當你的才華
還撐不起你的野心時
那你就應該靜下心來學習
目錄
0x01 域名查詢
Whois 查詢
站長之家
愛站
ASN 信息關聯
介紹
AS 代表自治系統,是指在一個(有時是多個)實體管轄下的所有IP段和路由器的全體,它們對互聯網執行共同的路由策略。(參考自自治系統)
概覽
- IP段就是類似於1.0.2.0-1.0.2.255或者1.0.2.0/24的形式
- ASN(Autonomous system number)自治系統編號
- BGP(Border Gateway Protocol)邊界網關協議
1. IP段
IP段除了本身的IP地址屬性,還可以有物理位置的屬性,和運營商的屬性。
2. ASN
AS 代表自治系統,是指在一個(有時是多個)實體管轄下的所有IP段和路由器的全體,它們對互聯網執行共同的路由策略。(參考自自治系統)
3. BGP
邊界網關協議(BGP)是互聯網上一個核心的去中心化自治路由協議。它通過維護IP路由表或‘前綴’表來實現自治系統(AS)之間的可達性,屬於矢量路由協議。BGP不使用傳統的內部網關協議(IGP)的指標,而使用基於路徑、網絡策略或規則集來決定路由。因此,它更適合被稱爲矢量性協議,而不是路由協議。(參考自邊界網關協議)
4. 聯繫
AS就像是一個國家,裏面所有的IP就像是內部居民,內部路由表就是溝通內部居民得橋樑。如果居民想要跟其他國家的人聊天,就需要用BGP進行聯繫。BGP相當於國與國之間的橋樑。
ANS 掃描工具
https://github.com/yassineaboukir/Asnlookup
全球IP/ASN由ICANN負責分配和管理,ICANN將部分IP地址分配給地區級的Internet註冊機構 (RIR),然後由這些RIR負責該地區的登記註冊服務。
目前全球一共有5大RIR機構:
- 北美地區(ARIN): ftp://ftp.arin.net/pub/stats/arin/delegated-arin-extended-latest
- 歐洲地區(RIPE): ftp://ftp.ripe.net/ripe/stats/delegated-ripencc-latest
- 非洲地區(AFRINIC):ftp://ftp.afrinic.net/pub/stats/afrinic/delegated-afrinic-latest
- 亞太地區(APNIC): ftp://ftp.apnic.net/pub/stats/apnic/delegated-apnic-latest
- 拉丁美洲(LACNIC): ftp://ftp.lacnic.net/pub/stats/lacnic/delegated-lacnic-latest
在線ANS 查詢
爲什麼要去查詢ASN信息關聯呢?
因爲,在網絡中一個自治系統(Autonomous System, AS)是一個有權自主地決定在本系統中應採用何種路由協議的小型單 位。這個網絡單位可以是一個簡單的網絡也可以是一個由一個或多個普通的網絡管理員來控制的網絡羣體,它是一個 單獨的可管理的網絡單元(例如一所大學,一個企業或者一個公司個體)。 一個自治系統有時也被稱爲是一個路由選擇域(routing domain)。一個自治系統將會分配一個全局的唯一的16位 號碼,這個號碼被稱爲自治系統號(ASN)。因此可以通過ASN號來查找可能相關的IP,例如:
nmap --script targets-asn --script-args targets-asn.asn=23724
運行結果:
0x02 第三方查詢
-
DNS信息蒐集
-
DNS枚舉
-
指紋識別
0x03 搜索引擎蒐集敏感信息
以下命令可組合查詢,威力更強大(最好不要帶 www,因爲不帶的話可以檢測二級域名)
site:域名(指定查某站點的所有頁面)
inurl:inc(sql,bak,sql,mdf,login) //搜索含指定文件的頁面
filetype:mdb //查找指定文件
inurl:"Vieweframe?Mode= //搜索在線監控設備
intext:to parent directory //IIS配置不當可遍歷目錄
parent directory site:testfire.net
例:
site:abc.com inurl:login(登錄):
site:abc.com filetype:mdb(inc,conf,sql):
intext:to parent directory intext:to parent directory
site:abc.com inurl:asp?id=
site:example.com intext:管理|後臺|登陸|
用戶名|密碼|驗證碼|系統|帳號|manage|admin|login|system
site:heimian.com inurl:login|admin|manage|manager|admin_login|login_admin|system
0x04 自動化信息蒐集和安全審計工具
自動化信息蒐集和安全審計工具:
Unicornscan
Unicornscan 是一個信息收集和安全審計的工具。
us H msf Iv IP p 165535
us H mU Iv IP p 1 65535
H 在生成報告階段解析主機名 Iv 詳細結果
m 掃描類型 ( sf: tcp , U:udp )
Metagoofil 元數據收集工具
$ python metagoofil.py d example.com t doc,pdf l 200 n 50 o examplefiles f results.html
0x05 Samba 探測
利用smbclient工具可以獲得這個TCP的139端口服務的旗標 smbclient -L 192.168.50.102 -N smbclient連接到192.168.50.102,然後顯示服務信息。
-N 選項表示沒有目標的root密碼。
我們可以利用這個服務的版本信息來搜索針對這個服務可能存在的漏洞,如:
searchploit samba 枚舉 Samba nmblookup A target smbclient //MOUNT/share -I target -N rpcclient U "" target enum4linux target
0x06 SNMP 探測
枚舉 SNMP
snmpget v 1 c public IP snmpwalk v 1 c public IP snmpbulkwalk v2c c public Cn0 Cr10 IP
snmp自動探測工具
windows: SNScan(www.foundstone.com/us/resources/proddec/scan.htm) linux: onesixtyone
nmblookup -A target
smbclient //MOUNT/share -I target -N rpcclient -U "" target 枚舉Snmp掛載遠程 Windows 共享文件夾
smbmount //X.X.X.X/c$ /mnt/remote/ -o username=user,password=pass,rw
mount –t smbfs //192.168.0.103/c /mnt/remote -o username=administrator
mount.cifs //192.168.2.230/job /mnt/share -o username=administartor%123456
smbclient //192.168.1.114/d -U administrator%333333
新版:
mount -t cifs -o username=user,pass=password //127.0.0.1/shared /mnt
linux下NetBIOS信息探測: nmbscan 工具(nmbscan.g76r.eu/)
0x07 服務掃描
1.Web服務:
nmap -sS -PS80 -p 80 –oG web.txt
use auxiliary/sanner/http/webdav_scanner(Webdav服務器)
2.SSH服務:
Nmap
use auxiliary/sanner/ssh/ssh_version
猜解:use auxiliary/sanner/ssh/ssh_login
3.Telnet服務
use auxiliary/sanner/telnet/telnet_version
4.FTP服務
use auxiliary/sanner/ftp/ftp_version
use auxiliary/sanner/ftp/anonymous //探測是否允許匿名登錄
5.SMB服務:
猜解:use auxiliary/smb/smb_login(易被記錄)
use exploit/windows/smb psexec #憑證攻擊登錄域控制器
use auxiliary/admin/smb/psexec_command #命令執行
6.Oracle服務:
nmap -sS -p 1521 IP
use auxiliary/sanner/oracle/tnslsnr_version
7.Mssql服務:
nmap -sS -p T:1433,U:1434 IP
nmap –sU 192.168.33.130 -p1434
use auxiliary/sanner/mssql/mssql_ping
8.Mysql服務:
use auxiliary/sanner/mysq/mysql_version發現mysql服務
use auxiliary/scanner/mysql/mysql
9.VNC服務
use auxiliary/sanner/vnc/vnc_none_auth //探測VNC空口令
10.SNMP服務:
use auxiliary/sanner/snmp/snmp_enum
猜解:
use auxiliary/sanner/snmp_login
admsnmp IP –wordfile snmp.password [-outputfile <name>]
利用字符串獲取系統信息:./snmpenum.pl IP 字符串 cisco.txt(linux.txt)
11.OpenX11空口令:
use auxiliary/scanner/x11/open_x11
當掃描到此漏洞的主機後可以使用 xspy工具來監視對方的鍵盤輸入: cd/pentest/sniffers/xspy/
xspy –display 192.168.1.100:0 –delay 100
0x08 指紋識別
操作系統指紋
nmap -O IP
use auxiliary/scanner/smb/smb_version
xprobe2 ip/域名
xprobe2 -v -p tcp:80:open IP
HTTP 指紋
nc -nvv ip port
telnet ip port
httsquash –r IP/域名 (backtrack: pentest/scanners/httsquash)
whatweb IP/域名
端口探測
nmap -T4 –sS –Pn IP
nmap -T4 –sV –Pn IP
amap –A IP 端口號
amap –bqv IP 端口號
zmap -p 端口 ip段 -o output.txt -B 10M -i eth0
nc v w 1 target z 11000
端口暴力破解
常見爆破端口
- MySQL 3306
- RDP 3389
- FTP 21
- SSH 22
- Telent 23
- SMTP 25
- DNS 53 UDP
- SMB 137/139/14
- SNMP 161
- LDAP 389
- Rsync 873
- RPC 1025
- MSSQL 1433
- Java RMI 1099
- Oracle 1521
- NFS 2049
- ZooKeeper 2181
- Postgres 5432
- CouchDB 5984
- Redis 6379
- Elasticsearch 9200
- Memcached 11211
- MongoDB 27017
- Hadoop 50070
主機發現
arping -c 請求包數量 IP段
genlist -s 10.10.10.\*
nbtscan 192.168.1.1-255
nmap -sP -PN IP段 | grep for
nmap -PU -sn IP段
use auxiliary/scanner/discoveryarp-sweep
netdiscover
fping cat IP.txt | grep alive > alive.txt
fping -a -s -f /root/ip.txt
*IP文件中,每個ip或域名佔一行。-g 10.10.10.0 10.10.10.255
主機發現,生成存活主機列表
$ nmap -sn -T4 -oG Discovery.gnmap 192.168.56.0/24 && grep "Status: Up" Discovery.gnmap | cut -f 2 -d ' ' > LiveHosts.txt
注:
我們可以利用其它在線主機作爲誘餌主機,這樣掃描時會盡量少留下我們自己的ip,增加追查難度。
舉例:
192.168.1.15,192.168.1.16是誘餌主機,192.168.1.12是我們要掃描的主機
nmap -D192.168.1.15,192.168.1.16,ME -p 21,22,80,443 -Pn 192.168.1.12
參數解釋
- D開關表示實施一次誘餌掃描,-D後面緊跟選擇好的誘餌主機的IP地址列表並且這些主機都在線
- Pn不發ping請求包,-p選擇掃描的端口範圍。“ME”可以用來代替輸入自己主機的IP。
防火牆探測
版本探測:
wafw00f URL
nmap掃描策略
nmap -sP -PE -PP -PS21,22,23,25,80,113,31339 -PA80,113,443,10042 –source-port 53 -T4 -iL tcp-allports-1M-IPs
- -iL tcp-allports-1M-Ips:使用產生的IP地址
- –source-port 53 :指定發送包的源端口爲53,該端口是DNS查詢端口,
- 一般的防火牆都允許來自此端口的數據包
- -T:時序級別爲4,探測速度比較快
以TCP SYN包方式探測目標機的21,22,23,25,80,113,31339端口,以TCP ACK包方式探測對方80,113,443,10042端口
發送ICMP ECHO/ICMP TIMESTAMP包探測對方主機
只要上述的探測包中得到一個回覆,就可以證明目標主機在線。
過濾狀態:
nmap -sS -T4 www.fakefirewall.com //探測端口開放狀態
nmap -sF -T4 www.fakefirewall.com // FIN掃描識別端口是否關閉
nmap -sA -T4 www.fakefirewall.com // ACK掃描判斷端口是否被過濾
nmap -sW -p- -T4 docsrv.caldera.com //發送ACK包探測目標端口(只適合TCPIP協議棧)
FIN掃描:收到RST回覆說明該端口關閉,否則說明是open或filtered狀態。
ACK掃描:未被過濾的端口(無論打開、關閉)都會回覆RST包。
將ACK與FIN掃描的結果結合分析,我們可以找到很多開放的端口。例如7號端口,FIN中得出的狀態是:open或filtered,從ACK中得出的狀態是 unfiltered,那麼該端口只能是open的。
0x09 電子郵件/用戶名/子域名信息蒐集工具
theharvester:theharvester -d baidu.com -l 100 -b bing (通過bing蒐集)
通過LinkedIn.com查找蒐集目標用戶名
theharvester -d baidu.com -l 100 -b linkedin.com
Recon-ng工具
root@kali:~/recon-ng# ./recon-ng
[recon-ng][default] > use recon/companies-contacts/linkedin_crawl
[recon-ng][default][linkedin_crawl] > set URL http://www.xxx.com/
[recon-ng][default][linkedin_crawl] > run
查看聯繫人
[recon-ng][default] > show contacts
0x10 谷歌搜索引擎收集
“Login: ” “password =” filetype: xls ( 搜索存儲在excel文件中含有password的數據)。
allinurl: auth_user_file.txt (搜索包含在服務器上的 auth_user_file.txt 的文件)。
filetype: xls inurl: “password.xls” (查找 用戶名和密碼以excel格式)這個命令可以變爲“admin.xls”.
intitle: login password (獲取登陸頁面的連接,登陸關鍵詞在標題中。)
intitle: “Index of” master.passwd (密碼頁面索引)
index of / backup ( 搜索服務器上的備份文件)
intitle: index.of people.lst (包含people.list的網頁)
intitle: index.of passwd.bak ( 密碼備份文件)
intitle: “Index of” pwd.db (搜索數據庫密碼文件).
intitle: “Index of .. etc” passwd (安裝密碼建立頁面索引).
index.of passlist.txt (以純文本的形式加載包含passlist.txt的頁面).
index.of.secret (顯示包含機密的文檔,.gov類型的網站除外) 還可以使用: index.of.private
filetype: xls username password email (查找表格中含有username和password的列的xls文件).
PhpMyAdmin MySQL-Dump” filetype: txt (列出包含敏感數據的基於PHP的頁面)
inurl: ipsec.secrets-history-bugs (包含只有超級用戶纔有的敏感數據). 還有一種舊的用法
inurl: ipsec.secrets “holds shared secrets”
inurl: ipsec.conf-intitle: manpage
inurl: “wvdial.conf” intext: “password” (顯示包含電話號碼,用戶名和密碼的連接。)
inurl: “user.xls” intext: “password” (顯示用戶名和密碼存儲在xls的鏈接。)
filetype: ldb admin (web服務器查找存儲在數據庫中沒有唄googledork刪去的密碼。)
inurl: search / admin.php (查找admin登陸的php頁面). 如果幸運的話,還可以找到一個管理員配置界面創建一個新用戶。
inurl: password.log filetype:log (查找特定鏈接的日誌文件。)
filetype: reg HKEY_CURRENT_USER username (在HCU (Hkey_Current_User)路徑中查找註冊表文件(registyry)。)
還有很多命令可以用來抓取密碼或者搜素機密信息。
“Http://username: password @ www …” filetype: bak inurl: “htaccess | passwd | shadow | ht
users” (這條命令可以找到備份文件中的用戶名和密碼。)
filetype:ini ws_ftp pwd (通過ws_ftp.ini 文件查找admin用戶的密碼)
intitle: “Index of” pwd.db (查找加密的用戶名和密碼)
inurl:admin inurl:backup intitle:index.of (查找關鍵詞包含admin和backup的目錄。)
“Index of/” “Parent Directory” “WS _ FTP.ini” filetype:ini WS _ FTP PWD (WS_FTP 配置文件, 可以獲取FTP服務器的進入權限)
ext:pwd inurl:(service|authors|administrators|users) “# -FrontPage-”
filetype: sql ( “passwd values *” |” password values *” | “pass values **“) 查找存儲在數據庫中的sql代碼和密碼。)
PS:tips
- 查詢不區分大小寫
- * 代表某一個單詞
- 默認用and OR 或者 | 代表邏輯或
- 單詞前跟+表強制查詢
- 引號引起來可以防止常見詞被忽略
- 括號會被忽略
0x11 域名相關性
- 查詢域名註冊郵箱
- 通過域名查詢備案號
- 通過備案號查詢域名
- 反查註冊郵箱
- 通過註冊人查詢到的域名在查詢郵箱
- 通過上一步郵箱去查詢域名
- 查詢以上獲取出的域名的子域名
0x12 網站信息利用
0x13 證書透明度
0x14 域傳送漏洞
0x15 Passive DNS
0x16 SPF記錄
0x17 CDN
CDN驗證
域名查找
歷史記錄查找
子域爆破
搜索空間
- Shodan
- ZoomEye
- fofa
快照
搜索引擎的快照中也常包含一些關鍵信息,如程序報錯信息可以會泄漏網站具體路徑,或者一些快照中會保存一些測 試用的測試信息,比如說某個網站在開發了後臺功能模塊的時候,還沒給所有頁面增加權限鑑別,此時被搜索引擎抓 取了快照,即使後來網站增加了權限鑑別,但搜索引擎的快照中仍會保留這些信息。
另外,也有專門的站點快照提供快照功能,如 Wayback Machine 和 Archive.org
0x18 站點信息
- 目錄掃描
- 判斷網站操作系統
- 掃描敏感文件
- 確定網站採用的語言
- 前端框架
- 中間件服務器
- Web容器
- 後端框架
- CDN信息
- 探測WAF類型
- 信息泄露
- 被動爬蟲掃描網站
- 拿到一定信息後,通過拿到的目錄名稱,文件名稱及文件擴展名瞭解網站開發人員的命名思路,確定其命名規
- 則,推測出更多的目錄及文件名
0x19 社工收集信息
企業信息收集
員工信息收集
針對人員的信息收集考慮對目標重要人員、組織架構、社會關係的收集和分析。其中重要人員主要指高管、系統管理 員、運維、財務、人事、業務人員的個人電腦。
人員信息收集較容易的入口點是網站,網站中可能包含網站的開發、管理維護等人員的信息。
從網站聯繫功能中和代碼的註釋信息中都可能得到的所有開發及維護人員的姓名和郵件地址及其他聯繫方式。
在獲取這些信息後,可以在Github/Linkedin等網站中進一步查找這些人在互聯網上發佈的與目標站點有關的一切 信息,分析並發現有用的信息。
此外,可以對獲取到的郵箱進行密碼爆破的操作,獲取對應的密碼。
還有,員工離職的話,有些個人電腦會攜帶一些之前公司的敏感信息,可以考慮從離職員工方面入手,說不定公司刪除郵箱賬號等信息刪除不及時,可被我們利用。
0x20 郵箱
拿郵箱弱口令+默認密碼裝庫+各種外部泄露的密碼,郵件系統本身可能也存在00day,要麼用00day直接打,我反正手上沒有,因爲我太菜了,那麼就只能靠社工或釣魚咯,例如:釣賬號密碼【發郵件給受害者,內容爲:你好,你的賬號因爲近期有異常登陸情況,請登陸查看,如有疑問請聯繫管理員。鏈接:https://www.xxx.com】或給對方發送木馬郵件
- Exchange
- 億郵
- Coremail
- anymacro
- 華爲 anymail
- webmail
- zimbra
- 阿里企業郵
- 騰訊企業郵
- 網易企業郵
- Office 365
- 163 郵箱
- F
- Coremail論客郵箱
... ... ... ... ... ... ....
有些郵件系統,可能我們拿到權限及時直接能跟內網互通,如果不能就只能提權與橫向移動,還有一些郵件的話,我們可以重點關注XSS 組合拳打法,還有收集不同郵箱的弱口令字典
0x21 VPN
利用VPN 程序自身的RCE或00day,弱口令+默認密碼裝庫+各種外部泄露的密碼,釣賬號密碼【發郵件給受害者,內容爲:你好,你的賬號因爲近期有異常登陸情況,請登陸查看,如有疑問請聯繫管理員。鏈接:https://www.xxx.com】或給對方發送木馬郵件
常見VPN
- Juniper VPN
- Cisco VPN
- Sangfor VPN
- Sonicwall VPN
- Fortigate VPN
- NetScaler Gateway SSLVPN
... ... ... ... ... ... ....
0x22 OA 辦公系統
利用OA 程序自身的RCE或00day,弱口令+默認密碼裝庫+各種外部泄露的密碼,釣賬號密碼【發郵件給受害者,內容爲:你好,你的賬號因爲近期有異常登陸情況,請登陸查看,如有疑問請聯繫管理員。鏈接:https://www.xxx.com】或給對方發送木馬郵件
- 泛微
- 用友
- 致遠
- 通達
- 金蝶
- 金智
... ... ... ... ... ... ....
0x23 監控系統入口
- zabbbix
- nagios
- cacti
... ... ... ... ... ... ....
0x024 EDR Web
- 360 天擎
- 賽門鐵克
- 江民網絡版殺毒
- 卡巴
- 麥咖啡
- sangfor
... ... ... ... ... ... ....
0x25 堡壘機
- 齊治
- 網禦
- 綠盟
- Jumpserver
- 帕拉迪
... ... ... ... ... ... ....
0x26 雲虛擬化 Web
- Citrix
- VMware
- VirtualBox
- Hyper-V
... ... ... ... ... ... ....
0x27 公網漏掃平臺
- Nessus Web 控制檯
- 防火牆 / 入侵檢測系統 Web 入口,弱口令
- 瑞星防毒牆
- 藍盾防毒牆
- 綠盟入侵檢測系統 [ NSFOCUS ]
... ... ... ... ... ... ....
0x28 開源 / 閉源 CMS,OA等弱口令、0day
- EWEB 網管系統
- Sangfor 上網行爲管理
- 禪道
- easysite
- jeecms
- trs
- 國微 CMS
- PageAdminsudo: unable to resolve host 報錯
- TurboCMS 站羣
- 大漢 cms
- 方正翔宇
- joomla
- 博達站羣
... ... ... ... ... ... ....
有很多信息收集手段,看個人習慣吧,詳細的就不寫了,自己琢磨吧,一起進步。
參考鏈接:
某知識星球大佬們的文獻,自己按照自己想說的話補充出來,覺得侵權的,私聊我刪除
https://www.jianshu.com/p/13055e508a45
https://www.cnblogs.com/itfat/p/10251649.html
https://zh.wikipedia.org/wiki/%E8%87%AA%E6%B2%BB%E7%B3%BB%E7%BB%9F
雖然我們生活在陰溝裏,但依然有人仰望星空!