1.1收集域名信息
1.1.1 whois查询
whois可用于收集网络注册信息,注册的域名,IP地址等信息。
在kali中默认安装:
whois baidu.com
在线whois查询的有:
爱站工具网:https://whois.aizhan.com/
站长之家:http://whois.chinaz.com/
VirusTotal:https://www.virustotal.com
1.1.2备案信息查询
网站备案是根据国家法律法规规定,需要网站的所有者向国家有关部门申请的备案。
ICP备案查询网:http://www.beianbeian.com
天眼查:https://www.tianyancha.com/
1.2收集敏感信息
googel的常用语法及其说明
关键字 | 说明 |
---|---|
site | 指定域名 |
inurl | url中存在关键字的网页 |
intext | 网页正文中的关键字 |
filetype | 指定文件类型 |
intitle | 网页标题中的关键字 |
link | link:baidu.com表示返回所有和baidu.com做了链接的url |
info | 查找指定站点的一些基本信息 |
cache | 搜索google里关于某些内容的缓存 |
例: | |
site:edu.cn intext:后台管理 | |
表示搜索网页正文中含有“后台管理”,并且域名后缀是edu.cn的网站。 |
1.3搜索子域名信息
1、子域名检测工具
Layer子域名挖掘机
直接输入域名即可
subDomainsBrute:子域名爆破工具
(待补充)
Sublist3r:子域名快速枚举工具
(待补充)
2、第三方聚合应用枚举
https://dnsdumpster.com
3、证书透明度公开日志枚举
https://crt.sh
1.4收集常用端口信息
常见的端口及其说明,以及攻击反向汇总
①文件共享服务
端口号 | 端口说明 | 攻击方向 |
---|---|---|
21/22/69 | ftp/tftp文件传输协议 | 允许匿名的上传、下载、爆破和嗅探操作 |
2049 | nfs服务 | 配置不当 |
139 | samba服务 | 爆破、未授权访问、远程代码执行 |
389 | ldap目录访问协议 | 注入、允许匿名访问、弱口令 |
②远程连接服务端口 | ||
端口号 | 端口说明 | 攻击方向 |
-- | -- | -- |
22 | ssh远程连接 | 爆破、ssh隧道及内网代理转发、文件传输 |
23 | telnet远程连接 | 爆破、嗅探、弱口令 |
3389 | rdp远程桌面连接 | shift后门(需要windows server2003以下的系统)、爆破 |
5900 | VNC | 弱口令爆破 |
5632 | PyAnywhere服务 | 抓密码、代码执行 |
③Web应用服务器端口 | ||
端口号 | 端口说明 | 攻击方向 |
-- | -- | -- |
80/443/8080 | 常见的web服务端口 | web攻击、爆破、对应服务器版本漏洞 |
7001/7002 | weblogic控制台 | java反序列化、弱口令 |
8080/8089 | Jboss、Resin、Jetty、Jenkins | 反序列化、控制台弱口令 |
9090 | websphere控制台 | java反序列化、弱口令 |
4848 | GlassFish控制台 | 弱口令 |
1352 | Lotus domino邮件服务 | 弱口令、信息泄露、爆破 |
10000 | Webmin-Web控制面板 | 弱口令 |
④数据库服务端口 | ||
端口号 | 端口说明 | 攻击方向 |
-- | -- | -- |
3306 | MySQL | 注入、提权、爆破 |
1433 | MSSQL数据库 | 注入、提权、SA弱口令、爆破 |
1521 | Oracle数据库 | TNS爆破、注入、反弹shell |
5432 | PostgreSQL数据库 | 爆破、注入、弱口令 |
17017/27018 | MongoDB | 爆破、未授权访问 |
6379 | Redis数据库 | 可尝试未授权访问、弱口令爆破 |
5000 | SysBase、DB2数据库 | 爆破、注入 |
⑤邮件服务端口 | ||
端口号 | 端口说明 | 攻击方向 |
-- | -- | -- |
25 | SMTP邮件服务 | 邮件伪造 |
110 | POP3协议 | 爆破、嗅探 |
143 | IMAP协议 | 爆破 |
⑥网络常见协议端口 |
端口号 | 端口说明 | 攻击方向 |
---|---|---|
53 | DNS域名系统 | 允许区域传送、DNS劫持、缓存投毒、欺骗 |
67/68 | DHCP服务 | 劫持、欺骗 |
161 | SNMP协议 | 爆破、搜素偶目标内网信息 |
⑦特殊服务端口 | ||
端口号 | 端口说明 | 攻击方向 |
-- | -- | -- |
2181 | Zookeeper服务 | 为授权访问 |
8069 | Zabbix服务 | 远程执行、SQL注入 |
9200/9300 | Elasticsearch服务 | 远程执行 |
11211 | Memcache服务 | 未授权访问 |
512、513、514 | Linux Rexec服务 | 爆破、Rlogin登录 |
873 | Rsync服务 | 匿名访问、文件上传 |
3690 | Svn服务 | Svn泄露、未授权访问 |
1.5指纹识别
应用程序一般在html、js、css等文件中多多少少会包含一些特征码,比如wordpress在robots.txt中会包含wp-admin,这个就是CMS的指纹,那么当碰到其他网站也存在此特征时,就可以快速识别出该CMS,所以叫指纹识别。
CMS(content management system)又称整站系统或文章管理系统。,用来定期更新数据来维护网站。
常见CMS有:
Dedecms(织梦)、帝国、wordpress等
代表工具:
御剑Web指纹识别、whatweb、轻量WEB指纹识别等
在线网站查询CMS指纹识别
BugScaner:http://whatweb.bugscaner.com/
whatweb:https://whatweb.net/
1.6查找真实IP
1、目标服务器存在CDN
CDN即内容分发网络,就是一组在不同运营商之间的对接节点上的高速缓存器,把用户经常访问的静态数据资源直接缓存到节点服务器上。可以大大提高网站的响应速度和用户体验。
如果渗透目标购买了CDN服务,可以直接ping目标的域名,但得到的并非真正的目标Web服务器,只是离我们最近的一台目标节点的CDN服务器。
2、判断目标是否使用了CDN
在线网站:https://www.17ce.com/
进行全国多地区的ping服务,对比各个地区的ping的IP结果,不一致,则存在CDN
3、绕过CDN寻找真实IP
- 内部邮箱源。一般的邮箱系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,寻找邮件服务器域名IP,ping这个邮箱服务器的域名,就可以得到目标的真实IP.
- 扫描网站测试文件,如phpinfo,test等,从而找到目标的真实IP
- 分站域名,通过ping二级域名获得分站IP,可能会出现分站和主站不是同一个IP但在同一个C段下面的情况,从而能判断出目标的真实IP段。
- 国外访问。https://asm.ca.com/en/ping.php
- 查找域名的解析记录。https://www.netcraft.com/
4、验证获取的IP
尝试用IP访问,看看响应的页面是不是和访问域名返回的一样;
借助Masscan的工具分批扫描对应IP段中所有开了80、443、8080端口分IP,然后逐个尝试IP访问,观察响应结果是否为目标站点。
1.7收集敏感目录文件
网站扫描工具:
DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py、Sensitivefilescan、Weakfilescan、
1.8社会工程学
社工库