咨询电话:400-6446-808
新闻动态 NEWS

咨询服务热线

400-6446-808

创安实验室专栏
您的当前位置:首页 > 创安实验室专栏
渗透专栏丨高效信息收集
发布者:创信华通  发布时间:2022-09-21  浏览量:281次


写在前面

古语有云:“学如逆水行舟,不进则退。”面对如今随时都在变化的网络安全环境更是如此。为此,创信华通微信公众号特开设“渗透专栏”,以记录创信华通创安攻防实验室在渗透技术上的探索,加强同行间的交流,相互学习,共同进步。




✎ 高效信息收集

  2022.08.26



在我看来,信息收集是渗透测试的本质,信息收集作为渗透测试的前期主要工作,是非常重要的,甚至有的时候,只通过信息收集就可以简单拿到目标的shell了。

信息收集分为两类:主动信息收集+被动信息收集。

主动信息收集:直接访问、扫描网站,这种流量将流经网站,不可避免的留下了自己来过的痕迹;

被动信息收集:利用第三方的服务对目标进行访问连接,比如利用搜索引擎Google、Shodon等。

收集的内容有很多,如whois信息、C段网站、服务器系统版本、容器版本、程序版本、数据库类型、二级域名、防火墙、维护者信息等,但平时主要收集的内容就是两种:域名、IP。



关于域名


1

. 子域名收集

收集子域名可以扩大渗透范围,获得更多有关目标公司的资产信息,同一域名下的二级域名都属于目标范围,表现形式:域名加前缀,例如:域名xxx.cn加前缀,abc.xxx.cn。

a.搜索引擎查找

1.

FOFA(https://fofa.info/) title="公司名称" ; domain="zkaq.cn"  

2.

百度(https://www.baidu.com/):intitle=公司名称;site:zkaq.cn  

3.

Google(https://www.google.com/):intitle=公司名称;site:zkaq.cn  

4.

钟馗之眼(https://www.zoomeye.org/) site=域名即可 ;hostname:baidu.com  

5.

shodan(https://www.shodan.io/):hostname:"baidu.com"  

6.

360测绘空间(https://quake.360.cn/) :domain:"zkaq.cn"  

b.在线查询

1.

站长之家:http://tool.chinaz.com/  

2.

在线子域名查询:https://phpinfo.me/domain/  

3.

dnsdumpster:https://dnsdumpster.com/  

4.

查询网:https://site.ip138.com/  

5.

爱站:http://dns.aizhan.com 


2

. 端口型站点收集

收集端口型站点和收集子域名是一样的,都是扩大渗透范围,获得更多有关目标公司的资产信息,可以用御剑端口扫描器对全端口进行扫描,也可以用fscan进行全端口扫描。


3

. 目录文件扫描

目录扫描可以扫出来很多重要的资源,比如目录型的站点、后台、敏感文件,比如说:.git文件泄露,.git文件泄露,.svn文件泄露、phpinfo泄露等等。

a. 目录扫描工具

1.

御剑工具:图形化的使用方式。

2.

7kbstorm工具:图形化的使用方式。 

3.

dirbuster工具:图形化的使用方式。 

4.

dirmap工具:python3 dirmap.py -i url 

5.

dirsearch工具:python3 dirsearch.py -u url -e php  

6.

gobuster工具:gobuster dir -u "url" -w "字典路径" -n -e -q --wildcard  

b.github搜索

1.

in:name huawei #仓库标题中含有关键字huawei

2.

in:descripton Huawei.com #仓库描述搜索含有关键字huawei  

3.

in:readme huawei #Readme文件搜素含有关键字Huawei  

4.

smtp 58.com password 3306 #搜索某些系统的密码  

c.google搜索

1.

密码搜索:

2.

  site:Github.com sa password  

3.

  site:Github.com root password  

4.

  site:Github.com User ID='sa';Password

5.

  site:Github.com inurl:sql  

6.

SVN 信息收集

7.

  site:Github.com svn

8.

  site:Github.com svn username  

9.

  site:Github.com svn password 

10.

  site:Github.com svn username password  

11.

综合信息收集  

12.

  site:Github.com password

13.

  site:Github.com ftp ftppassword  

14.

  site:Github.com 密码 

15.

  site:Github.com 内部

d.在线网站

1.

乌云漏洞库:https://wooyun.website/  

2.

网盘搜索:

3.

  凌云搜索  https://www.lingfengyun.com/  

4.

  盘搜搜:http://www.pansoso.com/  

e. 文件接口工具

1.

jsfinder:https://gitee.com/kn1fes/JSFinder

2.

Packer-Fuzzer: https://github.com/rtcatc/Packer-Fuzzer

3.

SecretFinder:https://gitee.com/mucn/SecretFinder


4

. 旁站和C段

● 旁站:同一个服务器内的站点。

● C段:同网段,不同服务器内的站点。

a. 旁站查询

1.

站长之家:http://stool.chinaz.com/same  

2.

在线:https://chapangzhan.com/  

3.

搜索引擎:fofa: ip="1.1.1.0/24"  

b. C段查询

1.

webscan:https://c.webscan.cc/ 

2.

Nmap:

3.

msscan:  


5

. 网站技术架构信息

了解了网站的基础架构信息,能够帮助我们更有信心得去测试目标系统。

a. 基础知识

1.

只列出一些↓:  

2.

常见的脚本类型语言:asp、php、aspx、jsp、cgi等等  

3.

网站类型:电商(偏向于业务逻辑漏洞)、论坛(站点层漏洞、逻辑类漏洞)、门户类(综合类漏洞)等等  

4.

数据库:access、mysql、mssql、oracle、postsql等等

5.

源码与数据库组合:asp+access、php+mysql、aspx+mssql、jsp+mssql、oracle、python+mongdb等等  

6.

除了这些外,还有加密的结构、目录结构、常见端口号及对应的服务等等这些都需要再进行了解。  

b. 网站头信息

1.

F12 , 浏览器内获取查看

2.

在线网站:http://whatweb.bugscaner.com/look/ 

3.

插件:Wappalyzer 

4.

curl命令查询头信息:curl https://bbs.zkaq.cn -i


6

. CMS识别

CMS可以说指的是网站的源码,如果能识别出一个网站使用的哪一种CMS的话,那么可以通过搜索引擎去发现相应的漏洞,若网站管理员没有处理的话,则可以直接突破站点。

1.

云悉:https://www.yunsee.cn/  

2.

whatweb:http://whatweb.bugscaner.com/look/  



关于IP


1

. CDN

CDN可以说是一种资源服务器,不仅可以加速网站访问,还可以提供waf服务,如防止cc攻击,SQL注入拦截等多种功能,除此之外,还可以隐藏服务器的真实IP,cdn服务会根据你所在的地区,选择合适的线路给予你访问,所以如何绕过CDN就十分重要了。

a. CDN检测

1.

使用全球ping:不同的地区访问有着不同的IP,这样就确定了该域名使用了cdn了 

2.

http://ping.chinaz.com/  

3.

https://ping.aizhan.com/ 

4.

https://www.17ce.com/ 

b.CDN绕过

绕过的核心还是hosts绑定,当发现ip后,可以尝试nc端口探测,也可以用nmap进行服务探测,如果像正常的服务器,就可以模糊确定是真实IP。若发现真实ip,可进行hosts绑定,绕过CDN的防御,直接发起渗透,也可以进行IP反查,通过反查的网站来渗透。

1.

1. 国外dns获取真实IP:部分cdn只针对国内的ip访问,如果国外ip访问域名 即可获取真实IP。

2.

  https://www.wepcc.com/ 

3.

  http://www.ab173.com/dns/dns_world.php

4.

  https://dnsdumpster.com/

5.

  https://who.is/whois/zkaq.cn

6.

2. DNS历史绑定记录

7.

  https://dnsdb.io/zh-cn/  # DNS查询,查看A记录有哪些,需要会员。

8.

  https://x.threatbook.cn/ # 微步在线,需要登录。

9.

  https://tools.ipip.net/cdn.php # CDN查询IP

10.

  https://sitereport.netcraft.com/ # 记录网站的历史IP解析记录

11.

  https://site.ip138.com/ # 记录网站的历史IP解析记录

12.

3. 被动获取:让目标连接我们获得真实IP。比如网站有编辑器可以填写远程URL图片,或者有SSRF漏洞。


2

. 主机发现

a. 二层发现

主要利用arp协议,速度快,结果可靠,不过只能再同网段内的主机。

1.

arping工具:arping 192.168.1.2 -c 1

2.

nmap工具:192.168.1.1-254 –sn

3.

netdiscover -i eth0 -r 192.168.1.0/24

4.

scapy工具:sr1(ARP(pdst="192.168.1.2"))  

b. 三层发现

主要利用ip、icmp协议,速度快但没有二层发现快,可以经过路由转发,理论上可以探测互联网上任意一台存活主机,但很容易被边界防火墙过滤。

1.

ping工具:ping 192.168.1.2 –c 2

2.

fping工具:fping 192.168.1.2 -c 1

3.

Hping3工具:hping3 192.168.1.2 --icmp -c 2

4.

Scapy工具:sr1(IP(dst="192.168.1.2")/ICMP()) 

5.

nmap工具:nmap -sn 192.168.1.1-255

c. 四层发现

主要利用tcp、udp协议,速度比较慢,但是结果可靠,可以发现所有端口都被过滤的存活主机,不太容易被防火墙过滤。

1.

Scapy工具:

2.

  sr1(IP(dst="192.168.1.2")/TCP(dport=80,flags='A') ,timeout=1))  #tcp发现

3.

  sr1(IP(dst="192.168.1.2")/UDP(dport=33333),timeout=1,verbose=1)  #udp发现

4.

nmap工具:

5.

  nmap 192.168.1.1-254 -PA80 –sn #tcp发现

6.

  nmap 192.168.1.1-254 -PU53 -sn #udp发现

7.

hping3工具:

8.

  hping3 192.168.1.1 -c 1 #tcp发现

9.

  hping3 --udp 192.168.1.1 -c 1 #udp发现


3

. 操作系统识别

知道目标存活主机的操作系统后,可以依据操作系统来实施针对性的渗透测试。

1.

TTL值:Windows(65~128),Linux/Unix(1-64),某些Unix(255)

2.

nmap工具:nmap 192.168.1.1 -O

3.

xprobe2工具:xprobe2 192.168.1.1

4.

p0f工具:使用后,直接访问目标即可


4

. 端口扫描

端口探测可以发现目标服务器上开启的网络服务以及应用程序,这些都是更具体的一些攻击。

端口号

服务

攻击方法

21/22/69

ftp/tftp文件传输协议

爆破嗅探 溢出:后门

22

ssh远程连接

爆破OpenSSH;28个退格

23

telnet远程连接

爆破嗅探

25

smtp邮件服务

邮件伪造

53

DNS域名系统

DNS区域传输、DNS劫持、DNS缓存投毒、DNS欺骗、利用DNS隧道技术刺透防火墙

67/68

dhcp

劫持欺骗

110

pop3

爆破

139

samba

爆破未授权访问、远程代码执行

143

imap

爆破

161

snmp

爆破

389

ldap

注入攻击未授权访问

512/513/514

linux r

直接使用rlogin

873

rsync

未授权访问

1080

socket

爆破:进行内网穿透

1352

lotus

爆破;弱口令信息泄露;源代码

1433

mssql

爆破:使用系统用户登录注入攻击

1521

oracle

爆破;TNS攻击

2049

nfs

配置不当

2181

zookeeper

未授权访问

3306

mysql

爆破拒绝服务;注入

3389

rdp

爆破shift后门

4848

glassfish

爆破;控制台弱口令认证绕过

5000

sybase/DB2

爆破注入

5432

postgresql

缓冲区溢出注入攻击;爆破;弱口令

5632

pcanywhere

拒绝服务代码执行

5900

vnc

爆破;弱口令认证绕过

6379

redis

未授权访问爆破;弱口令

7001

weblogic

Java反序列化控制台弱口令;控制台部署webshell

8069

zabbix

远程命令执行

8080-8090

web

常见web攻击控制台爆破、对应服务器版本漏洞

9090

websphere控制台

爆破;控制台弱口令;Java反序列

9200/9300

elasticsearch

远程代码执行

11211

memcacache

未授权访问

27017

mongodb

爆破;未授权访问

1.

scapy工具:

2.

  sr1(IP(dst="192.168.1.1")/UDP(dport=53),timeout=1,verbose=1)    # UDP端口扫描

3.

  sr1(IP(dst="192.168.1.1")/TCP(dport=80),timeout=1,verbose=1)    # TCP端口扫描

4.

nmap工具:

5.

  nmap -sU 192.168.1.1 -p 53  # UDP端口扫描

6.

  nmap -sS 192.168.1.1 -p 80  # 半连接tcp扫描

7.

  nmap -sT 192.168.1.1 -p 80 # 全连接TCP扫描

8.

  nmap 192.168.1.1 -sI 192.168.1.2 -Pn -p 0-100 # 僵尸扫描  

9.

dmitry工具:dmitry -p 192.168.1.1

10.

nc工具:nc -nv -w 1 -z 192.168.1.1 1-100

11.

hping3工具:hping3 192.168.1.1 --scan 0-65535 -S


5

. 服务探测

1.

nc工具:nc -nv 192.168.1.1 22

2.

dmitry工具:dmitry -pb 192.168.1.1

3.

nmap工具:

4.

  nmap -sT 192.168.1.1 -p 22 --script=banner

5.

  nmap 192.168.1.1 -p 80 -sV

6.

nmap工具:

7.

  amap -B 192.168.1.1 1-65535 | grep on

8.

  amap 192.168.1.1 20-30 -qb

a. SNMP服务

SNMP是简单网络管理协议,由于经常被管理员错误配置,导致很容易造成系统的信息泄露。

1.

onesixtyone工具:onesixtyone 192.168.1.1 public

2.

snmpwalk工具:snmpwalk 192.168.1.1 -c public -v 2c

3.

snmpcheck工具:snmpcheck -t 192.168.1.1 -c private -v 2

b. SMB服务

smb是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。默认开放,实现复杂,实现文件共享,这也是微软历史上出现安全问题最多的一个协议。

1.

nmap工具:nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 192.168.1.1

2.

nbtscan工具:-r 192.168.1.0/24

3.

enum4linux工具:enum4linux -a 192.168.1.1


6

. 其他识别

1.

防火墙识别:nmap -sA IP地址 -p 22

2.

负载均衡识别:lbd url

3.

WAF识别:nmap url --script=http-waf-detect.nse



参考文章

常见Web源码泄露总结:https://www.secpulse.com/archives/55286.html

github 关键词监控:https://www.codercto.com/a/46640.html

利用GitHub搜索敏感信息:http://www.361way.com/github-hack/6284.html

Github 泄露扫描系统:https://www.oschina.net/p/x-patrol?hmsr=aladdin1e1

监控github代码库:https://github.com/0xbug/Hawkeye

Goby工具:https://blog.csdn.net/Alexhcf/article/details/105109362

cms识别工具cmsIdentification:https://github.com/theLSA/cmsIdentification/

信息收集:https://mp.weixin.qq.com/s/rC3ccYGVUJgNTINQCB0Hyw


本文由创信华通创安攻防实验室编辑。

本文仅限于个人学习和技术研究,由于传播、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者本人负责,本单位不为此承担任何责任。创安攻防实验室拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。


如有侵权,请联系后台。




创安攻防实验室

创安攻防实验室,是成都创信华通信息技术有限公司旗下的技术研究团队,成立于2021年9月,主要研究红蓝对抗、重大安全保障、应急响应等方向。

创安攻防实验室圆满完成了多次公安举办的重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

创安攻防实验室秉承创信华通的发展理念,致力打造国内一流网络安全团队。


·END·




上一条:msf漏洞验证
下一条:Nmap部分常规使用
返回列表

咨询热线:400-6446-808 联系电话:400-6446-808 公司地址:成都市武侯区天府二街蜀都中心一期2号楼3003

您身边值得信赖的网络安全综合服务商!

版权所有:成都创信华通信息技术有限公司