咨询服务热线
400-6446-808
创安实验室专栏
您的当前位置:首页 > 创安实验室专栏
写在前面
✎ 高效信息收集
2022.08.26
在我看来,信息收集是渗透测试的本质,信息收集作为渗透测试的前期主要工作,是非常重要的,甚至有的时候,只通过信息收集就可以简单拿到目标的shell了。
信息收集分为两类:主动信息收集+被动信息收集。
主动信息收集:直接访问、扫描网站,这种流量将流经网站,不可避免的留下了自己来过的痕迹;
被动信息收集:利用第三方的服务对目标进行访问连接,比如利用搜索引擎Google、Shodon等。
收集的内容有很多,如whois信息、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息等,但平时主要收集的内容就是两种:域名、IP。
. 子域名收集
收集子域名可以扩大渗透范围,获得更多有关目标公司的资产信息,同一域名下的二级域名都属于目标范围,表现形式:域名加前缀,例如:域名xxx.cn加前缀,abc.xxx.cn。
a.搜索引擎查找
b.在线查询
. 端口型站点收集
收集端口型站点和收集子域名是一样的,都是扩大渗透范围,获得更多有关目标公司的资产信息,可以用御剑端口扫描器对全端口进行扫描,也可以用fscan进行全端口扫描。
. 目录文件扫描
目录扫描可以扫出来很多重要的资源,比如目录型的站点、后台、敏感文件,比如说:.git文件泄露,.git文件泄露,.svn文件泄露、phpinfo泄露等等。
a. 目录扫描工具
b.github搜索
c.google搜索
d.在线网站
e. 文件接口工具
. 旁站和C段
● 旁站:同一个服务器内的站点。
● C段:同网段,不同服务器内的站点。
a. 旁站查询
b. C段查询
. 网站技术架构信息
了解了网站的基础架构信息,能够帮助我们更有信心得去测试目标系统。
a. 基础知识
b. 网站头信息
. CMS识别
CMS可以说指的是网站的源码,如果能识别出一个网站使用的哪一种CMS的话,那么可以通过搜索引擎去发现相应的漏洞,若网站管理员没有处理的话,则可以直接突破站点。
. CDN
CDN可以说是一种资源服务器,不仅可以加速网站访问,还可以提供waf服务,如防止cc攻击,SQL注入拦截等多种功能,除此之外,还可以隐藏服务器的真实IP,cdn服务会根据你所在的地区,选择合适的线路给予你访问,所以如何绕过CDN就十分重要了。
a. CDN检测
b.CDN绕过
绕过的核心还是hosts绑定,当发现ip后,可以尝试nc端口探测,也可以用nmap进行服务探测,如果像正常的服务器,就可以模糊确定是真实IP。若发现真实ip,可进行hosts绑定,绕过CDN的防御,直接发起渗透,也可以进行IP反查,通过反查的网站来渗透。
. 主机发现
a. 二层发现
主要利用arp协议,速度快,结果可靠,不过只能再同网段内的主机。
b. 三层发现
主要利用ip、icmp协议,速度快但没有二层发现快,可以经过路由转发,理论上可以探测互联网上任意一台存活主机,但很容易被边界防火墙过滤。
c. 四层发现
主要利用tcp、udp协议,速度比较慢,但是结果可靠,可以发现所有端口都被过滤的存活主机,不太容易被防火墙过滤。
. 操作系统识别
知道目标存活主机的操作系统后,可以依据操作系统来实施针对性的渗透测试。
. 端口扫描
端口探测可以发现目标服务器上开启的网络服务以及应用程序,这些都是更具体的一些攻击。
端口号 | 服务 | 攻击方法 |
21/22/69 | ftp/tftp文件传输协议 | 爆破嗅探 溢出:后门 |
22 | ssh远程连接 | 爆破OpenSSH;28个退格 |
23 | telnet远程连接 | 爆破嗅探 |
25 | smtp邮件服务 | 邮件伪造 |
53 | DNS域名系统 | DNS区域传输、DNS劫持、DNS缓存投毒、DNS欺骗、利用DNS隧道技术刺透防火墙 |
67/68 | dhcp | 劫持欺骗 |
110 | pop3 | 爆破 |
139 | samba | 爆破未授权访问、远程代码执行 |
143 | imap | 爆破 |
161 | snmp | 爆破 |
389 | ldap | 注入攻击未授权访问 |
512/513/514 | linux r | 直接使用rlogin |
873 | rsync | 未授权访问 |
1080 | socket | 爆破:进行内网穿透 |
1352 | lotus | 爆破;弱口令信息泄露;源代码 |
1433 | mssql | 爆破:使用系统用户登录注入攻击 |
1521 | oracle | 爆破;TNS攻击 |
2049 | nfs | 配置不当 |
2181 | zookeeper | 未授权访问 |
3306 | mysql | 爆破拒绝服务;注入 |
3389 | rdp | 爆破shift后门 |
4848 | glassfish | 爆破;控制台弱口令认证绕过 |
5000 | sybase/DB2 | 爆破注入 |
5432 | postgresql | 缓冲区溢出注入攻击;爆破;弱口令 |
5632 | pcanywhere | 拒绝服务代码执行 |
5900 | vnc | 爆破;弱口令认证绕过 |
6379 | redis | 未授权访问爆破;弱口令 |
7001 | weblogic | Java反序列化控制台弱口令;控制台部署webshell |
8069 | zabbix | 远程命令执行 |
8080-8090 | web | 常见web攻击控制台爆破、对应服务器版本漏洞 |
9090 | websphere控制台 | 爆破;控制台弱口令;Java反序列 |
9200/9300 | elasticsearch | 远程代码执行 |
11211 | memcacache | 未授权访问 |
27017 | mongodb | 爆破;未授权访问 |
. 服务探测
a. SNMP服务
SNMP是简单网络管理协议,由于经常被管理员错误配置,导致很容易造成系统的信息泄露。
b. SMB服务
smb是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。默认开放,实现复杂,实现文件共享,这也是微软历史上出现安全问题最多的一个协议。
. 其他识别
常见Web源码泄露总结:https://www.secpulse.com/archives/55286.html
github 关键词监控:https://www.codercto.com/a/46640.html
利用GitHub搜索敏感信息:http://www.361way.com/github-hack/6284.html
Github 泄露扫描系统:https://www.oschina.net/p/x-patrol?hmsr=aladdin1e1
监控github代码库:https://github.com/0xbug/Hawkeye
Goby工具:https://blog.csdn.net/Alexhcf/article/details/105109362
cms识别工具cmsIdentification:https://github.com/theLSA/cmsIdentification/
信息收集:https://mp.weixin.qq.com/s/rC3ccYGVUJgNTINQCB0Hyw
本文由创信华通创安攻防实验室编辑。
本文仅限于个人学习和技术研究,由于传播、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者本人负责,本单位不为此承担任何责任。创安攻防实验室拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。
如有侵权,请联系后台。
●
创安攻防实验室
创安攻防实验室,是成都创信华通信息技术有限公司旗下的技术研究团队,成立于2021年9月,主要研究红蓝对抗、重大安全保障、应急响应等方向。
创安攻防实验室圆满完成了多次公安举办的重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。
创安攻防实验室秉承创信华通的发展理念,致力打造国内一流网络安全团队。
·END·