符,例,intitle:后台/管理/系统/登录
filetype:搜索指定类型的文件,例,filetype: pdf/xls/csv
组合:组合语法精准有效,在下常用
查找后台地址:
site:域名 inurl:login|admin|manage|member|
admin_login|login_admin|system|login|user|main|cms
查找文本内容:
site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|admin|login|sys|managetem|password|username
查找可注入点:
site:域名 inurl:aspx|jsp|php|asp
查找可上传漏洞:
site:域名 inurl:file|load|editor|Files
找eweb编辑器:
site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的数据库:
site:域名 filetype:mdb|asp|#
查看脚本类型:
site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵:
inurl:cms/data/templates/images/index/
0X04-指纹识别
CMS(整站系统或文章系统):
内容管理系统(content management system,CMS)是一种位于WEB 前端(Web 服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里指的“内容”可能包括文件、表格、图片、数据库中的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet网站的信息。
常见的有Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。
工具:
Wapplayzer(好用)、御剑Web指纹识别、WhatWeb、WebRobo、椰树、轻量WEB指纹识别
在线的有:
BugScaner:http://whatweb.bugscaner.com/look/
云悉指纹:http://www.yunsee.cn/finger.html
WhatWeb:https://whatweb.net/
0X05-查找真实IP
判断是否存在CDN:
命令行ping或nslookup检测是否存在CDN。
多路ping检测CDN(站长工具)。
绕过CDN查找真实IP:
子域名查找真实IP: CDN不便宜,一般子域名不会挂有CDN
DNS历史记录查找IP: SecurityTrails平台查询
国外主机访问获取真实IP: CDN一般做国内的线路,国外的不存在
网站备案信息注明IP: whois信息中存在IP,或许为真实IP
网站证书查找真实IP: fofa语法可以查找
http标头查找真实IP:在下不会
网站邮件和漏洞查找真实IP:邮件中会带有发送方的IP且为真实IP。根据网站漏洞查找,敏感信息泄露真实IP。
F5 LTM解码法:
当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取。
例如: Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。
FOFA语法查找真实IP: fofa主页存在查找语法提示,记一些常用的,组合语法注意逻辑合理性(括号的用法是关键)
| title="beijing" | 从标题中搜索“北京” |
|---|---|
| header="jboss" | 从http头中搜索“jboss” |
| body="Hacked by" | 从html正文中搜索abc |
| domain="qq.com" | 搜索根域名带有qq.com的网站 |
| ip="1.1.1.1" | 搜索IP为1.1.1.1的网站 |
| ip="220.181.111.1/24" | 查询IP为“220.181.111.1”的C网段资产 |
| ip_city="Hangzhou" | 搜索指定城市的ip资产(以ip为单位的资产数据) |
| host=".gov.cn" | 从url中搜索”.gov.cn” |
| port="443" | 查找对应“443”端口的资产 |
| city="Hangzhou" | 搜索指定城市的资产 |
| os=windows | 搜索Windows资产 |
| server=="Microsoft-IIS/7.5" | 搜索IIS 7.5服务器 |
| app="HIKVISION-视频监控" | 搜索海康威视设备 |
| after="2017" && before="2017-10-01" | 时间范围段搜索 |
| (),&&,||,!=,== | 逻辑运算符与表达式连用 |
0X06-真实IP收集端口信息
nmap扫描:诸神之眼,黑客都在用的利器,还在等什么,赶紧GitHub搜索下载
常用且会用命令:
端口扫描:nmap -p1-65535 192.168.1.1
主机发现:nmap -sP 192.168.1.1/24 扫描这个段的全部存活主机
强力监测:nmap -A 192.168.1.1 nmap会收集服务版本识别(-sV)操作系统识别(-O)脚本扫描(-sC)Traceroute(–traceroute)或者nmap -sC -sV -O IP 来探测目标机器的操作系统、服务等信息。
FSCAN扫描:倾力推荐,扫描内网之利器,可扫B段,可爆破,其功用之强大,一句两句说不清楚,赶紧GitHub搜索下载,详情请见压缩包内的readme文件。
fscan.exe -h 192.168.1.1/24
常见端口服务渗透:来自狼组安全团队公开知识库
| 端口号 | 端口说明 | 渗透思路 |
|---|---|---|
| 21/69 | FTP/TFTP:文件传输协议 | 爆破、匿名访问 |
| 22 | SSH:远程连接 | 用户名枚举、爆破 |
| 23 | Telnet:远程连接 | 爆破 |
| 53 | DNS:域名系统 | DNS域传送\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙 |
| 389 | LDAP | 未授权访问(通过LdapBrowser工具直接连入) |
| 445 | SMB服务 | 爆破、ms17_010远程代码执行 |
| 873 | rsync服务 | 未授权访问 |
| 1090/1099 | Java-rmi | JAVA反序列化远程命令执行漏洞 |
| 1433 | MSSQL | SQL注入、SA弱口令爆破 |
| 1521 | Oracle | SQL注入、TNS爆破 |
| 2049 | NFS | 配置不当 |
| 2181 | ZooKeeper服务 | 未授权访问 |
| 3306 | MySQL | 注入、爆破、Web目录写shell |
| 3389 | RDP | 爆破、CVE-2019-0708远程代码执行 |
| 4848 | GlassFish控制台 | 爆破:控制台弱口令、认证绕过 |
| 5900 | VNC | 爆破弱口令、认证绕过 |
| 6379 | Redis | 未授权访问、爆破弱口令 |
| 7001 | WebLogic中间件 | 反序列化、控制台弱口令+部署war包 |
| 9043 | WebSphere控制台 | 控制台弱口令https://:9043/ibm/console/logon.jsp、远程代码执行 |
| 9200/9300 | Elasticsearch服务 | 远程代码执行 |
| 11211 | Memcache | 未授权访问(nc -vv 目标 IP 11211) |
| 27017 | MongoDB | 未授权访问、爆破弱口令 |
| 50000 | SAP | 远程代码执行 |
| 50070 | hadoop | 未授权访问 |
Web端口:
80,81,82,443,5000,7001,7010,7100,7547,7777,7801,8000,8001,8002,8003,8005,8009,8010,8011,8060,8069,8070,8080,8081,8082,8083,8085,8086,8087,8088,8089,8090,8091,8161,8443,8880,8888,8970,8989,9000,9001,9002,9043,9090,9200,9300,9443,9898,9900,9998,10002,50000,50070
服务器:
21,22,445,3389,5900
数据库:
1433,1521,3306,6379,11211,27017
0X07-根据真实IP查找所属系统
fofa语法搜索IP地址,链接点开
扫描端口信息,对应端口,浏览器打开
0X08-系统敏感目录收集
御剑后台扫描珍藏版:可以自己添加字典,只要字典足够大,就没有扫不出来的目录,GitHub搜索下载
WebScan:http://www.webscan.cc/
XRAY扫描:太强大了,敏感目录扫描只是其一小部分,长亭科技出品,背靠阿里,懂都懂,GitHub搜索下载
0X09-内网信息收集
找出内网地址段,FSCAN开扫
后续再补充
借鉴:
https://www.jianshu.com/p/6967cc920fb9
https://www.cnblogs.com/observering/p/13661972.html
https://www.cnblogs.com/-an-/p/12190730.html
