01常規資訊收集
02網路資訊收集
03后臺查找總結
04CDN繞過總結
05KALI資訊收集
01常規資訊收集
資訊收集
網路情況分析
web方向資訊收集
服務器方向資訊收集
網路設備資訊收集
目標物件分析
單個目標服務器(非web)
Web服務器
整個網路拓撲
內網:
網路設備:交換機、路由器、防火墻、ids、等
網路中的服務器:檔案服務器、dns、http、域控制器等
外網:
相關聯的其他服務器(ip關聯、服務關聯)
旁站、c段、郵件服務器、dns服務器、代理服務器等
資訊收集的目的:
更好更更全面發現網路安全問題,網路資訊,為漏洞分析,內網滲透做好鋪墊,
問?我們要去收集哪些資訊
問?我們要收集誰的資訊
答:要根據滲透的目標來進行收集
收集這個ip對外所開放的所有服務,哪些服務會被黑客入侵
多針對web漏洞收集,因為web漏洞多
owasp top10
非其他服務:
1.漏洞利用 smb:08067 17-010 rdp:12-020
2.爆破口令 root 測驗弱口令 服務的權限在系統中可能是sys tem權限
3.欺騙 arp欺騙:資料被人嗅探竊取,
4.釣魚 敏感資訊被人竊取
等等很多
服務怎么收集:
掃埠:nmap
拿到了服務器權限,就得以服務器為跳板打入內網
web方向資訊收集:
域名資訊
敏感目錄
旁站C段
整站分析
谷歌hacker
url采集
資訊分析
域名資訊:
對應ip收集
相關域名對應ip,相關工具:nslookup、一些工具網站
①收集到ip可以查看時哪個機房有沒有waf
例如:ping www.fanghan521.com 回傳結果1.1.1.1 通過百度ip查詢:青島 阿里云
//阿里云就知道不能用工具掃,不能用sqlmap跑,會封Ip
//通過ip反查,看看出來目標站還有沒有其他旁站,
②子域名收集:
側重于:學校 大學站點 機構 大型公司 大型政府 企業 團體機構
例如:齊魯理工大學,每一個科目都會有一個站,主站一般安全性比較高,子站一般都是內部人訪問,
找到主站域名qlit.edu.cn
子域名挖掘機:qlit.edu.cn //注意子域名挖掘的掛的ie,得把代理去掉,埠可以加3306.3389
很多子域名:根據容器分析漏洞存在情況優先測驗
iis apache nginx tomcat jboss //iis 6.0 7.0 8.0 10.0//大多是windows搭建有低版本先搞低版本asp aspx php等低版本會有決議漏洞
apache(win32)//一般都是集成環境phpstudy upupw 寶塔,phpstudy有phpmyadmin,mysql,可能root root就登進去了
大學這種一般會買一個端,子域名的機房會在公網端,那不到主域名可以進行嗅探
subDomainsBrute-master(工具):解壓到python2里去
命令:subDomainsBrute.py 目標域名
③whois(注冊人)資訊查詢
根據已知域名反查,分析出此域名的注冊人、郵箱、電話等
工具:愛站網、站長工具、微步在線(https://x.threatbook.cn)
site.ip138.com、searchdns.netcraft.com
whois:
注冊人姓名
注冊人郵箱
注冊人電話
注冊人地址
域名注冊時間
等等
對應利用:
1.社工庫查詢 //郵箱的密碼可以用來撞目標站庫
2.注冊人反查 //注冊人其他站如果有注入,可以通過裝好密碼去撞目標站庫
3.郵箱反查
4.社工 // 社工注冊域名的運營商,提供電話地址注冊時間等
敏感目錄:
收集方向
robots.txt 后臺目錄 安裝包 上傳目錄 mysql管理介面 安裝頁面 phpinfo、編輯器、iis短檔案,分析網站cms
常用工具
字典爆破 >> 御劍、dirbuster、wwwscan、IIS_shortname_Scanner等
蜘蛛爬行 >> 爬行菜刀、webrobot,burp等
robots.txt:fanghan.com/robost.txt記錄了不允許百度谷歌蜘蛛爬行的目錄//證明該目錄很重要
后臺目錄:御劍無字典掃描,御劍,御劍后臺珍藏版,DirBuster,中國菜刀爬行
DirBuster使用:域名,執行緒,字典,php,安全狗防止---options--advanced--httpopxx---打開Dirbus檔案位置---bypass.txt--找到不攔截的百度爬蟲的放進去---ok開始
旁站c段
旁站:同服務器其他站點
C段:同一網段其他服務器
收集方向:域名、埠、目錄
常用工具:
web >> http://www.5kik.com/c/、目錄掃描工具
埠 >> portscan
測不到主站,去測旁站或者c段
知道旁站:1ip,
2域名, //ip反查找目錄工具python Toos ai-c.py
3不同埠,
4二級目錄
ai-c.py工具使用:需要安裝bs4 requests模塊
,運行后會在d:/t11.csv生成一個檔案,打開后保存在記事本里,再次使用,
埠收集:
Scanpout:
其實ip目標地址
結束ip
設定高危的埠
目錄:
通過二級目錄子目錄來看有沒有建立網站
整站分析
服務器型別
服務器平臺、版本等 //系統,版本
網站容器
搭建網站的服務組件,例如:iis、Apache、nginx、tomcat等
腳本型別
ASP、PHP、JSP、aspx等
資料庫型別
access、sqlserver、mysql、oracle、postgresql等
CMS型別 //y
WAF
更好的去發掘漏洞,了解網站的架構,
fanghan.com:
asp的腳本型別,一般windows站居多
通過檢查Network訪問他的回應包// microsoft-IIS/10 windows2016
ASP小企業一般都是access資料庫
cms識別:輕量指紋識別,云溪指紋識別系統
WAF and 1=1 或者掃描掃一下就知道是否攔截了
谷歌黑客語法:
1.Intext:? ?? ?
查找網頁中含有xx關鍵字的網站? ?例:Intext:管理員登錄
2.Intitle:??
查找某個標題? ?? ?例:intitle:后臺登錄
3.Filetype:
查找某個檔案型別的檔案?例:資料挖掘 filetype:doc
4.Inurl:?
查找url中帶有某欄位的網站例:inurl:php?id=?
5.Site:?
在某域名中查找資訊?
6.intitile:<%eval( ,intitle:<eval($_POST //查看tile是否被植入一句話
思路:
site:qlit.edu.cn inurl:asp?id= //可以找找目標站aso的站點,asp好搞一點
site:jp //日本 測驗日本的網站
inurl:fackeditor
inurl:upload //上傳
采集相關url的同類網站
例如:
php?id=
漏洞網站
相同某種指紋網站
常用工具
谷歌hacker
url采集器
url采集需要4個東西
requests bs4 selenium chromedriver
打開谷歌查看版本號
百度搜索python selenium chromedriver下載對應驅動
驅動放到python目錄下
原理:用selenium去驅動谷歌瀏覽器,模擬正常用戶搜索
1.打開url采集文本模式轉到48行:broeser.get('http://www.baidu.com')
2.打開url資訊采集 轉到51行
query = "需要去百度采集的內容"
3.右鍵進入windows powershell //如果沒有就得打開一級一級進入目錄
4.cmd
5.python3 baidu_url采集.py //回車執行
6保存位置在d盤 fi = open('d:/bai_url.txt', 'a')
url采集后批量利用:
工具M7lrvCMS
右鍵匯入
右鍵掃描
思路,1000個旁站可以用來工具掃漏
服務器方向資訊收集:
服務資訊收集:
網路服務:web/ftp/telnet/ssh/mail/mysql/mssql/oracle/rdp
服務版本,漏洞等相關資訊收集
系統版本資訊收集
除了web服務,其他服務靠的是埠
工具Scan port 看看埠開放//出現不在知道的埠就用nmap去識別
nc telnel去鏈接ip加埠
網路開放埠
路由
防火墻
代理服務器等相關設備的收集
shodan
例如測驗目標
web沒有漏洞
但通過子網獲取到了一個網段
通過shodan來分析ip
可能一些ip用在了攝像頭服務器上, 攝像頭服務器可能就是默認口令
這些攝像頭服務器都可以web管理,拿到get shell進行提權
shodan網路搜索引擎偏向網路設備以及服務器的搜索,具體內容可上網查閱,這里給出它的高級搜索語法,
地址:https://www.shodan.io/
搜索語法
hostname: 搜索指定的主機或域名,例如 hostname:”google”
port: 搜索指定的埠或服務,例如 port:”21”
country: 搜索指定的國家,例如 country:”CN”
city: 搜索指定的城市,例如 city:”Hefei”
org: 搜索指定的組織或公司,例如 org:”google”
isp: 搜索指定的ISP供應商,例如 isp:”China Telecom”
product: 搜索指定的作業系統/軟體/平臺,例如 product:”Apache httpd”
version: 搜索指定的軟體版本,例如 version:”1.6.2”
geo: 搜索指定的地理位置,例如 geo:”31.8639, 117.2808”
before/after: 搜索指定收錄時間前后的資料,格式為dd-mm-yy,例如 before:”11-11-15”
net: 搜索指定的IP地址或子網,例如 net:”210.45.240.0/24”
censys搜索引擎
censys搜索引擎功能與shodan類似,以下幾個檔案資訊,
地址:https://www.censys.io/
搜索語法
默認情況下censys支持全文檢索,
23.0.0.0/8 or 8.8.8.0/24 可以使用and or not
80.http.get.status_code: 200 指定狀態
80.http.get.status_code:[200 TO 300] 200-300之間的狀態碼
location.country_code: DE 國家
protocols: (“23/telnet” or “21/ftp”) 協議
tags: scada 標簽
80.http.get.headers.server:nginx 服務器型別版本
autonomous_system.description: University 系統描述
正則
FoFa搜索引擎
FoFa搜索引擎偏向資產搜索,
地址:https://fofa.so
搜索語法
title=”abc” 從標題中搜索abc,例:標題中有北京的網站,
header=”abc” 從http頭中搜索abc,例:jboss服務器,
body=”abc” 從html正文中搜索abc,例:正文包含Hacked by,
domain=”qq.com” 搜索根域名帶有qq.com的網站,例: 根域名是qq.com的網站,
host=”.gov.cn” 從url中搜索.gov.cn,注意搜索要用host作為名稱,
port=”443” 查找對應443埠的資產,例: 查找對應443埠的資產,
ip=”1.1.1.1” 從ip中搜索包含1.1.1.1的網站,注意搜索要用ip作為名稱,
protocol=”https” 搜索制定協議型別(在開啟埠掃描的情況下有效),例: 查詢https協議資產,
city=”Beijing” 搜索指定城市的資產,例: 搜索指定城市的資產,
region=”Zhejiang” 搜索指定行政區的資產,例: 搜索指定行政區的資產,
country=”CN” 搜索指定國家(編碼)的資產,例: 搜索指定國家(編碼)的資產,
cert=”google.com” 搜索證書(https或者imaps等)中帶有google.com的資產,
高級搜索:
title=”powered by” && title!=discuz
title!=”powered by” && body=discuz
( body=”content=\”WordPress” || (header=”X-Pingback” && header=”/xmlrpc.php” && body=”/wp-includes/“) ) && host=”gov.cn”
鐘馗之眼
鐘馗之眼搜索引擎偏向web應用層面的搜索,
地址:https://www.zoomeye.org/
搜索語法
app:nginx 組件名
ver:1.0 版本
os:windows 作業系統
country:”China” 國家
city:”hangzhou” 城市
port:80 埠
hostname:google 主機名
site:thief.one 網站域名
desc:nmask 描述
keywords:nmask’blog 關鍵詞
service:ftp 服務型別
ip:8.8.8.8 ip地址
cidr:8.8.8.8/24 ip地址段
后臺查找總結
1 弱口令默認后臺:admin,admin/login.asp,manage,login.asp等等常見后臺
2 查看網頁的鏈接:一般來說,網站的主頁有管理登陸類似的東西,有些可能被管理員刪掉
3 查看網站圖片的屬性
4 查看網站使用的管理系統,從而確定后臺
5 用工具查找:wwwscan,intellitamper,御劍
6 robots.txt的幫助:robots.txt檔案告訴蜘蛛程式在服務器上什么樣的檔案可以被查看
7 GoogleHacker
8 查看網站使用的編輯器是否有默認后臺
9 短檔案利用
10 sqlmap --sql-shell load_file('d:/wwroot/index.php');
目錄掃描找后臺 考目錄字典(字典的大小在于找目錄是否準確)
爬行蜘蛛 爬去的是網站的超鏈接
例如qasdadmin這個后臺字典沒有,但爬行蜘蛛可能會爬出來,所有后臺和自己最好一起去執行他,
一般后臺地址
admin
admin.asp
managr
houtai
guanli
admin888
織夢:dede
DZ:admin.php
phpv9:admin.php
admin.php
帝國:e/amin
動易:admin
aspcms:admin_aspcms
客信:admin/login.asp
找不到就去掃,爬
谷歌語法
site:baidu.com inurl:admin
后臺子域名:
admin.xxx.com
manage.xxx.com //菠菜大多會在這上面
高危埠:
192.168.8.1:高位埠
ip:8000/8888/9999
運營商搜索法:
復制運營商去百度,搜索出來成千上萬的運營商,總有一個頁面會顯示登錄,然后復制該登錄頁面的地址,使用到目標站
ip反查域名:
目標站點招不到后臺,就去旁站找后臺,因為大多都是一家運營商建立的,
旁站cms不一樣但可能后臺路徑是一樣的
編輯器
ewebeditor/admin_login.asp//登錄編輯器一樣可以拿到webshell
CDN繞過
什么是CDN
如何判斷網站有沒有使用CDN(超級ping)
1.查找二級域名
2.讓服務器主動給你發包(郵件)
3.敏感檔案泄露
4.查詢歷史決議ip
訪問繞過cdn
修改hosts檔案
CDN主要用來加速的
百度為了全國方便用戶使用會在各地放5個快取服務器
當決議服務器,實際上就決議的是1.cdn快取服務器,這樣你訪問的速度會快一點
但真實與你互動的是百度的真實服務器
攻擊一個網站,沒有繞過CDN訪問真實ip的話,你的攻擊是無效的,
站長工具ping測驗:
全國各地的ip都顯示相同就證明沒有做CDN,反正不一樣的就證明有
二級域名查找方法:
www.qlit.edu.cn //該主站掛了CDN
bbsqlit.edu.cn //子域名可能就沒掛CDN//通過很多子域名去分析
驗證方法:
系結hosts:
c---windows---system32---drivers---hosts
152.265.256.25 bbsqlit.edu.cn
瀏覽器輸入152.265.256.25回傳結果如果是目標二級站,那么就是真實ip
原理:服務器ip都得系結決議域名
2.讓服務器主動給你發包(郵件
打開郵箱:顯示原檔案,找到從哪個Ip發送的,一般就是真實iP
3.查看ip歷史決議記錄
網址ip138
輸入域名
發現更換了ip決議,可能就是使用了cdn,看他以前的ip可能就是真實ip.把之前的域名ip保存和hosts做一個系結試試,
4.app如果網站由app就抓包,去分析他的介面,就能找到真實Ip
KALI 資訊收集工具使用
新建---典型---稍后安裝---Linux---Debian 8*64位---名稱Kali---KAli111---20G--記憶體2G
虛擬機設定聲卡,列印去掉---CD/DVD---加載ISO鏡像KAli-Linux-2019.2-admin64.iso
開啟虛擬機---install安裝---簡體中文---中國---漢語---回車--回車---root密碼123123--設定磁盤---推薦新手----改變寫入---yes----
手機kali-安卓系統安裝
需要下載三個軟體
Linux deploy/ssh/vnc
設定源ip
http://202.141.160.110/kali
連接配置安裝軟體
kali系統
用KALI會經常更新,會涉及到源:網路服務器軟體倉庫地址
源的路徑地址 /etc/apt/sources.list這里面
vi /etc/apt/sources.list //配置完源
注意:w3af要地址包
1.apt-get update //更新源,升級一下
2.apt-get install 軟體名稱 例如 apt-get install sqlmap //安裝sqlmap
3.apt-get remove 軟體名稱 例如 apt-get remove sqlmap //卸載sqlmap
4.sqlmap回車
deb的包
dpkg -i xxxx.deb
deb如果有依賴關系怎么辦?
1.先執行apt-get --fix-broken install
2.dpkg -i xxxx.deb
Kali---資訊收集
Robots檔案探測
DNS資訊收集
敏感目錄探測
埠探測
整站識別
Waf探測
工具型站的使用
Google語法
Robots檔案
獲取網站隱藏敏感目錄活檔案
比如:安裝目錄,上傳目錄,編輯器目錄,管理目錄,管理頁面等
DNS搜集
搜集網站域名資訊,如子域名,其他域名,決議服務器,區域傳送漏洞等
常用工具:dnsenum、dig、fierce
Whois資訊搜集
Whois qufutuan.com
dnsenum 可以通過字典或者谷歌猜測可能存在的域名,并對一個網段進行反查,
dnsenum --enum cracer.com 獲取其他域名
-r 允許用戶設定遞回查詢
-w允許用戶設定whois請求,
-o 允許用戶指定輸入檔案位置
dnsenum重點
他會查到域名對應決議的ip
對域名做的dns服務器
會測有沒有右鍵服務器
通過測得dns服務器有沒有區域檔案傳輸漏洞AXFR
AXFR區域檔案傳輸:
卡里模擬目標地址站的DNS服務器,向主域名去申請下載里的組態檔,下載成功,那么目標域名站里的組態檔就會被下載到本地,導致敏感檔案,敏感服務器泄露
fierce 工具主要是對子域名進行掃描和收集資訊的,使用fierce工具獲取一個目標主機上所有ip地址和主機資訊,還可以測驗區域傳送漏洞,
fierce -dns baidu.com 獲取其他域名
--wordlist 指定字典
fierce -dns ns9.baidu.com --wordlist host.txt /tmp/12.txt
//該工具可以測dns資訊以及他的子域名
內容:
測出做決議的服務器數量
在對做區域檔案傳送測驗
對工具自帶的字典進行子域名爆破,
dig工具也是一款比較流行的dns偵查工具
dig www.cracer.com 查詢dns
dig -t ns cracer.com 找決議域名的授權dns
dig axfr @ns1.dns.net cracer.com //查找指定的dns服務器有沒有區域檔案傳輸漏洞
敏感目錄探測
暴力破解
暴力破解的方法就是需要一個強大的目錄名稱字典,用來嘗試逐個匹配,
如果存在通過回應嗎的回顯來確定目錄或者頁面是否存在
目錄爬行
目錄爬行原理是通過一些自帶網路蜘蛛爬行的工具對網站鏈接進行快速爬行
目錄暴力破解工具
dirb 工具是一款非常好用的目錄暴力猜解工具,自帶強大字典
dirb http://www.cracer.com
dirb https://www.cracer.com
dirb http://www.cracer.com /usr/wordlist.txt
dirb http://www.cracer.com/a/ //掃描指定目錄
dirb http://www.cracer.com -X 123.html // 把結果保存指定檔案
dirb http://www.cracer.com /usr/share/dirb/wordlists/xxxx.txt //指定用字典路徑
dirb http://www.cracer.com -a "百度爬蟲地址" -c "cookie資訊" -H "請求頭"
//dirb好處就是掃描字典用的遞回目錄去掃
目錄暴力破解工具
dirbuster工具是一款非常好用的目錄暴力猜解工具,自帶強大字典
目錄爬行:
burpsuite
埠探測
nmap
整站識別
whatweb
用來識別網站cms 及大家平臺環境的工具
whatweb -v http://www.cracer.com
平臺、腳本、cms、容器、資料庫等資訊探測
//識別出整個網站的頭部資訊
//分析出:
系統版本
容器版本
腳本型別
資料庫
探測waf的工具
wafw00f http://www.qufu123.com
// 國外準一點,國內還好,直接and 1=1
工具型網站
netcraft
searchdns.netcraft.com
站長工具
http://tool.chinaz.com/
愛站
http://www.aizhan.com/
shodan.io
Google hacker
綜合掃描工具
DMitry(Deepmagic Information Gathering Tool)是一個一體化的資訊收集工具, 是一個收集框架
它可以用來收集以下資訊:
1. 埠掃描
2. whois主機IP和域名資訊
3. 從Netcraft.com獲取主機資訊
4. 子域名
5. 域名中包含的郵件地址
盡管這些資訊可以在Kali中通過多種工具獲取,但是使用DMitry可以將收集的資訊保存在一個檔案中,方便查看,
dmitry -wnpb cracer.com
dmitry -winse cracer.com 掃描網站注冊資訊
dmitry -p cracer.com -f -b 查看主機開放埠
Recon-ng
與MSF的使用方法非常類似,插播一下msf使用基礎流程,
第一步:search name模塊
第二步:use name模塊
第三步:info 查看模塊資訊
第四步:show payloads 查看該模塊可以使用的攻擊載荷(為scanner的時候不需要)
第五步:set payload 載荷
第六步:show targets查看該攻擊載荷使用的系統型別(為scanner的時候不需要)
第七步:set targets num 設定目標的系統型別
啟動命令
Recon-ng
模塊分類:
Recon modules//資訊收集模塊
Reporting modules//報告模塊
Import modules //匯入模塊
EXPloitation modules//漏洞利用模塊
Discovery modules//發現模塊
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/445.html
標籤:其他
上一篇:05HTML
下一篇:07.漏洞分析