0x01 前言
系統漏洞->中間件漏洞->web漏洞
信息收集分為:主動信息收集和被動信息收集
·主動信息收集:主動信息搜集是與目標主機進行直接交互,從而拿到我們的目標信息。
·被動信息收集:不與目標主機進行直接交互,通過搜索引擎或者社工等方式間接的獲取目標主機的信息。
0x02 主動信息收集
1. 服務器和中間件信息
服務器信息:系統類型,如Ubuntu。
中間件信息:如Apache及其版本號等。
關於這兩者的解釋:
https://blog.csdn.net/sdb5858874/article/details/81171762
(1) 工具
·whatweb
·Nmap
·nc和telnet
(2) 手動
通過火狐瀏覽器的查看元素方法,查找信息。
有了服務器和中間件的信息,我們就可以查找已公布的漏洞信息。
2. 端口信息
端口作為服務器和客戶端交互的接口,起着非常重要的作用。一些常見的端口標識出服務器開啟了什么服務,比如3389端口開啟,可以認為服務器系統為windows並且開啟了遠程服務的功能。所以,端口掃描在滲透測試中是非常重要的。
(1) 常見端口分析
| 端口號 |
端口服務/協議簡要說明 |
端口利用方式 |
| tcp 20、21 |
ftp默認的數據和命令傳輸端口[可明文亦可加密傳輸] |
允許匿名的上傳下載,爆破,嗅探,win提權,遠程執行(proftpd 1.3.5),各類后門(proftpd,vsftp 2.3.4) |
| tcp 22 |
ssh[數據ssl加密傳輸] |
可根據已搜集到的信息嘗試爆破,v1版本可中間人,ssh隧道及內網代理轉發,文件傳輸,等等…常用於linux遠程管理 |
| Tcp 23 |
telnet[明文傳輸] |
爆破,嗅探,一般常用於路由,交換登陸,可嘗試弱口令,也許會有意想不到的收獲 |
| Tcp 25 |
smtp[簡單郵件傳輸協議,多數linux發行版可能會默認開啟此服務] |
郵件偽造,vrfy/expn 查詢郵件用戶信息,可使用smtp-user-enum工具來自動跑
|
| Tcp/udp 53 |
dns[域名解析] |
允許區域傳送,dns劫持,緩存投毒,欺騙以及各種基於dns隧道的遠控 |
| tcp/udp 69
|
tftp[簡單文件傳輸協議,無認證]
|
嘗試下載目標及其的各類重要配置文件
|
| tcp 80-89,443,8440-8450,8080-8089
|
web[各種常用的web服務端口]
|
各種常用web服務端口,可嘗試經典的top n,vpn,owa,webmail,目標oa,各類java控制台,各類服務器web管理面板,各類web中間件漏洞利用,各類web框架漏洞利用等等……
|
| tcp 110
|
[郵局協議,可明文可密文]
|
可嘗試爆破,嗅探
|
| tcp 137,139,445
|
samba[smb實現windows和linux間文件共享,明文]
|
可嘗試爆破以及smb自身的各種遠程執行類漏洞利用,如,ms08-067,ms17-010,嗅探等……
|
| tcp 143
|
imap[可明文可密文]
|
可嘗試爆破
|
| udp 161 |
snmp[明文]
|
爆破默認團隊字符串,搜集目標內網信息
|
| tcp 389
|
ldap[輕量級目錄訪問協議]
|
ldap注入,允許匿名訪問,弱口令
|
| tcp 512,513,514
|
linux rexec
|
可爆破,rlogin登陸
|
| tcp 873
|
rsync備份服務
|
匿名訪問,文件上傳
|
| tcp 1194
|
|
|
(2) 工具
Nmap 下面鏈接是使用原理和方法總結
https://blog.csdn.net/AspirationFlow/article/details/7694274
Masscan 官方github說明文檔
https://github.com/robertdavidgraham/masscan
還有一些如:站長之家等。
Metasploit 進行端口掃描
3. 子域名搜集
先看一下什么是子域名:
https://baike.baidu.com/item/%E5%AD%90%E5%9F%9F%E5%90%8D/10937658?fr=aladdin
https://blog.csdn.net/xiaxiaoxian/article/details/79287458
(1) 搜索引擎枚舉技術
(2) DNS區域傳送漏洞
https://blog.csdn.net/c465869935/article/details/53444117
http://www.lijiejie.com/dns-zone-transfer-1/
(3) 子域名挖掘機Layer
(4) 在線版layer
(5) 大神的github工具列表
https://zhuanlan.zhihu.com/p/53112370
4. 域名目錄遍歷
御劍后台、dirbuster
5. 目標IP
(1) 什么是CDN
CDN是什么?使用CDN有什么優勢? - 阿里雲雲棲社區的回答 - 知乎 https://www.zhihu.com/question/36514327/answer/193768864
(2) 如何繞過CDN,尋找真實IP地址
https://www.waitalone.cn/how-to-find-the-real-ip-address-of-the-site.html
0x03 被動信息收集
1.旁站C段查詢
旁站是和目標網站在同一台服務器上的其它的網站;如果從目標站本身找不到好的入手點,這時候,如果想快速拿下目標的話,一般都會先找個目標站點所在服務器上其他的比較好搞的站下手,然后再想辦法跨到真正目標的站點目錄中。C段是和目標機器ip處在同一個C段的其它機器;通過目標所在C段的其他任一台機器,想辦法跨到我們的目標機器上。
常用工具
Nmap
2. CMS類型
http://blog.51cto.com/simeon/2115190
每個cms都有其獨有的特征,如:css、js命名、固定的管理員URL、robots.txt等。根據以上信息判斷出網站所使用的cms類型和版本。通過與漏洞庫進行匹配,從而找到滲透測試的切入點。
雲溪CMS指紋識別系統
http://www.yunsee.cn
(1) robots.txt
(2) 查找源文件判斷使用的是什么cms
(3) 計算網站的相關靜態資源的md5值
計算網站所使用的中間件或cms目錄下的靜態文件的md5值。md5可以唯一的代表該文件的信息。靜態文件包括html、css、image等
(4) URL關鍵字識別
通過上述URL關鍵字可以判斷其cms內容
(5) 請求相應主體內容或頭信息的關鍵字匹配
x-powered-by中可以看出使用的是thinkphp
(6) 工具總結
- 御劍web指紋識別程序
- Test404輕量WEB指紋識別
- Scan-T主機識別系統
https://github.com/nanshihui/Scan-T
- bugscanner
- https://github.com/iceyhexman/onlinetools
- whatweb
3. 敏感目錄/文件
https://www.cnblogs.com/pannengzhi/p/2017-09-23-web-file-disclosure.html
(1) .git泄露
https://github.com/lijiejie/GitHack
(2) .SVN泄露
(3) .DS_Stroe文件泄露
(4) .hg源碼泄露
4. whois信息
簡單說,whois就是一個用來查詢域名是否已經被注冊,以及注冊域名的詳細信息的數據庫(如域名所有人、域名注冊商)。通過whois來實現對域名信息的查詢。早期的whois查詢多以命令列接口存在,但是現在出現了一些網頁接口簡化的線上查詢工具,可以一次向不同的數據庫查詢。網頁接口的查詢工具仍然依賴whois協議向服務器發送查詢請求,命令列接口的工具仍然被系統管理員廣泛使用。whois通常使用TCP協議43端口。每個域名/IP的whois信息由對應的管理機構保存。
