滲透專欄丨高效信息收集_成都創(chuàng)信華通信息技術(shù)有限公司

新聞動(dòng)態(tài) NEWS

咨詢服務(wù)熱線

400-6446-808

創(chuàng)安實(shí)驗(yàn)室專欄

您的當(dāng)前位置:首頁 > 創(chuàng)安實(shí)驗(yàn)室專欄

滲透專欄丨高效信息收集

發(fā)布者：創(chuàng)信華通發(fā)布時(shí)間：2022-09-21 瀏覽量：510次

寫在前面

古語有云：“學(xué)如逆水行舟，不進(jìn)則退?！泵鎸?duì)如今隨時(shí)都在變化的網(wǎng)絡(luò)安全環(huán)境更是如此。為此，創(chuàng)信華通微信公眾號(hào)特開設(shè)“滲透專欄”，以記錄創(chuàng)信華通創(chuàng)安攻防實(shí)驗(yàn)室在滲透技術(shù)上的探索，加強(qiáng)同行間的交流，相互學(xué)習(xí)，共同進(jìn)步。

? 高效信息收集

2022.08.26

在我看來，信息收集是滲透測(cè)試的本質(zhì)，信息收集作為滲透測(cè)試的前期主要工作，是非常重要的，甚至有的時(shí)候，只通過信息收集就可以簡單拿到目標(biāo)的shell了。

信息收集分為兩類：主動(dòng)信息收集+被動(dòng)信息收集。

主動(dòng)信息收集：直接訪問、掃描網(wǎng)站，這種流量將流經(jīng)網(wǎng)站，不可避免的留下了自己來過的痕跡；

被動(dòng)信息收集：利用第三方的服務(wù)對(duì)目標(biāo)進(jìn)行訪問連接，比如利用搜索引擎Google、Shodon等。

收集的內(nèi)容有很多，如whois信息、C段網(wǎng)站、服務(wù)器系統(tǒng)版本、容器版本、程序版本、數(shù)據(jù)庫類型、二級(jí)域名、防火墻、維護(hù)者信息等，但平時(shí)主要收集的內(nèi)容就是兩種：域名、IP。

關(guān)于域名

. 子域名收集

收集子域名可以擴(kuò)大滲透范圍，獲得更多有關(guān)目標(biāo)公司的資產(chǎn)信息，同一域名下的二級(jí)域名都屬于目標(biāo)范圍，表現(xiàn)形式：域名加前綴，例如：域名xxx.cn加前綴，abc.xxx.cn。

a.搜索引擎查找

FOFA(https://fofa.info/) title="公司名稱" ; domain="zkaq.cn"

百度(https://www.baidu.com/)：intitle=公司名稱；site:zkaq.cn

Google(https://www.google.com/)：intitle=公司名稱;site:zkaq.cn

鐘馗之眼(https://www.zoomeye.org/) site=域名即可 ;hostname:baidu.com

shodan(https://www.shodan.io/)：hostname:"baidu.com"

360測(cè)繪空間(https://quake.#/) ：domain:"zkaq.cn"

b.在線查詢

站長之家：http://tool.chinaz.com/

在線子域名查詢：https://phpinfo.me/domain/

dnsdumpster：https://dnsdumpster.com/

查詢網(wǎng)：https://site.ip138.com/

愛站：http://dns.aizhan.com

. 端口型站點(diǎn)收集

收集端口型站點(diǎn)和收集子域名是一樣的，都是擴(kuò)大滲透范圍，獲得更多有關(guān)目標(biāo)公司的資產(chǎn)信息，可以用御劍端口掃描器對(duì)全端口進(jìn)行掃描，也可以用fscan進(jìn)行全端口掃描。

. 目錄文件掃描

目錄掃描可以掃出來很多重要的資源，比如目錄型的站點(diǎn)、后臺(tái)、敏感文件，比如說：.git文件泄露，.git文件泄露，.svn文件泄露、phpinfo泄露等等。

a. 目錄掃描工具

御劍工具：圖形化的使用方式。

7kbstorm工具：圖形化的使用方式。

dirbuster工具：圖形化的使用方式。

dirmap工具：python3 dirmap.py -i url

dirsearch工具：python3 dirsearch.py -u url -e php

gobuster工具：gobuster dir -u "url" -w "字典路徑" -n -e -q --wildcard

b.github搜索

in:name huawei #倉庫標(biāo)題中含有關(guān)鍵字huawei

in:descripton Huawei.com #倉庫描述搜索含有關(guān)鍵字huawei

in:readme huawei #Readme文件搜素含有關(guān)鍵字Huawei

smtp 58.com password 3306 #搜索某些系統(tǒng)的密碼

c.google搜索

密碼搜索：

site:Github.com sa password

site:Github.com root password

site:Github.com User ID='sa';Password

site:Github.com inurl:sql

SVN 信息收集

site:Github.com svn

site:Github.com svn username

site:Github.com svn password

10.

site:Github.com svn username password

11.

綜合信息收集

12.

site:Github.com password

13.

site:Github.com ftp ftppassword

14.

site:Github.com 密碼

15.

site:Github.com 內(nèi)部

d.在線網(wǎng)站

烏云漏洞庫：https://wooyun.website/

網(wǎng)盤搜索：

凌云搜索 https://www.lingfengyun.com/

盤搜搜：http://www.pansoso.com/

e. 文件接口工具

jsfinder：https://gitee.com/kn1fes/JSFinder

Packer-Fuzzer: https://github.com/rtcatc/Packer-Fuzzer

SecretFinder：https://gitee.com/mucn/SecretFinder

. 旁站和C段

● 旁站：同一個(gè)服務(wù)器內(nèi)的站點(diǎn)。

● C段：同網(wǎng)段，不同服務(wù)器內(nèi)的站點(diǎn)。

a. 旁站查詢

站長之家：http://stool.chinaz.com/same

在線：https://chapangzhan.com/

搜索引擎：fofa： ip="1.1.1.0/24"

b. C段查詢

webscan：https://c.webscan.cc/

Nmap：

msscan：

. 網(wǎng)站技術(shù)架構(gòu)信息

了解了網(wǎng)站的基礎(chǔ)架構(gòu)信息，能夠幫助我們更有信心得去測(cè)試目標(biāo)系統(tǒng)。

a. 基礎(chǔ)知識(shí)

只列出一些↓：

常見的腳本類型語言：asp、php、aspx、jsp、cgi等等

網(wǎng)站類型：電商(偏向于業(yè)務(wù)邏輯漏洞)、論壇（站點(diǎn)層漏洞、邏輯類漏洞）、門戶類（綜合類漏洞）等等

數(shù)據(jù)庫：access、mysql、mssql、oracle、postsql等等

源碼與數(shù)據(jù)庫組合：asp+access、php+mysql、aspx+mssql、jsp+mssql、oracle、python+mongdb等等

除了這些外，還有加密的結(jié)構(gòu)、目錄結(jié)構(gòu)、常見端口號(hào)及對(duì)應(yīng)的服務(wù)等等這些都需要再進(jìn)行了解。

b. 網(wǎng)站頭信息

F12 , 瀏覽器內(nèi)獲取查看

在線網(wǎng)站：http://whatweb.bugscaner.com/look/

插件：Wappalyzer

curl命令查詢頭信息：curl https://bbs.zkaq.cn -i

. CMS識(shí)別

CMS可以說指的是網(wǎng)站的源碼，如果能識(shí)別出一個(gè)網(wǎng)站使用的哪一種CMS的話，那么可以通過搜索引擎去發(fā)現(xiàn)相應(yīng)的漏洞，若網(wǎng)站管理員沒有處理的話，則可以直接突破站點(diǎn)。

云悉：https://www.yunsee.cn/

whatweb：http://whatweb.bugscaner.com/look/

關(guān)于IP

. CDN

CDN可以說是一種資源服務(wù)器，不僅可以加速網(wǎng)站訪問，還可以提供waf服務(wù)，如防止cc攻擊，SQL注入攔截等多種功能，除此之外，還可以隱藏服務(wù)器的真實(shí)IP，cdn服務(wù)會(huì)根據(jù)你所在的地區(qū)，選擇合適的線路給予你訪問，所以如何繞過CDN就十分重要了。

a. CDN檢測(cè)

使用全球ping：不同的地區(qū)訪問有著不同的IP，這樣就確定了該域名使用了cdn了

http://ping.chinaz.com/

https://ping.aizhan.com/

https://www.17ce.com/

b.CDN繞過

繞過的核心還是hosts綁定，當(dāng)發(fā)現(xiàn)ip后，可以嘗試nc端口探測(cè)，也可以用nmap進(jìn)行服務(wù)探測(cè)，如果像正常的服務(wù)器，就可以模糊確定是真實(shí)IP。若發(fā)現(xiàn)真實(shí)ip，可進(jìn)行hosts綁定，繞過CDN的防御，直接發(fā)起滲透，也可以進(jìn)行IP反查，通過反查的網(wǎng)站來滲透。

1. 國外dns獲取真實(shí)IP：部分cdn只針對(duì)國內(nèi)的ip訪問，如果國外ip訪問域名即可獲取真實(shí)IP。

https://www.wepcc.com/

http://www.ab173.com/dns/dns_world.php

https://dnsdumpster.com/

https://who.is/whois/zkaq.cn

2. DNS歷史綁定記錄

https://dnsdb.io/zh-cn/ # DNS查詢，查看A記錄有哪些，需要會(huì)員。

https://x.threatbook.cn/ # 微步在線，需要登錄。

https://tools.ipip.net/cdn.php # CDN查詢IP

10.

https://sitereport.netcraft.com/ # 記錄網(wǎng)站的歷史IP解析記錄

11.

https://site.ip138.com/ # 記錄網(wǎng)站的歷史IP解析記錄

12.

3. 被動(dòng)獲取：讓目標(biāo)連接我們獲得真實(shí)IP。比如網(wǎng)站有編輯器可以填寫遠(yuǎn)程URL圖片，或者有SSRF漏洞。

. 主機(jī)發(fā)現(xiàn)

a. 二層發(fā)現(xiàn)

主要利用arp協(xié)議，速度快，結(jié)果可靠，不過只能再同網(wǎng)段內(nèi)的主機(jī)。

arping工具：arping 192.168.1.2 -c 1

nmap工具：192.168.1.1-254 –sn

netdiscover -i eth0 -r 192.168.1.0/24

scapy工具：sr1(ARP(pdst="192.168.1.2"))

b. 三層發(fā)現(xiàn)

主要利用ip、icmp協(xié)議，速度快但沒有二層發(fā)現(xiàn)快，可以經(jīng)過路由轉(zhuǎn)發(fā)，理論上可以探測(cè)互聯(lián)網(wǎng)上任意一臺(tái)存活主機(jī)，但很容易被邊界防火墻過濾。

ping工具：ping 192.168.1.2 –c 2

fping工具：fping 192.168.1.2 -c 1

Hping3工具：hping3 192.168.1.2 --icmp -c 2

Scapy工具：sr1(IP(dst="192.168.1.2")/ICMP())

nmap工具：nmap -sn 192.168.1.1-255

c. 四層發(fā)現(xiàn)

主要利用tcp、udp協(xié)議，速度比較慢，但是結(jié)果可靠，可以發(fā)現(xiàn)所有端口都被過濾的存活主機(jī)，不太容易被防火墻過濾。

Scapy工具：

sr1(IP(dst="192.168.1.2")/TCP(dport=80,flags='A') ,timeout=1)) #tcp發(fā)現(xiàn)

sr1(IP(dst="192.168.1.2")/UDP(dport=33333),timeout=1,verbose=1) #udp發(fā)現(xiàn)

nmap工具：

nmap 192.168.1.1-254 -PA80 –sn #tcp發(fā)現(xiàn)

nmap 192.168.1.1-254 -PU53 -sn #udp發(fā)現(xiàn)

hping3工具：

hping3 192.168.1.1 -c 1 #tcp發(fā)現(xiàn)

hping3 --udp 192.168.1.1 -c 1 #udp發(fā)現(xiàn)

. 操作系統(tǒng)識(shí)別

知道目標(biāo)存活主機(jī)的操作系統(tǒng)后，可以依據(jù)操作系統(tǒng)來實(shí)施針對(duì)性的滲透測(cè)試。

TTL值：Windows(65~128)，Linux/Unix(1-64)，某些Unix(255)

nmap工具：nmap 192.168.1.1 -O

xprobe2工具：xprobe2 192.168.1.1

p0f工具：使用后，直接訪問目標(biāo)即可

. 端口掃描

端口探測(cè)可以發(fā)現(xiàn)目標(biāo)服務(wù)器上開啟的網(wǎng)絡(luò)服務(wù)以及應(yīng)用程序，這些都是更具體的一些攻擊。

端口號(hào)	服務(wù)	攻擊方法
21/22/69	ftp/tftp文件傳輸協(xié)議	爆破嗅探溢出：后門
22	ssh遠(yuǎn)程連接	爆破OpenSSH；28個(gè)退格
23	telnet遠(yuǎn)程連接	爆破嗅探
25	smtp郵件服務(wù)	郵件偽造
53	DNS域名系統(tǒng)	DNS區(qū)域傳輸、DNS劫持、DNS緩存投毒、DNS欺騙、利用DNS隧道技術(shù)刺透防火墻
67/68	dhcp	劫持欺騙
110	pop3	爆破
139	samba	爆破未授權(quán)訪問、遠(yuǎn)程代碼執(zhí)行
143	imap	爆破
161	snmp	爆破
389	ldap	注入攻擊未授權(quán)訪問
512/513/514	linux r	直接使用rlogin
873	rsync	未授權(quán)訪問
1080	socket	爆破：進(jìn)行內(nèi)網(wǎng)穿透
1352	lotus	爆破；弱口令信息泄露；源代碼
1433	mssql	爆破：使用系統(tǒng)用戶登錄注入攻擊
1521	oracle	爆破；TNS攻擊
2049	nfs	配置不當(dāng)
2181	zookeeper	未授權(quán)訪問
3306	mysql	爆破拒絕服務(wù)；注入
3389	rdp	爆破shift后門
4848	glassfish	爆破；控制臺(tái)弱口令認(rèn)證繞過
5000	sybase/DB2	爆破注入
5432	postgresql	緩沖區(qū)溢出注入攻擊；爆破；弱口令
5632	pcanywhere	拒絕服務(wù)代碼執(zhí)行
5900	vnc	爆破；弱口令認(rèn)證繞過
6379	redis	未授權(quán)訪問爆破；弱口令
7001	weblogic	Java反序列化控制臺(tái)弱口令；控制臺(tái)部署webshell
8069	zabbix	遠(yuǎn)程命令執(zhí)行
8080-8090	web	常見web攻擊控制臺(tái)爆破、對(duì)應(yīng)服務(wù)器版本漏洞
9090	websphere控制臺(tái)	爆破；控制臺(tái)弱口令；Java反序列
9200/9300	elasticsearch	遠(yuǎn)程代碼執(zhí)行
11211	memcacache	未授權(quán)訪問
27017	mongodb	爆破；未授權(quán)訪問

scapy工具：

sr1(IP(dst="192.168.1.1")/UDP(dport=53),timeout=1,verbose=1) # UDP端口掃描

sr1(IP(dst="192.168.1.1")/TCP(dport=80),timeout=1,verbose=1) # TCP端口掃描

nmap工具：

nmap -sU 192.168.1.1 -p 53 # UDP端口掃描

nmap -sS 192.168.1.1 -p 80 # 半連接tcp掃描

nmap -sT 192.168.1.1 -p 80 # 全連接TCP掃描

nmap 192.168.1.1 -sI 192.168.1.2 -Pn -p 0-100 # 僵尸掃描

dmitry工具：dmitry -p 192.168.1.1

10.

nc工具：nc -nv -w 1 -z 192.168.1.1 1-100

11.

hping3工具：hping3 192.168.1.1 --scan 0-65535 -S

. 服務(wù)探測(cè)

nc工具：nc -nv 192.168.1.1 22

dmitry工具：dmitry -pb 192.168.1.1

nmap工具：

nmap -sT 192.168.1.1 -p 22 --script=banner

nmap 192.168.1.1 -p 80 -sV

nmap工具：

amap -B 192.168.1.1 1-65535 | grep on

amap 192.168.1.1 20-30 -qb

a. SNMP服務(wù)

SNMP是簡單網(wǎng)絡(luò)管理協(xié)議，由于經(jīng)常被管理員錯(cuò)誤配置，導(dǎo)致很容易造成系統(tǒng)的信息泄露。

onesixtyone工具：onesixtyone 192.168.1.1 public

snmpwalk工具：snmpwalk 192.168.1.1 -c public -v 2c

snmpcheck工具：snmpcheck -t 192.168.1.1 -c private -v 2

b. SMB服務(wù)

smb是一個(gè)協(xié)議名，它能被用于Web連接和客戶端與服務(wù)器之間的信息溝通。默認(rèn)開放，實(shí)現(xiàn)復(fù)雜，實(shí)現(xiàn)文件共享，這也是微軟歷史上出現(xiàn)安全問題最多的一個(gè)協(xié)議。

nmap工具：nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 192.168.1.1

nbtscan工具：-r 192.168.1.0/24

enum4linux工具：enum4linux -a 192.168.1.1

. 其他識(shí)別

防火墻識(shí)別：nmap -sA IP地址 -p 22

負(fù)載均衡識(shí)別：lbd url

WAF識(shí)別：nmap url --script=http-waf-detect.nse

參考文章

常見Web源碼泄露總結(jié)：https://www.secpulse.com/archives/55286.html

github 關(guān)鍵詞監(jiān)控：https://www.codercto.com/a/46640.html

利用GitHub搜索敏感信息：http://www.361way.com/github-hack/6284.html

Github 泄露掃描系統(tǒng)：https://www.oschina.net/p/x-patrol?hmsr=aladdin1e1

監(jiān)控github代碼庫：https://github.com/0xbug/Hawkeye

Goby工具：https://blog.csdn.net/Alexhcf/article/details/105109362

cms識(shí)別工具cmsIdentification：https://github.com/theLSA/cmsIdentification/

信息收集：https://mp.weixin.qq.com/s/rC3ccYGVUJgNTINQCB0Hyw

本文由創(chuàng)信華通創(chuàng)安攻防實(shí)驗(yàn)室編輯。

本文僅限于個(gè)人學(xué)習(xí)和技術(shù)研究，由于傳播、利用此文所提供的信息而造成刑事案件、非授權(quán)攻擊等違法行為，均由使用者本人負(fù)責(zé)，本單位不為此承擔(dān)任何責(zé)任。創(chuàng)安攻防實(shí)驗(yàn)室擁有對(duì)此文章的修改和解釋權(quán)，如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的完整性，包括版權(quán)聲明等全部內(nèi)容。

如有侵權(quán)，請(qǐng)聯(lián)系后臺(tái)。

●

創(chuàng)安攻防實(shí)驗(yàn)室

創(chuàng)安攻防實(shí)驗(yàn)室，是成都創(chuàng)信華通信息技術(shù)有限公司旗下的技術(shù)研究團(tuán)隊(duì)，成立于2021年9月，主要研究紅藍(lán)對(duì)抗、重大安全保障、應(yīng)急響應(yīng)等方向。

創(chuàng)安攻防實(shí)驗(yàn)室圓滿完成了多次公安舉辦的重要網(wǎng)絡(luò)安全保障和攻防演習(xí)活動(dòng)，并積極參加各類網(wǎng)絡(luò)安全競(jìng)賽，屢獲殊榮。

創(chuàng)安攻防實(shí)驗(yàn)室秉承創(chuàng)信華通的發(fā)展理念，致力打造國內(nèi)一流網(wǎng)絡(luò)安全團(tuán)隊(duì)。

·END·

上一條：msf漏洞驗(yàn)證

下一條：Nmap部分常規(guī)使用

返回列表