漏洞挖掘之資產收集(信息收集)
寫在前
忘了是在哪里看的一句話了,滲透測試的本質就是信息收集,確實,不管是滲透測試還是一些紅藍對抗中,都是一個信息收集的過程。之前也在跟一些面試的同志聊過關於信息收集的東西,千篇一律的回答就是那些東西,不管是在SRC眾測還是攻防演練中,在拿到一個主站域名后,想從主站做入口進入到業務內網是很難的,或者說是不太現實的一件事,畢竟大多數的企業官網都是用的很成熟的框架,並且每天都會接受成千上萬次的洗禮,能從主站拿到點東西第一是浪費事件,第二是難度太大,所以這里就體現出了信息收集的重要性,資產放大化,尋找脆弱點做入口,讓自己的滲透之路更順暢。下面是我總結的信息收集的一些方法,結合網上看到的一些文章跟自己實戰中總結的一些經驗。
一.子域名收集
利用搜索引擎進行信息收集
這里常用的就是Baidu,Bing,Google(這個需要TZ),Fofa(資產多的話需要開會員查看),
查詢語法跟搜索引擎的不同查詢語句也是不同的
這里簡單寫幾個舉例一下
Site:*****.com
Inurl:****.com
像如fofa這樣的搜索引擎都有自己搜索語法,只是點一下思路,這里就不一一介紹了,
利用工具進行子域名枚舉爆破
網上工具很多,但是經常用的基本就是Layer子域名挖掘機
工具參考鏈接:https://zhuanlan.zhihu.com/p/106705198(含23款子域名枚舉工具)
DNS查詢
這里推薦一個查詢的網站,也是之前HW一位大佬推薦給我的
簡介:
Rapiddns目前擁有超過20億個DNS解析數據,支持A,CNAME,AAAA,MX類型。A記錄18億,CNAME記錄1.8億,AAAA記錄1.8億,MX記錄3.6億。可以查詢同一IP網站的域名(支持IPv6)。您還可以查詢子域信息。
證書查詢
這里我也是用的fofa
IP反查
往往有時候IP反查會收獲到意想不到的資產
這里我常用的就是愛站的反查
https://dns.aizhan.com/aaa.com/
二丶C段信息收集
一般大型的企業都會把自己的資產放到一個或者多個公網的C段種,往往很多隱蔽的資產是互聯網搜索不到的,這里我們就可以通過掃描C段資產進行更詳細的信息收集
C段掃描的工具很多,這里簡單寫幾個我常用的工具
Goby
這是我非常喜歡的一個收集資產的工具,可以掃到很多有用的信息,而且上面還集成了一下漏洞的POC
小米范web查找器
還有一些比如nmap,御劍之類的都可以
三丶關鍵詞收集
這里的關鍵詞可以以 公司名稱 公司企業郵箱 公司電話 等,為什么這里我會寫一下呢,因為之前也碰到過,通過搜索企業的招聘郵箱找到了一個此公司很早之前的一個網站,並且網站域名是之前的域名,沒人維護了,然后通過此站點進入了內網
四丶常規信息收集
剩下的就是常規的一些方法,我也懶得排版了,直接把我之前做的筆記Copy到下面把
Whois信息
Whois是用來查詢域名的IP以及所有者等信息的傳輸協議。whois信息可以獲取關鍵注冊人的信息,包括注冊郵箱,注冊商,所有者,聯系電話,域名注冊信息,域名到期時間,域名狀態,DNS服務器等
Whois可以獲取的信息:
1域名詳細信息
2域名服務器信息
3網絡IP地址
4域名創建,過期時間
5最近更新記錄
whois信息在線收集地址:
愛站網:
https://www.aizhan.com
站長之家:
http://whois.chinaz.com/
阿里雲域名信息查詢:
https://whois.aliyun.com/
Kali whois命令
Python-whois模塊查詢域名信息(安裝方式 pip2 install python-whois,pip3 install python-whois,導入方式import whois)
企業信息查詢網站:
天眼查:
https://www.tianyancha.com/
企查查:
https://www.qichacha.com/
ICP備案查詢:
http://www.beianbeian.com/
公安部備案:
http://www.beian.gov.cn/portal/recordQuery
github信息收集,svn的信息收集,郵箱信息收集,網盤信息收集:
github信息泄露:
https://blog.csdn.net/xiaoi123/article/details/85121827
.svn/entries
常見端口漏洞:
端口 服務 說明
21 FTP 主要看是否支持匿名,也可跑弱口令
22 SSH 弱口令爆破
22 SSH 弱口令爆破
23 telnet 弱口令爆破
80-90 WEB 常見WEB漏洞以及一些為管理后台
161 snmp public弱口令
389 ldap 是否為匿名訪問
443 openssl 心臟出血以及一些WEB漏洞測試
445 smb 跑弱口令,檢測是否有ms_08067等溢出
873 rsync 是否為匿名訪問,也可以跑弱口令
1025 RPC NFS匿名訪問
1099 java rmi 遠程命令執行漏洞
1433 mssql 弱口令爆破
1521 oracle 弱口令爆破
2082/2083 cpanel 主機管理系統登陸 弱口令爆破
2222 DA 虛擬主機管理系統登陸 弱口令爆破
2601,2604 zebra路由器 默認密碼zebra
3128 squid 代理默認端口 如果沒設置口令很可能就直接漫游內網
3306 mysql 弱口令爆破
3312/3311 kangle 主機管理系統登陸 說明
3389 RDP 弱口令爆破,SHIFT后門,放大鏡,輸入法漏洞
4440 rundeck web
4848 GlassFish web中間件 弱口令admin/adminadmin
5432 postgres 弱口令爆破
5560,7778 iSqlPlus
5900,5901,5902 vnc 弱口令爆破
5984 CouchDB
http://xxx:5984/_utils/
6082 varnish
6379 redis 一般無驗證,直接訪問
7001,7002 weblogic 弱口令爆破
7778 Kloxo 主機控制面板登錄
8080 tomcat\jboss 弱口令爆破,jboss后台可能不驗證
8649 ganglia
8080-8090 常見WEB端口
8083 Vestacp主機管理系統 (國外用較多)
8649 ganglia
8888 amh/LuManager 主機管理系統默認端口 說明
9000 fcgi fcgi php命令執行漏洞
9200 elasticsearch 代碼執行
9043 websphere 弱口令爆破
10000 Virtualmin/Webmin 服務器虛擬主機管理系統
11211 memcache 內存泄露
27017,28017 mongodb 未授權訪問
50000 Upnp SAP命令執行
50060,50030 hadoop WEB 未授權訪問
常見端口列表整理如下:
信息收集的作用 方式 burp的模塊
nmap偵測的參數 burp爆破密碼流程步驟
nmap怎么掃描ip 並 發現 80 3306 端口 白盒 黑盒測試的介紹
滲透測試流程
21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060
2.子域名搜集小工具
subDomainsBrute
https://github.com/lijiejie/subDomainsBrute
wydomain
https://github.com/ring04h/wydomain
wafw00f
https://github.com/EnableSecurity/wafw00f
WhatWeb
https://github.com/urbanadventurer/whatweb
layer子域名挖掘機
DNSdumpster
Sublist3r
https://github.com/aboul3la/Sublist3r
3.在線查詢工具
http://tool.chinaz.com/subdomain/
https://www.virustotal.com/
https://censys.io/
https://x.threatbook.cn/
https://phpinfo.me/domain/
4.網絡空間資產搜索引擎
Zoomeye
Shodan
Fofa
GitHub:https://github.com/Micropoor/Micro8
DNS查詢/枚舉/歷史
證書證明度公開
WEB
五丶總結
信息收集的方法很多,這只是我常用的一些方法,在寫的時候也是想起來什么寫什么了,寫的肯定是 不全的,僅供參考。