咨詢服務熱線

400-6446-808

創安實驗室專欄
您的當前位置:首頁 > 創安實驗室專欄
滲透專欄丨高效信息收集
發布者:創信華通  發布時間:2022-09-21  浏覽量:332次


寫在前面

古語有雲:“學如逆水行舟,不進則退。”面對如今随時都在變化的網絡安全環境更是如此。爲此,創信華通微信公衆号特開(kāi)設“滲透專欄”,以記錄創信華通創安攻防實驗室在滲透技術上的探索,加強同行間的交流,相互學習,共同進步。




✎ 高效信息收集

  2022.08.26



在我(wǒ)看來,信息收集是滲透測試的本質,信息收集作爲滲透測試的前期主要工(gōng)作,是非常重要的,甚至有的時候,隻通過信息收集就可以簡單拿到目标的shell了。

信息收集分(fēn)爲兩類:主動信息收集+被動信息收集。

主動信息收集:直接訪問、掃描網站,這種流量将流經網站,不可避免的留下(xià)了自己來過的痕迹;

被動信息收集:利用第三方的服務對目标進行訪問連接,比如利用搜索引擎Google、Shodon等。

收集的内容有很多,如whois信息、C段網站、服務器系統版本、容器版本、程序版本、數據庫類型、二級域名、防火(huǒ)牆、維護者信息等,但平時主要收集的内容就是兩種:域名、IP。



關于域名


1

. 子域名收集

收集子域名可以擴大(dà)滲透範圍,獲得更多有關目标公司的資(zī)産信息,同一(yī)域名下(xià)的二級域名都屬于目标範圍,表現形式:域名加前綴,例如:域名xxx.cn加前綴,abc.xxx.cn。

a.搜索引擎查找

1.

FOFA(https://fofa.info/) title="公司名稱" ; domain="zkaq.cn"  

2.

百度(https://www.baidu.com/):intitle=公司名稱;site:zkaq.cn  

3.

Google(https://www.google.com/):intitle=公司名稱;site:zkaq.cn  

4.

鍾馗之眼(https://www.zoomeye.org/) site=域名即可 ;hostname:baidu.com  

5.

shodan(https://www.shodan.io/):hostname:"baidu.com"  

6.

360測繪空間(https://quake.360.cn/) :domain:"zkaq.cn"  

b.在線查詢

1.

站長之家:http://tool.chinaz.com/  

2.

在線子域名查詢:https://phpinfo.me/domain/  

3.

dnsdumpster:https://dnsdumpster.com/  

4.

查詢網:https://site.ip138.com/  

5.

愛站:http://dns.aizhan.com 


2

. 端口型站點收集

收集端口型站點和收集子域名是一(yī)樣的,都是擴大(dà)滲透範圍,獲得更多有關目标公司的資(zī)産信息,可以用禦劍端口掃描器對全端口進行掃描,也可以用fscan進行全端口掃描。


3

. 目錄文件掃描

目錄掃描可以掃出來很多重要的資(zī)源,比如目錄型的站點、後台、敏感文件,比如說:.git文件洩露,.git文件洩露,.svn文件洩露、phpinfo洩露等等。

a. 目錄掃描工(gōng)具

1.

禦劍工(gōng)具:圖形化的使用方式。

2.

7kbstorm工(gōng)具:圖形化的使用方式。 

3.

dirbuster工(gōng)具:圖形化的使用方式。 

4.

dirmap工(gōng)具:python3 dirmap.py -i url 

5.

dirsearch工(gōng)具:python3 dirsearch.py -u url -e php  

6.

gobuster工(gōng)具:gobuster dir -u "url" -w "字典路徑" -n -e -q --wildcard  

b.github搜索

1.

in:name huawei #倉庫标題中(zhōng)含有關鍵字huawei

2.

in:descripton Huawei.com #倉庫描述搜索含有關鍵字huawei  

3.

in:readme huawei #Readme文件搜素含有關鍵字Huawei  

4.

smtp 58.com password 3306 #搜索某些系統的密碼  

c.google搜索

1.

密碼搜索:

2.

  site:Github.com sa password  

3.

  site:Github.com root password  

4.

  site:Github.com User ID='sa';Password

5.

  site:Github.com inurl:sql  

6.

SVN 信息收集

7.

  site:Github.com svn

8.

  site:Github.com svn username  

9.

  site:Github.com svn password 

10.

  site:Github.com svn username password  

11.

綜合信息收集  

12.

  site:Github.com password

13.

  site:Github.com ftp ftppassword  

14.

  site:Github.com 密碼 

15.

  site:Github.com 内部

d.在線網站

1.

烏雲漏洞庫:https://wooyun.website/  

2.

網盤搜索:

3.

  淩雲搜索  https://www.lingfengyun.com/  

4.

  盤搜搜:http://www.pansoso.com/  

e. 文件接口工(gōng)具

1.

jsfinder:https://gitee.com/kn1fes/JSFinder

2.

Packer-Fuzzer: https://github.com/rtcatc/Packer-Fuzzer

3.

SecretFinder:https://gitee.com/mucn/SecretFinder


4

. 旁站和C段

● 旁站:同一(yī)個服務器内的站點。

● C段:同網段,不同服務器内的站點。

a. 旁站查詢

1.

站長之家:http://stool.chinaz.com/same  

2.

在線:https://chapangzhan.com/  

3.

搜索引擎:fofa: ip="1.1.1.0/24"  

b. C段查詢

1.

webscan:https://c.webscan.cc/ 

2.

Nmap:

3.

msscan:  


5

. 網站技術架構信息

了解了網站的基礎架構信息,能夠幫助我(wǒ)們更有信心得去(qù)測試目标系統。

a. 基礎知(zhī)識

1.

隻列出一(yī)些↓:  

2.

常見的腳本類型語言:asp、php、aspx、jsp、cgi等等  

3.

網站類型:電商(shāng)(偏向于業務邏輯漏洞)、論壇(站點層漏洞、邏輯類漏洞)、門戶類(綜合類漏洞)等等  

4.

數據庫:access、mysql、mssql、oracle、postsql等等

5.

源碼與數據庫組合:asp+access、php+mysql、aspx+mssql、jsp+mssql、oracle、python+mongdb等等  

6.

除了這些外(wài),還有加密的結構、目錄結構、常見端口号及對應的服務等等這些都需要再進行了解。  

b. 網站頭信息

1.

F12 , 浏覽器内獲取查看

2.

在線網站:http://whatweb.bugscaner.com/look/ 

3.

插件:Wappalyzer 

4.

curl命令查詢頭信息:curl https://bbs.zkaq.cn -i


6

. CMS識别

CMS可以說指的是網站的源碼,如果能識别出一(yī)個網站使用的哪一(yī)種CMS的話(huà),那麽可以通過搜索引擎去(qù)發現相應的漏洞,若網站管理員(yuán)沒有處理的話(huà),則可以直接突破站點。

1.

雲悉:https://www.yunsee.cn/  

2.

whatweb:http://whatweb.bugscaner.com/look/  



關于IP


1

. CDN

CDN可以說是一(yī)種資(zī)源服務器,不僅可以加速網站訪問,還可以提供waf服務,如防止cc攻擊,SQL注入攔截等多種功能,除此之外(wài),還可以隐藏服務器的真實IP,cdn服務會根據你所在的地區,選擇合适的線路給予你訪問,所以如何繞過CDN就十分(fēn)重要了。

a. CDN檢測

1.

使用全球ping:不同的地區訪問有着不同的IP,這樣就确定了該域名使用了cdn了 

2.

http://ping.chinaz.com/  

3.

https://ping.aizhan.com/ 

4.

https://www.17ce.com/ 

b.CDN繞過

繞過的核心還是hosts綁定,當發現ip後,可以嘗試nc端口探測,也可以用nmap進行服務探測,如果像正常的服務器,就可以模糊确定是真實IP。若發現真實ip,可進行hosts綁定,繞過CDN的防禦,直接發起滲透,也可以進行IP反查,通過反查的網站來滲透。

1.

1. 國外(wài)dns獲取真實IP:部分(fēn)cdn隻針對國内的ip訪問,如果國外(wài)ip訪問域名 即可獲取真實IP。

2.

  https://www.wepcc.com/ 

3.

  http://www.ab173.com/dns/dns_world.php

4.

  https://dnsdumpster.com/

5.

  https://who.is/whois/zkaq.cn

6.

2. DNS曆史綁定記錄

7.

  https://dnsdb.io/zh-cn/  # DNS查詢,查看A記錄有哪些,需要會員(yuán)。

8.

  https://x.threatbook.cn/ # 微步在線,需要登錄。

9.

  https://tools.ipip.net/cdn.php # CDN查詢IP

10.

  https://sitereport.netcraft.com/ # 記錄網站的曆史IP解析記錄

11.

  https://site.ip138.com/ # 記錄網站的曆史IP解析記錄

12.

3. 被動獲取:讓目标連接我(wǒ)們獲得真實IP。比如網站有編輯器可以填寫遠程URL圖片,或者有SSRF漏洞。


2

. 主機發現

a. 二層發現

主要利用arp協議,速度快,結果可靠,不過隻能再同網段内的主機。

1.

arping工(gōng)具:arping 192.168.1.2 -c 1

2.

nmap工(gōng)具:192.168.1.1-254 –sn

3.

netdiscover -i eth0 -r 192.168.1.0/24

4.

scapy工(gōng)具:sr1(ARP(pdst="192.168.1.2"))  

b. 三層發現

主要利用ip、icmp協議,速度快但沒有二層發現快,可以經過路由轉發,理論上可以探測互聯網上任意一(yī)台存活主機,但很容易被邊界防火(huǒ)牆過濾。

1.

ping工(gōng)具:ping 192.168.1.2 –c 2

2.

fping工(gōng)具:fping 192.168.1.2 -c 1

3.

Hping3工(gōng)具:hping3 192.168.1.2 --icmp -c 2

4.

Scapy工(gōng)具:sr1(IP(dst="192.168.1.2")/ICMP()) 

5.

nmap工(gōng)具:nmap -sn 192.168.1.1-255

c. 四層發現

主要利用tcp、udp協議,速度比較慢(màn),但是結果可靠,可以發現所有端口都被過濾的存活主機,不太容易被防火(huǒ)牆過濾。

1.

Scapy工(gōng)具:

2.

  sr1(IP(dst="192.168.1.2")/TCP(dport=80,flags='A') ,timeout=1))  #tcp發現

3.

  sr1(IP(dst="192.168.1.2")/UDP(dport=33333),timeout=1,verbose=1)  #udp發現

4.

nmap工(gōng)具:

5.

  nmap 192.168.1.1-254 -PA80 –sn #tcp發現

6.

  nmap 192.168.1.1-254 -PU53 -sn #udp發現

7.

hping3工(gōng)具:

8.

  hping3 192.168.1.1 -c 1 #tcp發現

9.

  hping3 --udp 192.168.1.1 -c 1 #udp發現


3

. 操作系統識别

知(zhī)道目标存活主機的操作系統後,可以依據操作系統來實施針對性的滲透測試。

1.

TTL值:Windows(65~128),Linux/Unix(1-64),某些Unix(255)

2.

nmap工(gōng)具:nmap 192.168.1.1 -O

3.

xprobe2工(gōng)具:xprobe2 192.168.1.1

4.

p0f工(gōng)具:使用後,直接訪問目标即可


4

. 端口掃描

端口探測可以發現目标服務器上開(kāi)啓的網絡服務以及應用程序,這些都是更具體(tǐ)的一(yī)些攻擊。

端口号

服務

攻擊方法

21/22/69

ftp/tftp文件傳輸協議

爆破嗅探 溢出:後門

22

ssh遠程連接

爆破OpenSSH;28個退格

23

telnet遠程連接

爆破嗅探

25

smtp郵件服務

郵件僞造

53

DNS域名系統

DNS區域傳輸、DNS劫持、DNS緩存投毒、DNS欺騙、利用DNS隧道技術刺透防火(huǒ)牆

67/68

dhcp

劫持欺騙

110

pop3

爆破

139

samba

爆破未授權訪問、遠程代碼執行

143

imap

爆破

161

snmp

爆破

389

ldap

注入攻擊未授權訪問

512/513/514

linux r

直接使用rlogin

873

rsync

未授權訪問

1080

socket

爆破:進行内網穿透

1352

lotus

爆破;弱口令信息洩露;源代碼

1433

mssql

爆破:使用系統用戶登錄注入攻擊

1521

oracle

爆破;TNS攻擊

2049

nfs

配置不當

2181

zookeeper

未授權訪問

3306

mysql

爆破拒絕服務;注入

3389

rdp

爆破shift後門

4848

glassfish

爆破;控制台弱口令認證繞過

5000

sybase/DB2

爆破注入

5432

postgresql

緩沖區溢出注入攻擊;爆破;弱口令

5632

pcanywhere

拒絕服務代碼執行

5900

vnc

爆破;弱口令認證繞過

6379

redis

未授權訪問爆破;弱口令

7001

weblogic

Java反序列化控制台弱口令;控制台部署webshell

8069

zabbix

遠程命令執行

8080-8090

web

常見web攻擊控制台爆破、對應服務器版本漏洞

9090

websphere控制台

爆破;控制台弱口令;Java反序列

9200/9300

elasticsearch

遠程代碼執行

11211

memcacache

未授權訪問

27017

mongodb

爆破;未授權訪問

1.

scapy工(gōng)具:

2.

  sr1(IP(dst="192.168.1.1")/UDP(dport=53),timeout=1,verbose=1)    # UDP端口掃描

3.

  sr1(IP(dst="192.168.1.1")/TCP(dport=80),timeout=1,verbose=1)    # TCP端口掃描

4.

nmap工(gōng)具:

5.

  nmap -sU 192.168.1.1 -p 53  # UDP端口掃描

6.

  nmap -sS 192.168.1.1 -p 80  # 半連接tcp掃描

7.

  nmap -sT 192.168.1.1 -p 80 # 全連接TCP掃描

8.

  nmap 192.168.1.1 -sI 192.168.1.2 -Pn -p 0-100 # 僵屍掃描  

9.

dmitry工(gōng)具:dmitry -p 192.168.1.1

10.

nc工(gōng)具:nc -nv -w 1 -z 192.168.1.1 1-100

11.

hping3工(gōng)具:hping3 192.168.1.1 --scan 0-65535 -S


5

. 服務探測

1.

nc工(gōng)具:nc -nv 192.168.1.1 22

2.

dmitry工(gōng)具:dmitry -pb 192.168.1.1

3.

nmap工(gōng)具:

4.

  nmap -sT 192.168.1.1 -p 22 --script=banner

5.

  nmap 192.168.1.1 -p 80 -sV

6.

nmap工(gōng)具:

7.

  amap -B 192.168.1.1 1-65535 | grep on

8.

  amap 192.168.1.1 20-30 -qb

a. SNMP服務

SNMP是簡單網絡管理協議,由于經常被管理員(yuán)錯誤配置,導緻很容易造成系統的信息洩露。

1.

onesixtyone工(gōng)具:onesixtyone 192.168.1.1 public

2.

snmpwalk工(gōng)具:snmpwalk 192.168.1.1 -c public -v 2c

3.

snmpcheck工(gōng)具:snmpcheck -t 192.168.1.1 -c private -v 2

b. SMB服務

smb是一(yī)個協議名,它能被用于Web連接和客戶端與服務器之間的信息溝通。默認開(kāi)放(fàng),實現複雜(zá),實現文件共享,這也是微軟曆史上出現安全問題最多的一(yī)個協議。

1.

nmap工(gōng)具:nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 192.168.1.1

2.

nbtscan工(gōng)具:-r 192.168.1.0/24

3.

enum4linux工(gōng)具:enum4linux -a 192.168.1.1


6

. 其他識别

1.

防火(huǒ)牆識别:nmap -sA IP地址 -p 22

2.

負載均衡識别:lbd url

3.

WAF識别:nmap url --script=http-waf-detect.nse



參考文章

常見Web源碼洩露總結:https://www.secpulse.com/archives/55286.html

github 關鍵詞監控:https://www.codercto.com/a/46640.html

利用GitHub搜索敏感信息:http://www.361way.com/github-hack/6284.html

Github 洩露掃描系統:https://www.oschina.net/p/x-patrol?hmsr=aladdin1e1

監控github代碼庫:https://github.com/0xbug/Hawkeye

Goby工(gōng)具:https://blog.csdn.net/Alexhcf/article/details/105109362

cms識别工(gōng)具cmsIdentification:https://github.com/theLSA/cmsIdentification/

信息收集:https://mp.weixin.qq.com/s/rC3ccYGVUJgNTINQCB0Hyw


本文由創信華通創安攻防實驗室編輯。

本文僅限于個人學習和技術研究,由于傳播、利用此文所提供的信息而造成刑事案件、非授權攻擊等違法行爲,均由使用者本人負責,本單位不爲此承擔任何責任。創安攻防實驗室擁有對此文章的修改和解釋權,如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部内容。


如有侵權,請聯系後台。




創安攻防實驗室

創安攻防實驗室,是天慕卓越(深圳)網絡科技有限公司旗下(xià)的技術研究團隊,成立于2021年9月,主要研究紅藍(lán)對抗、重大(dà)安全保障、應急響應等方向。

創安攻防實驗室圓滿完成了多次公安舉辦的重要網絡安全保障和攻防演習活動,并積極參加各類網絡安全競賽,屢獲殊榮。

創安攻防實驗室秉承創信華通的發展理念,緻力打造國内一(yī)流網絡安全團隊。


·END·




上一(yī)條:msf漏洞驗證
下(xià)一(yī)條:Nmap部分(fēn)常規使用