前篇:從零開始的信息搜集(一)指路鏈接 https://www.cnblogs.com/lcxblogs/p/14291907.html
繼續
(還是和上篇隨筆一樣,不特殊強調,只討論現有的、流行的方法和工具,大佬們自己寫自己用的工具、腳本、框架實在太多,有的時候比這些工具效果還好,但這不在本次討論范圍中)
0x05 WAF
主要是探測一些商業化的、成熟的、流行的waf,不包括自己寫的waf
1.wafw00f
談到waf檢測,離不開的一款工具
下載鏈接:https://github.com/EnableSecurity/wafw00f
最近幾個月還有更新
簡單說一下
windows下(啊,當然多平台隨便用),進入目錄,python setup.py install ,安裝后會多出一個文件夾wafw00f
再次進入wafw00f文件夾中,運行main.py: python main.py
缺啥庫安啥庫
python main.py --help可見使用參數,-l可見支持探測的waf種類,還是挺多的,160+
python main.py 域名 即可使用
具體腳本可以到plugins目錄下看看
2.WhatWaf
另一款waf檢測工具
下載鏈接:https://github.com/Ekultek/WhatWaf
原理與wafw00f類似(star都很多,啊不是...),都是根據HTTP頭、cookie、訪問狀態碼、攔截頁面識別進行檢測的
3.sqlmap、nmap
sqlmap使用--identify-waf參數
或者
nmap中也有:
--script=http-waf-detect
--script=http-waf-fingerprint
4.看眼力
這篇文章列舉了一些常見的商業化WAF攔截界面,如果進行了一些危險操作后,咔的一下彈出來這種界面,直接就能看出來是有什么WAF
https://www.cnblogs.com/AdairHpn/p/13985760.html
一般WAF都有特定的服務名稱與進程名稱,如果有機會再次深入后,看到了這類信息,就可以對號入座(當然不用深入,直接看到攔截界面就知道是什么玩意兒攔了你)
0x06 旁站與C段
旁站:與目標站點在同一服務器的網站(目標不好搞或許可以通過旁站拿下服務器?)
C段:與目標IP處於同一C段的其他網站(大企業可能會持有整塊IP段,這些IP就屬於同一公司資產,注意別搜到別人家去了......另外,可能存在一些內部服務只限於IP訪問而沒映射域名的,有必要搜集一下,資產當然越多越好)
1.在線搜索
站長工具:http://stool.chinaz.com/same
搜索引擎:如谷歌、必應 site:xxx.xxx.xxx.* 什么的
網絡搜索引擎:如fofa、shodan、zoomeye ip="xxx.xxx.xxx.0/24" 之類的
愛站網: https://dns.aizhan.com (IP反查域名)
如果子域名和目標站點屬於旁站關系的話,請轉到上一節子域名搜集那部分
2.工具搜索
其實很多集成掃描器、工具都有探測C段的功能
比如
nmap、zenmap、masscan、goby、K8Cscan(K8哥哥整的活,目前新版變成Ladon了 鏈接:https://github.com/k8gege/Ladon)、御劍高速端口掃描工具(不是掃后台目錄的那個)......
不一一介紹了,這些小玩意兒不僅能掃端口,也能掃C段,也許還有別的附加驚喜、意外收獲
還有一些論壇大佬自研的小工具,感興趣可以用用
當然都不喜歡的話可以選擇自己寫
0x08 CMS指紋
問:一般是通過哪些來識別網站CMS呢?
網站特有文件、網站文件命名規則、返回頭部關鍵字、網頁關鍵字、URL\meta\script特征、robots.txt、網站靜態資源、網站路徑特征、爬蟲網站目錄信息......
能憑經驗肉眼識別的肉眼識別,不能識別的工具識別
1.雲悉
https://www.yunsee.cn/
一個不錯的指紋識別平台,可以識別CDN、WAF、容器等等,但是有門檻即需要邀請碼才能使用大多數功能
以前做聯動活動有贈送抽過邀請碼,否則只能按照要求提交申請了
2. 在線whatweb
http://whatweb.bugscaner.com/
以某站為例 。。。。。。
3.識別工具
額,原則上講有很多,簡單列舉三個工具吧:whatweb、K8_C段旁注工具、CMSmap
使用參考下列鏈接內容,不說了:
https://www.freebuf.com/column/151540.html
https://www.cnblogs.com/k8gege/p/10261314.html
https://www.freebuf.com/sectool/58022.html
當然還有很多師傅們的優秀作品,歡迎分享,我就不班門弄斧了
0x09 敏感文件、目錄
這部分內容比較深,涉及面很廣,大佬們各種騷操作層出不窮讓人眼花繚亂,能力有限,我就說一些基礎拋磚引玉了
主要說一些可能通過網站獲得的敏感文件目錄的工具方法
幾種版本控制系統可能存在的信息泄露,開發的老哥們都很熟悉了,如:
Bazaar(bzr)
Mercurial(hg )
subversion(svn)
git
cvs
啊,當然非常容易這樣
或者這樣
這有兩篇關於源碼泄露的小結,針對不同版本都有不同的利用工具,這里不展開了:
https://www.cnblogs.com/xiaozi/p/12397114.html
https://xz.aliyun.com/t/3677#toc-0
找找什么測試頁面、備份文件、后台地址、探針文件、robots.txt......看看能找到點啥
再說說一部分探測工具,當然,我等渣渣靠工具腳本,大佬靠經驗人工
1.御劍后台掃描
又是一款老工具了,御劍全家桶,之前說過掃端口的,這個是掃后台的
一鍵操作,過去玩CTF時常用於爆破路徑,字典可以自行添加,支持上圖中幾類后綴文件及路徑爆破
2.dirb
kali自帶
使用方法簡介:https://zhuanlan.zhihu.com/p/26549845
3.BBScan
李姐姐力作,一個敏感信息探測、掃描和漏洞挖掘的腳本工具,需要py2.7
下載鏈接:https://github.com/lijiejie/BBScan
作者功能自述:https://www.freebuf.com/sectool/85729.html
4.GSIL
這是一款GitHub敏感信息采集工具,挺有意思的,以后有機會說兩句
下載鏈接:https://github.com/FeeiCN/GSIL
一些使用參考:
https://xz.aliyun.com/t/7229
https://www.uedbox.com/post/57426/
https://cloud.tencent.com/developer/article/1757828
類似功能的還有
Hawkeye https://github.com/0xbug/Hawkeye
X-patrol https://github.com/MiSecurity/x-patrol
GitPrey https://github.com/repoog/GitPrey
gshark https://github.com/madneal/gshark
。。。。。。等等
不能說獨步江湖,只能說各有千秋吧
5.wfuzz
一款web fuzz的老工具,不止能fuzz目錄,還能fuzz很多東西
下載鏈接:https://github.com/xmendez/wfuzz
使用文檔:https://wfuzz.readthedocs.io/en/latest/
簡單的使用教程:https://cloud.tencent.com/developer/news/396934
https://www.freebuf.com/sectool/173746.html
6.dirsearch
還是一款目錄掃描工具
下載鏈接:https://github.com/maurosoria/dirsearch
使用簡介:https://www.cnblogs.com/-mo-/p/11466092.html
7.dirmap
目錄掃描工具
H4ckForJob作品,作者自述亮點:https://www.freebuf.com/sectool/200890.html
下載鏈接:https://github.com/H4ckForJob/dirmap
8.7kbscan
目錄掃描工具
下載鏈接:https://github.com/7kbstorm/7kbscan-WebPathBrute
還有。。。因為類似的目錄掃描工具層出不窮,不同功能點上互有優劣,不再列舉
或者通過burpsuite、各個掃描器的爬蟲功能,爬一下目標站點,看看有什么收獲
再來就是那些搜索引擎,你懂的
另外,最近聽大佬講了一些他自己getshell騷操作,想起來就順便提一下JS文件的信息泄露
除了一些花里花哨的框架JS,頁面源代碼中某些JS里面可能會藏有有意思的接口信息,可能存在信息泄露,啪地一下,后台就出來了,或者啪地一下,cookie出來了
特別是在沒有設置訪問權限的情況下,可能通過JS信息泄露,API都知道了,參數也知道,未授權訪問操作不就來了嗎
應用JS和ajax的地方,有很大的可操作空間,留意一下返回包,或者JS文件,可能還有注入等其他利用姿勢
可以說,信息泄露是一個常見的突破口,萬惡之源,它也涉及到整個流程,絕不僅僅是本小結提到的內容
推薦工具 JSFinder,—款從js文件中尋找敏感接口和子域名的工具
下載鏈接:https://github.com/Threezh1/JSFinder
作者自述:https://xz.aliyun.com/t/5390
補充一些弱口令字典
1. https://github.com/TgeaUs/Weak-password
2. https://github.com/fuzz-security/SuperWordlist
3. https://github.com/k8gege/PasswordDic
4. https://github.com/TheKingOfDuck/fuzzDicts
5. https://github.com/Ifonly-go2019/FuzzDict
6. https://github.com/ppbibo/PentesterSpecialDict
7. https://github.com/huyuanzhi2/password_brute_dictionary
0x0A 開放端口
1.nmap
人手一個
關於常見端口,我在這里有寫過 https://www.cnblogs.com/lcxblogs/p/13941998.html
當然,並不是十分全面,僅供參考
一張圖補充
說到nmap我就不困了嗷
常見的端口掃描思路有:
TCP connect掃描(完成TCP三次握手,但動靜大)、
TCP SYN掃描(向目標發送SYN包,目標收到后,端口開了就返回SYN/ACK,沒開就返回RST,也就是所謂的半開掃描,比三次握手好點)、
NULL掃描(向目標發送無標志位的數據包,如果目標是類Unix下的系統,返回RST證明端口關閉,無響應證明端口開放;但windows系統無論端口開關都會返回RST,,,所以雖然更隱蔽,但是不精確)、
TCP FIN掃描(發FIN包,反饋結果同NULL掃描,無響應證明端口開放,有RST返回證明端口關閉,也是不適用於windows系統)、
TCP ACK掃描(向目標發ACK包,看返回RST的包的TTL,若存在某個端口返回包的TTL明顯小於其他端口的,那說明這個端口開放,具體TTL是多少這個不好說)、
Xmas掃描(向目標發URG/PSH/FIN,端口開放是沒有響應的,端口關閉過一會會回RST,仍然不適用於windows系統)、
UDP掃描(目標回復端口不可達證明關閉,沒有回復證明開放)
。。。。。。
關於nmap使用的一些參數 轉自:https://www.cnblogs.com/Vinson404/p/7784829.html
- 掃描指定IP所開放的端口:nmap -sS -p 1-65535 -v XXX.XXX.XXX.XXX
- 掃描C段存活主機:nmap -sP XXX.XXX.XXX.XXX/24
- 指定端口掃描:nmap -p 80,1433,22,1521 XXX.XXX.XXX.XXX
- 探測主機操作系統:nmap -o XXX.XXX.XXX.XXX
- 全面的系統探測:nmap -v -A XXX.XXX.XXX.XXX(Nmap默認掃描主機1000個高危端口)
- 探測指定網段:nmap XXX.XXX.XXX.XXX-XXX
- 穿透防火牆進行掃描:nmap -Pn -A XXX.XXX.XXX.XXX(XXX.XXX.XXX.XXX禁止用ping的)
- 使用腳本,掃描Web敏感目錄:nmap -p 80 --script=http-enum.nse XXX.XXX.XXX.XXX
| 參 數 | 說 明 |
| -sT | TCP connect()掃描,這種方式會在目標主機的日志中記錄大批連接請求和錯誤信息。 |
| -sS | 半開掃描,很少有系統能把它記入系統日志。不過,需要Root權限。 |
| -sF -sN | 秘密FIN數據包掃描、Xmas Tree、Null掃描模式 |
| -sP | ping掃描,Nmap在掃描端口時,默認都會使用ping掃描,只有主機存活,Nmap才會繼續掃描。 |
| -sU | UDP掃描,但UDP掃描是不可靠的 |
| -sA | 這項高級的掃描方法通常用來穿過防火牆的規則集 |
| -sV | 探測端口服務版本 |
| -Pn | 掃描之前不需要用ping命令,有些防火牆禁止ping命令。可以使用此選項進行掃描 |
| -v | 顯示掃描過程,推薦使用 |
| -h | 幫助選項,是最清楚的幫助文檔 |
| -p | 指定端口,如“1-65535、1433、135、22、80”等 |
| -O | 啟用遠程操作系統檢測,存在誤報 |
| -A | 全面系統檢測、啟用腳本檢測、掃描等 |
| -oN/-oX/-oG | 將報告寫入文件,分別是正常、XML、grepable 三種格式 |
| -T4 | 針對TCP端口禁止動態掃描延遲超過10ms |
| -iL | 讀取主機列表,例如,“-iL C:\ip.txt” |
或者看我這篇轉載:https://www.cnblogs.com/lcxblogs/articles/13527940.html
如果掃描被攔了
看這里:
https://blog.csdn.net/bc221yz/article/details/105727879
https://www.cnblogs.com/H4ck3R-XiX/p/12234762.html
講了一些nmap繞過WAF的小手段
nmap不僅僅是掃端口,還有很多其他功能
2.站長工具 http://tool.chinaz.com/port/
目前是一次掃一個端口......
3.masscan
沒錯,又是masscan,一個字:快就完了
這有一篇簡簡單單的教程
https://www.cnblogs.com/guixia621/p/8820204.html
0x0B 網站環境
1.wappalyzer
一款常用的網站分析插件,能識別網站搭建平台框架、JS庫、服務器配置、編程語言等等,對分析網站整體信息有幫助
下載:https://chrome.zzzmh.cn/info?token=gppongmhjkpfnbhagpmjfkannfbllamg
解壓后把文件拖到Google瀏覽器 chrome://extensions/頁面中就能用
分析結果還行
2.whatweb
一個基於Ruby的開源網站指紋識別工具
使用參考:https://www.freebuf.com/column/151540.html
https://www.freebuf.com/column/152611.html
3.w11scan
一款分布式web指紋識別系統
下載鏈接:https://github.com/w-digital-scanner/w11scan
4.看眼力
關於判斷網站使用的系統、中間件、數據庫等等......有很多小方法
這個留到后面有機會再說
0x0C 社工
本來想寫點什么的,后來想了想,刪了
我只能說:
八仙過海,各顯神通
另外,不得不說的是,有很多那種功能豐富的資產收集系統,可以便捷地一次性收集大量信息,有的還有漏掃功能
正是因為這些系統功能很多,涉及面很廣,就沒按具體功能細分
因此,把此類的部分系統列舉如下,關於使用效果見仁見智,不做評價,排名不分先后:
1.ARL(Asset Reconnaissance Lighthouse)資產偵察燈塔系統 https://github.com/TophantTechnology/ARL?from=timeline
2.bayonet https://github.com/CTF-MissFeng/bayonet
3.Mars https://github.com/TideSec/Mars
4.LangSrcCurise https://github.com/LangziFun/LangSrcCurise
5.Ladon https://github.com/k8gege/Ladon
6.AUTO-EARN https://github.com/Echocipher/AUTO-EARN
7.butterfly https://github.com/dr0op/bufferfly
當然信息搜集遠不止我講的這些,比如內網信息搜集、紅隊那些打點的騷操作。。。由於時間精力和能力問題,暫時寫到這里,后續看情況補充
未經允許,禁止轉載