阿里巴巴与慧聪网网站建设对比,百度推广seo自学,爱站长尾词,wordpress ajax -1信息收集#xff1a;前言#xff1a;信息收集是渗透测试除了授权之外的第一步#xff0c;也是关键的一步#xff0c;尽量多的收集目标的信息会给后续的渗透事半功倍。收集信息的思路有很多#xff0c;例如#xff1a;页面信息收集、域名信息收集、敏感信息收集、子域名收…信息收集前言信息收集是渗透测试除了授权之外的第一步也是关键的一步尽量多的收集目标的信息会给后续的渗透事半功倍。收集信息的思路有很多例如页面信息收集、域名信息收集、敏感信息收集、子域名收集、端口探测、CMS指纹识别、查找真实IP、敏感目录/文件收集、操作系统识别、社会工程学等。1)页面信息收集当拿到一个站点时从网址的URL观察可以发现一些暴露的信息比如网址使用的什么语言例如xxx.php等然后观察网址底部是否存在一些技术支持信息例如使用脚本语言系统框架技术支持关于公司联系方式、邮箱、地址、备案号、营业执照、后台登录接口、友情链接等信息。2)域名信息收集首先拿到一个目标站点的域名后要去查看该域名的注册信息即该域名的DNS服务器信息和注册人的个人信息等。方法有如下Whois查询①通过在线网址站长之家 查询得到注册人的姓名和邮箱信息对测试个人站点非常有用因为我们可以通过搜索引擎和社交网络挖掘出域名所有人的很多信息。对中小站点而言域名所有人很可能就是管理员。②通过阿里云域名查询③通过kali自带的whois输入命令为whois baidu.com备案信息查询网站备案是根据国家法律法规规定需要网站的所有者向国家有关部门申请的备案这是国家信息产业部对网站的一种管理为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站如果网站搭建在其他国家则不需要进行备案。查询网站ICP备案查询、天眼查3)敏感信息收集对于某些安全做的好的目标来说直接通过技术层面很难完成渗透在此情况下可以利用搜索引擎对目标暴露在互联网上的关联信息进行收集。例如数据库文件、SQL注入、服务器配置信息、通过github找寻站点泄露源码、Redis未授权访问、Robots.txt等敏感信息。①谷歌语法利用Google Hacking的语法精准的搜索某些网址的主机漏洞构造特殊关键字来搜索互联网上的相关敏感信息。site找到与指定网站有联系的URL。例如输入Site:family.chinaok.com返回所有和这个网站有关的URL。intitle返回所有网页标题中包含关键词的网页。例如输入intitle:cbi这样网页标题中带有 cbi 的网页都会被搜索出来。inurl搜索包含有特定字符的URL。例如输入inurl:cbi则可以找到带有 cbi 字符的URL。intext搜索网页正文内容中的指定字符。例如输入intext:cbi将返回所有在网页正文部分包含 cbi 的网页。link例如link:thief.one返回所有和 thief.one 做了链接的URL。filetype搜索指定类型的文件。例如输入filetype:cbi将返回所有以 cbi 结尾的文件URL。.单一的通配符。*通配符可代表多个字母。例子想要获取政府后台可以构建关键字 sitegov.cn intext:后台管理例子寻找网站后台可以构建关键字intitle:后台 or intitle:管理 or inurl:login.asp、admin.asp例子搜索特殊的URL可以找到网站的一些漏洞inurl:upload.asp or inurl:upload_soft.asp例子搜索网站指定类型的文件例如Filetypemdb搜索网站数据库文件例子利用语法搜索C段服务器信息例如site221.34.45.*主要还是组合使用才会威力翻倍该网站记录了更多的搜索方式https://www.exploit-db.com/google-hacking-database②网络空间安全搜索引擎FOFA、Shdan、zoomeye。其中FOFA一般搜索到的是一些网站的信息收集到的偏软件类信息比较多而shodan和zoomeye则是搜索网络在线设备信息偏向于收集硬件的信息。FOFA语法titlexx、status_code402查询服务器状态为402的资产headerxxx从http头搜索xxx、protocolhttps查询https协议资产bodyxxx、cityxx查询指定城市的资产domainqq.com(搜索根域名带有qq.com的网站)、regionxx查询指定行政区的资产icon_hashxxxx(搜索使用此icon的资产)、countryCN搜索指定国家的编码的资产host.gov.cn(从url中搜索.gov.cn)、certgoogle搜索整数中带有google的资产port443(查找对应443端口的资产)、typrservice查询所有协议资产ip1.1.1.1从ip中搜索包含1.1.1.1的网站、oswindows搜索windows资产ip220.181.11.1/24查询ip为220.181.11.1的C段资产serverMicrosoft-IIS7.5搜索IIS7.5服务器appHIKVISION-视频监控搜索海康威视设备after2017before2017-10-01时间范围搜索③Github信息泄露itHub作为一款应用最广的开源代码平台给程序员提供了很多便利但如果使用不当比如将包含了账号密码、密钥等配置文件的代码上传了导致攻击者能发现并进一步利用这些泄露的信息就是一个典型的GitHub敏感信息泄露漏洞再如开发人员在开发时常常会先把源码提交到github最后再从远程托管网站把源码pull到服务器的web目录下如果忘记把.git文件删除就造成此漏洞。利用.git文件恢复网站的源码而源码里可能会有数据库的信息。例子site:Github.com smtpsite:Github.com smtp qq.comsite:Github.com smtp 126.comsite:Github.com smtp 163.comsite:Github.com smtp sina.com.cnsite:Github.com sa password site:Github.com root password4)子域名收集子域名也称二级域名是指顶级域名下的域名。如果一个目标网站规模比较大直接从主站下手很困难因为主站一般都是重点防护区域 这种情况下可以“曲线渗透”先进入目标的子域然后再想办法迂回接近真正的目标。子域名检测工具Layer子域名挖掘机直接输入域名就可以进行扫描它的显示界面也很全面有域名、解析IP、Web服务器和网站状态使用起来非常方便强推这个工具subDomainsBrute是一款基于python语言开发的高并发的DNS暴力枚举工具可以用于二级域名收集。支持Python3.5和Python2.7推荐使用Python3.5以上版本。(Python3环境下运行需 安装aiodns库。(aiodns环境 Kali自带推荐在Kali下使用)御剑、K8利用搜索引擎发现子域名利用谷歌语法site:qq.com查询通过在线工具集DNSdumpsterhttps://dnsdumpster.com/子域名爆破https://phpinfo.me/domain/http://sbd.ximcx.cn/站长工具:http://tool.chinaz.com/subdomain/5)端口探测Nmap主机发现
-sL列表扫描只需列出要扫描的目标
-sPPing扫描只需确定主机是否处于可以互通的状态
-P0将所有主机视为是互通状态跳过主机发现
-PS or PA or PU [端口列表]TCP SYN/ACK 或UDP发现探测到给定的端口
-PE or PP or PMICMP回显、时间戳和网络掩码请求发现探测器
-n从不执行DNS解析
-R始终DNS解析扫描技术
-sSTCP SYN扫描
优点执行快在没有入侵防火墙的网络上每秒钟可以扫描数千个端口可以明确可靠地区分open(开放的) closed(关闭的)和filtered(被过滤的) 状态-sTTCP connec()扫描
优点当SYN扫描不能用时CP Connect()扫描就是默认的TCP扫描。它比SYN扫描效率高
不足可能会被目标机记录下连接IDS可能会捕捉到-sUUDP扫描
DNSSNMP和DHCP (注册的端口是53161/162和67/68)是最常见的三个。 因为UDP扫描一般较慢比TCP更困难一些安全审核人员忽略这些端口。
可以和-sS结合使用来同时检测两种协议-sN;-sF;-sXTCP Null FIN Xmas扫描不经常使用
优点它们能躲过一些无状态防火墙和报文过滤路由器这些扫描类型甚至比SYN扫描还要隐秘一些但是现如今多数的IDS可以发现它-sATCP ACK扫描
优点它用于发现防火墙规则确定它们是有状态的还是无状态的哪些端口是被过滤的。端口扫描
-p只扫描指定的端口
-p-从端口1扫描到65535
-F快速有限端口扫描 在nmap的nmap-services 文件中(对于-sO是协议文件)指定您想要扫描的端口。 这比扫描所有65535个端口快得多。
-r连续扫描端口不随机服务及版本探测
-sV版本探测也可以用-A同时打开操作系统探测和版本探测
-sRRPC扫描这种方法和许多端口扫描方法联合使用操作系统探测
-O启用操作系统检测时间性能
-T0-5:0-5选择常被与其他参数组合使用
模板名称有paranoid (0)、sneaky (1)、polite (2)、normal(3)、 aggressive (4)和insane (5)。前两种模式用于IDS躲避Polite模式降低了扫描 速度以使用更少的带宽和目标主机资源。默认模式为Normal因此-T3 实际上是未做任何优化。Aggressive模式假设用户具有合适及可靠的网络从而加速 扫描。Insane模式假设用户具有特别快的网络或者愿意为获得速度而牺牲准确性。Masscan扫描工具Masscan号称是最快的互联网端口扫描器最快可以在六分钟内扫遍互联网。而且masscan更加灵活它允许自定义任意的地址范和端口范围。由于使用工具通常会在目标网站留下痕迹接下来提供一种在线网站探测方法。在线网站http://tool.chinaz.com/port/ThreatScan在线网站https://scan.top15.cn/web/portscan常见端口及说明常见数据库端口Mysql3306Oracle1521Mssql1433MongoDB27017Redis6379远程连接端口端口号端口说明攻击方向22SSH远程连接爆破、SSH隧道及内网代理转发、文件传输23Telnet远程连接爆破、嗅探、弱口令3389Rdp远程桌面连接Shift后门(需要winserver2003以下的系统)、爆破5900VNC弱口令爆破5632PyAnywhere服务抓密码、代码执行文件共享服务端口端口号端口说明攻击方向21/22/69Ftp/Tftp文件传输协议允许匿名上传、下载、爆破和嗅探2049Nfs服务配置不当139Samba爆破、未授权访问、远程代码执行389Ldap目录访问协议注入、允许匿名访问、弱口令Web应用服务端口端口号端口说明攻击方向80/443/8080常见的web服务端口web攻击、爆破、对应服务器版本漏洞7001/7002WebLogic控制台Java反序列化、弱口令8080/8089Jboss/Resin/Jetty/Jenkins反序列化、控制台弱口令9090WebSpere控制台java反序列化、弱口令4848GlassFish控制台弱口令1352Lotus domino邮件服务弱口令、信息泄露、爆破10000Webmin-Wen控制面板弱口令邮件服务端口端口号端口说明攻击方向25SMTP邮件服务邮件伪造110POP3协议爆破、嗅探143IMAP协议爆破网络常见协议端口端口号端口说明攻击方向53DNS域名系统允许区域传送、DNS劫持、缓存投毒、欺骗67/68DHCP服务劫持、欺骗161SNMP协议爆破、搜索目标内网信息特殊服务端口端口号端口说明攻击方向2181Zookeeper服务未授权访问8069Zabbix服务远程执行、SQL注入9200/9300Elasticsearch服务远程执行11211Memcache服务未授权访问512/513/514Linux Rexec服务爆破、Rlogin登录873Rsync服务匿名访问、文件上传3690Svn服务Svn泄露、未授权访问50000SAP management Console远程执行6)CMS指纹识别CMSContent Management System称为文章系统用于网站内容管理。用户仅需下载对应CMS软件包完成部署搭建就可以直接使用CMS。因为各类CMS都有其独特的结构命名规则和特定的文件内容因此可以利用这些内容来判断一个CMS类型信息这就叫CMS指纹识别。常见的CMS门户dedecms(织梦)、phpcms、帝国cms博客WordPress、zblog、emlog社区Discuz、PHPWind商城shopex、ECShop在线网站http://whatweb.bugscaner.com/look/云悉指纹识别http://www.yunsee.cn/info.html常用的本地工具有御剑Web指纹识别、大禹CMS识别程序等CMS漏洞查询乌云漏洞库https://wooyun.x10sec.org/ 安全客漏洞库https://www.anquanke.com/vul公开漏洞查询确认网站的运行的cms或者运行的服务后可通过公开漏洞进行查询http://cve.mitre.org/find/search_tips.html通过查询cve漏洞库查找当前cms或者服务是否存在已知公开漏洞结合google获取详细漏洞信息https://www.exploit-db.com/Google等搜索引擎确定cms或者服务后在后面加上exp、poc、漏洞等词汇获取详细漏洞信息。https://vulners.com/可通过漏洞相关关键字获取详细漏洞信息历史漏洞查询确认网站所属单位可通过查询历史漏洞或者该集团、单位历史漏洞辅助攻击例如获取内网ip段、历史账号密码seebughttps://www.seebug.org/CNVDhttps://www.cnvd.org.cn/7)查找真实IP什么是CDNCDNContent Delivery Network,内容分发网络。指一种通过互联网连接的电脑网络系统利用最靠近每位用户的服务器更快、更可靠地将音乐、图片、视频、应用程序及其他文件发送给用户来提供高性能、可扩展性及低成本的网络内容传递给用户。因此如果目标服务器使用了CDN服务那么我们直接查询到的IP并不是真正的目标服务器的IP而是一台离你最近的目标节点的CDN服务器这就导致了我们没法直接得到目标服务器的真实IP。判断是否存在CDN全球Ping测试https://www.wepcc.com17CEhttps://www.17ce.com站长之家ping检测没错又是它http://ping.chinaz.com/cmd使用nslookup同样是看返回的IP地址的数量进行判断如何找到真实ipDNS历史解析查看IP与域名绑定的历史记录可能会存在使用CDN前的记录相关网站https://dnsdb.io/zh-cn/https://community.riskiq.comhttps://x.threatbook.cn/https://tools.ipip.net/cdn.php查询子域名毕竟CDN不便宜所以很多站都是主站做了CDN而很多小站没做CDN所以可以通过上面收集到的子域名查询到真实的IP地址网络空间引擎搜索法通过shadan、fofa等搜索引擎通过对目标网站的特征进行搜索很多时候可以获取网站的真实IP利用SSL证书查询https://censys.io/certificates/邮件订阅一些网站有发送邮件的功能如Rss邮件订阅因为邮件系统一般都在内部所以就可以通过邮箱获得真实的IP国外访问一般的站点在国内可能会有CDN但是在国外的用户覆盖率比较低所以通过国外的节点进行请求往往能获取真实IP8)敏感目录/文件收集在渗透测试中探测Web目录结构和隐藏的敏感文件是一个必不可少的环节从中可以获取网站的后台管理、文件上传等重要页面甚至可能扫描出网站的源代码。目录扫描工具有非常多种如御剑后台扫描工具、wwwscan命令行工具、dirb命令工具、dirbuster扫描工具其原理大致相同都是对网站进行暴力枚举扫描。9)操作系统识别识别操作系统常见方法看字母大小写windows对大小写不敏感Linux敏感看ping值 --ttl在64左右linux --ttl在128左右windowsnmap -O ip/域名10)探测waf扫描工具whatwaf、wafw00f在线识别工具https://scan.top15.cn/web扫描IP C段防火墙一般都会有web管理11)社会工程学最高境界社会工程学Social Engineering渗透某个网站遇到困难时给网站的呼叫人员打电话往往能解决很多问题。此外许多服务器的登录密码与该服务器的管理者有关密码总是有个人痕迹因此利用社会工程学获得服务器管理者的信息后进行服务器渗透测试要简单得多。总结目标对象分析单个目标服务器非webWeb服务器整个网络拓扑内网网络设备交换机、路由器、防火墙、ids、等网络中的服务器文件服务器、dns、http、域控制器等外网相关联的其他服务器ip关联、服务关联旁站、c段、邮件服务器、dns服务器、代理服务器等Web方向信息收集域名信息敏感目录旁站C段整站分析谷歌hackerurl采集信息分析整个网站分析服务器类型服务器平台、版本等网站容器搭建网站的服务组件例如iis、Apache、nginx、tomcat等脚本类型ASP、PHP、JSP、aspx等数据库类型access、sqlserver、mysql、oracle、postgresql等CMS类型WAF渗透测试一般流程项目前期准备工作信息收集whois、网站源IP、旁站、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息漏洞扫描Nessus, AWVS手动挖掘逻辑漏洞验证漏洞修复建议如果有基线检查/复验漏洞输出报告
