记录一下

域名信息

Whois 查询

  Whois 是用于查询域名是否被注册及注册域名的详细信息的数据库(域名所有人,域名注册商)。

kali 内置 Whois ,直接查询即可

国内常用的网站 如下:
   爱站工具网(https://whois.aizhan.com
   站长之家(http://whois.chinaz.com
   VirusTotal(https://www.virustotal.com
   阿里 Whois(https://www.alibabacloud.com/zh/whois

备案查询

  国内网站都需要备案,可以通过 备案进行查询。
   ICP/IP 地址/域名信息备案管理系统(https://beian.miit.gov.cn/
   天眼查(http://tianyancha.com

Google Hacking

  Google 引擎语法,其它引擎大致上差不多,有的有些区别。常用如下:

关键词说明
site指定域名
inurlURL 中存在关键字的网页
intext网页正文中的关键字
filetype指定文件类型
intitle网页标题中的关键字
linklink:baidu.com 即表示所有和 baidu.com 做了链接的 URL
info查找指定站点的一些基本信息
cache搜索 Google 里有关某些内容的缓存

  使用 Burp Suite 的 Repeater 功能也能获取一些服务器信息,本质上是对回报进行了解码,可以根据解码内容判断。

子域名信息收集

  网站规模较大的情况下,从主域名下手不太可能。搜索高价值子域名(二级域名)有以下一些 工具
   Layer 子域名挖掘机
   Sublist3r
   subDomainsBrute
   K8
   wydomain
   dnsmaper
   maltego CE

搜索引擎枚举
   除了用工具,还可以是用前面的 Google Hacking 语法,如: site:baidu.com

第三方平台
   举例: DNSdumpster(https://dnsdumpster.com

  证书透明度公开日志枚举
   证书透明度(CT)是证书授权机构(CA)的一个项目,CA 会将每个 SSL/TLS 证书发布到公共日志中。一个 SSL/TLS 证书通常包含域名、子域名和邮件地址。下面是一些公开的 CT 日志:
    crt.sh(https://crt.sh
    censys(https://censys.io

端口信息收集

  工具太多,举例:Nmap,msscan,ZMap,御剑高速 TCP 端口扫描工具。

  常见端口:
  文件共享服务端口

端口号端口说明攻击方向
21/22/69FTP/Tftp 文件传输协议允许匿名上传、下载、爆破和嗅探操作
2049nfs 服务配置不当
139samba 服务爆破、未授权访问、远程代码执行
389ldap 目录访问协议注入、允许匿名访问、弱口令

  远程连接服务端口

端口号端口说明攻击方向
22SSH 远程连接爆破、SSH 隧道及内网代理转发、文件传输
23Telnet 远程连接爆破、嗅探、弱口令
3389RDP 远程桌面协议Shift 后门(基本不存在)、爆破
5900VNC弱口令爆破
5632PyAnywhere抓密码、代码执行

  Web 应用服务器端口

端口号端口说明攻击方向
80/443/8080常见的 Web 服务端口Web 攻击、爆破、对应服务器版本漏洞
7001/7002WebLogic 控制台Java 反序列化、弱口令
8080/8089Jboss/Resin/Jetty/Jenkins反序列化、控制台弱口令
9090WebSphere 控制台Java 反序列化、弱口令
4848GlassFish 控制台弱口令
1352Lotus domino 邮件服务弱口令、信息泄露、爆破
10000Webmin-Web 控制面板弱口令

  数据库服务端口

端口号端口说明攻击方向
3306MySQL注入、提权、爆破
1433MSSQL 数据库注入、提权、SA 弱口令、爆破
1521Oracle 数据库TNS 爆破、注入、反弹 Shell
5432PostgreSQL 数据库爆破、注入、弱口令
27017/27018MongoDB爆破、未授权访问
6379Redis 数据库未授权访问、弱口令爆破
5000SysBase/DB2 数据库爆破、注入

  邮件服务端口

端口号端口说明攻击方向
25SMTP 邮件服务邮件伪造
110POP3 协议爆破、嗅探
143IMAP 协议爆破

  网络常见协议端口

端口号端口说明攻击方向
53DNS 域名系统允许区域传送、DNS 劫持、缓存偷渡、欺骗
67/68DHCP 服务劫持、欺骗
161SNMP 协议爆破、搜集目标内网信息

  特殊服务端口

端口号端口说明攻击方向
2181Zookeeper 服务未授权访问
8069Zabbix 服务远程执行、SQL 注入
9200/9300Elasticsearch 服务远程执行
11211Memcache 服务未授权访问
512/513/514Linux Rexec 服务爆破、Rlogin 登录
873Rsync 服务匿名访问、文件上传
3690Svn 服务Svn 泄露、未授权访问
50000SAP Management Console远程执行

指纹识别

  Web 应用在 html、js、css 中都有些特征码,工具可以根据这些特征识别 CMS。

  CSM(Content Management System)整站系统或文章系统。常见的有:Dedecms(织梦),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,Dvbbs,SiteWeaver,ASPCMS,帝国,Z-Blog,WordPress 等。

  工具:御剑 Web 指纹识别,WahtWeb,WebRobo,椰树,轻量 WEB 指纹识别等。

  在线工具:
   BugScaner(http://whatweb.bugscaner.com/look/
   云悉指纹(http://www.yunsee.cn/finger.html
   WhatWeb(https://whatweb.net

真实 IP

  如果没有CDN,通过查询工具来寻找目标的一些 IP 及域名信息 www.ip138.com 。

  如果存在 CDN,直接 ping 不能获得真正的目标 Web 服务器。可以用分布式 Ping 网站(如 https://www.17ce.com)来判断是否存在 CDN。

  绕过 CDN 寻找真实 IP:
   1、内部邮箱源:一般邮件系统都在内部且没有 CDN,通过用户注册或 RSS 订阅寻找邮件服务器域名进行 ping。
   2、扫描网站测试文件:如 phpinfo、test 等,从而找到真实 IP。
   3、分站域名:主站访问量较大,所以有 CDN,分站可能没有 CDN,ping 二级域名获取分站 IP。
   4、国外访问:国内 CDN 只加速国内用户,国外可能没有 CDN,在线代理网站app Synthetic Monitor(https://asm.ca.com/en/ping.php
   5、查询域名的解析记录:很久以前可能没用 CDN,通过 NETCRAFT(https://www.netcraft.com)查找域名的 IP 历史记录,大致可以分析出目标的真实 IP 段。
   6、如果网站有自己的 APP,可以尝试用 Fiddler 或 Burp Suite 抓取 APP 的请求,找到真实 IP。
   7、绕过过 CloudFlare CDN 查找真实 IP。很多网站都用 CloudFlare 提供的 CDN 服务,遇到 CDN 可以尝试先通过 CloudFlareWatch(http://www.crimeflare.us/cjs.html#box)对 ColudFlare 客户进行真实 IP 查询。

  验证:最简单就是尝试 IP 访问,看看响应的结果是否和域名返回结果是否一致。或者在目标段比较大的情况下,使用如 Masscan 的工具批扫描对应 IP 段中所有开了 80、443、8080 端口的 IP,然后逐个 IP 访问。

敏感目录收集

  探测 Web 目录结果和隐藏的敏感文件是个必不可少的环节,从中可能得到网站的后台管理页面、文件上传页面甚至是网站源代码。

  目录扫描工具:DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py(轻量级快速单文件目录后台扫描)、Sensitivefilescan、Weakfilescan 等工具。

社工

  各凭本事了。