1、域名信息收集
1.1whois查詢
可以通過愛站工具網,站長之家,VirusTotal這些網站查詢域名的相關信息,如域名服務商,域名擁有者,以及他們的郵箱。電話,地址等
kali系統自帶whois。
語法如下
whois 所要查詢的域名
1.2、備案信息查詢
網站備案是指向主管機關報告事由存案以備查考。行政法角度看備案,實踐中主要是《立法法》和《法規規章備案條例》的規定。網站備案的目的就是爲了防止在網上從事非法的網站經營活動,打擊不良互聯網信息的傳播,如果網站不備案的話,很有可能被查處以後關停。
1.3、敏感信息收集
我們可以通過構造特殊的關鍵字來收集敏感信息
Goole的常用語法及其說明,(其他搜索引擎的語法大同小異)
| 關鍵字 | 說明 |
|---|---|
| Site | 指定域名 |
| Inurl | URL中的存在關鍵字的網頁 |
| Intext | 網頁正文中的關鍵字 |
| Filetype | 指定文件類型 |
| Intitle | 網頁標題中的關鍵字 |
| link | link:baidu.com即表示返回所有和baidu.com做了連接的URL |
| Info | 查找一些指定站點的一些基本信息 |
| cache | 搜索Goole裏關於某些內容的緩存 |
如,關鍵字的混合使用
還有burp suit 的repeater功能也可以獲取到服務器的一些信息。
還可以通過烏雲漏洞表查詢歷史的漏洞信息
2、子域名信息收集
2.1、工具收集
使用的工具主要有Layer子域名挖掘機、K8/wydomain等等,這邊推薦Layer子域名挖掘機,Sublist3r和subDomainsBrute
Layer子域名挖掘機操作簡單,如圖
subDomainsBrute需要在python2的環境下使用,具體的大家可以參考這篇文章
它的特點是可以快速的發現三、四、五等不被容易探測到的域名
執行命令:
python subDomaisBrute.py xxx.com
2.2、搜索引擎枚舉
如搜索baidu旗下的子域名
2.3、使用第三方服務枚舉
很多第三方服務匯聚了大量的DNS數據集
如DNSdumpster網站、在線DNS偵查和搜索的工具挖掘出指定域潛在的大量子域
如DNSdumpster網站
部分結果
2.4、證書透明度公開日誌枚舉
證書透明度(CT)是證書授權機構(CA)的一個項目。證書授權機構會把每個SSL/TLS證書發佈到公開日誌裏,這個證書通常包含域名、子域名、郵件地址。然而查找一些證書最簡單的方法就是通過一下搜索引擎搜索一些公開的CT日誌。
介紹2個網站 crt.sh 和 censys
下圖爲crt網站
當然也可以使用一些在線網站查詢子域名,如Ip反查綁定域名網站(可以根據域名查詢其對應的IP地址和IP物理地址,就是說可以查詢該網站的服務器是放在什麼地方的,一樣可以精確到某個網吧,機房或學校等。)
3、收集常用端口信息
通過掃描服務器開放的端口以及從該端口上判斷服務器存在的服務,就可以對症下藥,便於我們滲透目標服務器
常見的工具有nmap、無狀態端口掃描工具Masscan、Zmap和御劍高速端口掃描工具
常見的端口及其說明、還有攻擊方向彙總
3.1文件共享服務端口
| 端口號 | 端口說明 | 攻擊方向 |
|---|---|---|
| 21/22/69 | FTP/tftp文件的傳輸協議 | 允許匿名的上傳、下載、爆破和嗅探操作 |
| 2049 | Nfs服務 | 配置不當 |
| 139 | Samba服務 | 爆破、未授權訪問、遠程代碼執行 |
| 389 | Ldap目標服務協議 | 注入、允許匿名訪問、弱口令 |
3.2、連接遠程服務端口
| 端口號 | 端口說明 | 攻擊方向 |
|---|---|---|
| 22 | SHH遠程連接 | 爆破、SHH隧道以及內網代理的轉發和存儲、文件傳輸 |
| 23 | Telnet遠程連接 | 爆破、嗅探、弱口令 |
| 3389 | Pdp遠程桌面連接 | shift後門(需要windows Server 2003 以下的版本)、爆破 |
| 5900 | VNC | 弱口令爆破 |
| 5632 | PyAnywhere服務 | 抓密碼、代碼執行 |
3.3、web應用服務端口
| 端口號 | 端口說明 | 攻擊方向 |
|---|---|---|
| 80/443/8080 | 常見的web服務器端口 | web攻擊、爆破、對應服務器版本漏洞 |
| 7001/7002 | webLogic控制檯 | java反序列化、弱口令 |
| 8080/8089 | Jboss/Resin/Jetty/Jenkins | 反序列化、控制檯弱口令 |
| 9090 | WebSphere控制檯 | java反序列化、弱口令 |
| 4848 | GlassFish控制檯 | 弱口令 |
| 1352 | Lotus domain郵件服務 | 弱口令、信息泄露、爆破 |
| 10000 | Webmin-Web控制面板 | 弱口令 |
3.4、數據庫服務端口
| 端口號 | 端口說明 | 攻擊方向 |
|---|---|---|
| 3306 | MySQL | 注入、提權、爆破 |
| 1433 | MSSQL數據庫 | 注入、提權、爆破、SA弱口令 |
| 1521 | Orcale數據庫 | TNS爆破、注入、反彈shell |
| 5432 | PostgreSQL數據庫 | 注入、爆破、弱口令 |
| 27017/27018 | MongoDB | 爆破、未授權的訪問 |
| 6397 | Redis數據庫 | 可嘗試爲授權訪問、弱口令爆破 |
| 5000 | Sysbase/DB2 | 爆破、注入 |
3.5、郵件服務端口
| 端口號 | 端口說明 | 攻擊方向 |
|---|---|---|
| 25 | SMTP郵件服務 | 郵件僞造 |
| 110 | POP3協議 | 爆破、嗅探 |
| 143 | IMAP協議 | 爆破 |
3.6、網絡常見協議端口
| 端口號 | 端口說明 | 攻擊方向 |
|---|---|---|
| 53 | DNS域名系統 | 允許區域傳送、DNS劫持、緩存投毒、欺騙 |
| 67/68 | DHCP服務 | 劫持、欺騙 |
| 161 | SNMP協議 | 爆破、收集目標內網信息 |
3.7、特殊服務端口
| 端口號 | 端口說明 | 攻擊方向 |
|---|---|---|
| 2811 | Zookeeper服務 | |
| 8069 | Zabbix服務 | 遠程執行、SQL注入 |
| 9200/9300 | Elasticsearch服務 | 遠程執行 |
| 11211 | Memcache | 未授權訪問 |
| 512/513/514 | Linux Rexec服務 | 爆破、Rlogin登錄 |
| 873 | Rsync服務 | 匿名訪問、文件上傳 |
| 3690 | Svn服務 | Svn泄露、未授權訪問 |
| 50000 | SAP Management Console | 遠程執行 |
4、CMS識別
在進行滲透時得識別出相應的web容器或CMS纔可以進行滲透
CMS是Content Management System的縮寫,意爲"內容管理系統"。 內容管理系統是企業信息化建設和電子政務的新寵,也是一個相對較新的市場。業界公認的國內比較權威的產品有CmsTop、TurboCMS、TRS。對於內容管理,業界還沒有一個統一的定義,不同的機構有不同的理解。
常見的CMS有Dedecms(織夢)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝國、Z-Blog、WordPress等
代表工具有御劍Web指紋識別,whatWeb、WebRobo、椰樹、輕量WEB指紋識別等,可以快速識別一些主流的CMS
在線網站查詢CMS指紋識別有:
BugScanner
雲悉指紋
和WhatWeb
5、查找真實IP
5.1、目標服務器存在CDN
若目標服務器不存在CDN,那麼我們可以直接通過ip138網來獲取目標的一些IP及其域名信息。但是一般是存在CDN的
什麼是CDN呢
CDN全稱:Content Delivery Network或Content Ddistribute Network,即內容分發網絡儘可能避開互聯網上有可能影響數據傳輸速度和穩定性的瓶頸和環節,使內容傳輸的更快、更穩定。通過在網絡各處放置節點服務器所構成的在現有的互聯網基礎之上的一層智能虛擬網絡,CDN系統能夠實時地根據網絡流量和各節點的連接、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節點上。
如果滲透目標具有CDN服務,那麼我們ping目標域名得到的只是離我們最近的一臺節點的CDN服務器的IP,不是服務器的真實IP,那麼我們要怎樣獲取目標服務器真實的IP呢
5.2、判斷目標是否使用了CDN
可以通過ping目標域名來判斷,如下圖可以發現baidu服務器存在CDN服務
5.3、繞過CDN尋找真實的IP
介紹一些常規的方法
1、內部郵箱源。一般的郵箱系統在內部,沒有經過CDN解析。故可以ping郵箱服務器的域名,必須是目標自己的郵箱服務器,不是第三方或者公共郵箱服務器。
2、掃描網站測試文件,如phpinfo,teste=等
3、分站域名。一般來說主戰的訪問量比較大,所以是主張掛CDN,分站可能沒有掛。通過ping二級域名獲取分站IP,從而1推測主站IP
4、國外訪問。一般來說國內的CDN只對國內的用戶訪問加速,對國外就不一定了。可以通過國外在線代理網站App Synthetic Monitor訪問,可能會得到真實IP
5、查看域名解析記錄
6、如果目標網站有自己的App,通過抓包工具抓取App的請求,從而找到真實IP
7、通過CloudFlareWatch在線網站查找真實IP
5.4、如何驗證IP的真實性
可以手工直接訪問ip看響應頁面是否與訪問域名返回的頁面一樣。也可以通過工具批量訪問,如Masscan等工具。
6、敏感目錄文件收集
針對網站掃描工具,主要有DirBuster、御劍後臺掃描珍藏版、wwwscan、Spinder、Sensitivefilescan、Weakfilescan等
在線工作站有webSacn等
下面是DirBuster存在界面,需要java環境
Browse是選擇自己的字典也可以選擇工具自帶的字段,而list info是選擇自己的字典
對最後一個紅框進行說明,如果你選擇掃描的目錄爲http://www.wedd.com/admin/,那麼在URL to fuzz裏久有寫上“/admin/{dir}”,在{dir}前後都可以隨意拼接你想要的目錄或後綴