公众号:渗透师老A
专注分享渗透经验,干货技巧....
信息搜集也称踩点,信息搜集毋庸置疑就是尽可能的搜集目标的信息,包括端口信息、DnS信息、员工邮箱等等看似并不起眼的一些信息都算是信息搜集,这些看似微乎其微的信息,对于渗透测试而言就关乎到成功与否了。
信息搜集的重要性信息搜集是渗透测试的最重要的阶段,占据整个渗透测试的60%,可见信息搜集的重要性。根据收集的有用信息,可以大大提高我们渗透测试的成功率。
信息搜集的分类1、主动式信息搜集(可获取到的信息较多,但易被目标发现)
2、通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。
3、被动式信息搜集(搜集到的信息较少,但不易被发现)
4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。
信息收集哪些东西:
- whois信息
- 子域名
- 旁站
- 端口
- 目录,敏感信息泄露
- C段
- 网站架构
- 判断WAF
- 判断CMS
- 真实IP
- DNS信息
- 社工利用
信息收集流程:
网站由域名,服务器,WEB应用组成。
可以先从域名开始
- 域名:whois,备案,子域名等
- 服务器:真实IP,DNS信息,端口,等
- WEB:网站框架,目录信息敏感信息泄露,旁站,C段,WAF,CMS等
- 企业:天眼查,信用信息等
信息收集脑图:
域名信息收集:
Whois查询:
Whois 简单来说,就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商、域名注册日期和过期日期、DNS等)。通过域名Whois服务器查询,可以查询域名归属者联系方式,以及注册和到期时间
可以通过whois信息进行反查,邮箱,联系人等信息来反查到更多的信息
查询域名注册邮箱
通过域名查询备案号
通过备案号查询域名
反查注册邮箱
反查注册人
通过注册人查询到的域名在查询邮箱
通过上一步邮箱去查询域名
查询以上获取出的域名的子域名
查询方式:
主动查询:
kali 自带whois查询
命令:whois ip/域名
- http://tool.chinaz.com/ipwhois/
- http://whois.xinnet.com/
- http://whois.cloud.tencent.com/
- http://site.ip138.com/
- http://www.whois.net/
- http://whois.aizhan.com/IP反查:Dnslytics地址:http://dnslytics.com/
利用Dnslytics反查IP可以得到如下信息:
IP information
Network information
Hosting information
SPAM database lookup
Open TCP/UDP ports
Blocklist lookup
Whois information
Geo information
Country information
Update information
利用Dnslytics反查域名可以得到如下信息:
Domain and Ranking Information
Hosting Information{
A / AAAA Record
NS Record
MX Record
SPF Record
}
Web Information
Whois Information
浏览器插件:
通过Google、FireFox等插件的使用,收集域名信息
myip.ms:
TCPIPUTILS:
DNSlytics:
子域名收集:查询方式:子域名收集可以发现更多目标,以增加渗透测试成功的可能性,探测到更多隐藏或遗忘的应用服务,这些应用往往可导致一些严重漏洞。当一个主站坚不可摧时,我们可以尝试从分站入手。
主动收集:
- layer子域名挖掘机5.0:http://pan.baidu.com/s/1wEP_Ysg4qsFbm_k1aoncpg 提取码:uk1j
- subDomainsBrute:http://github.com/lijiejie/subDomainsBrute
- wydomain:http://github.com/ring04h/wydomain
- broDomain:http://github.com/code-scan/BroDomain
- ESD:http://github.com/FeeiCN/ESD
- aiodnsbrute:http://github.com/blark/aiodnsbrute
- OneForAll:http://github.com/shmilylty/OneForAll
- subfinder:http://github.com/projectdiscovery/subfinder
- Sublist3r:http://github.com/aboul3la/Sublist3r
- ip138:http://site.ip138.com/
- 站长工具:http://tool.chinaz.com/subdomain/?domain=
- hackertarget:http://hackertarget.com/find-dns-host-records/
- phpinfo:http://phpinfo.me/domain/
- t1h2ua:http://www.t1h2ua.cn/tools/
- dnsdumpster:http://dnsdumpster.com/
- chinacycc:http://d.chinacycc.com/index.php?m=Login&a=index
- zcjun:http://z.zcjun.com/
- 搜索引擎语法:(site:域名)
layer子域名挖掘机5.0:使用这款工具首先要安装.net framework 4.0以上,否则会出现:
备案信息查询方式:备案信息分为两种,一种是IPC备案信息查询,一种是公安部备案信息查询。如果是国外的服务器是不需要备案的,因此可以忽略此步骤,国内的服务器是需要备案的,因此可以尝试获取信息。
被动收集:
- ICP备案查询网:http://www.beianbeian.com/
- ICP备案查询-站长工具:http://icp.chinaz.com/
- SEO综合查询-爱站:http://www.aizhan.com/cha/
- 批量查询-站长工具:http://icp.chinaz.com/searchs
- 美国企业备案查询:http://www.sec.gov/edgar/searchedgar/companysearch.html
- 公安部备案查询:http://www.beian.gov.cn/portal/recordQuery
- 主动收集
服务器信息收集
DNS信息收集
通过查询DNS信息,我们可能可以发现网站的真实ip地址,也可以尝试测试是否存在DNS域传送漏洞。
查询方式
主动收集
- Kali(host、big命令)
- windows(nslookup命令)
被动收集
- dnsdb:http://www.dnsdb.io/zh-cn/
- viewdns:http://viewdns.info/
- 站长工具:http://tool.chinaz.com/dns/
- tool:http://tool.lu/dns/
查询方式
主动收集
- Nmap:http://github.com/nmap/nmap
- Masscan:http://github.com/robertdavidgraham/masscan
- masnmapscan:http://github.com/hellogoldsnakeman/masnmapscan-V1.0
- ZMap:http://github.com/zmap/zmap
被动收集
- FOFA:http://fofa.so/
- 钟馗之眼:http://www.zoomeye.org/
- shodan:http://www.shodan.io/
浏览器插件
- Shodan
- TCPIPUTILS
- DNSlytics
- fofa-view
- Nmap 扫描多个ip: 扫描整个子网 nmap 192.168.6.1/24
nmap 192.168.1.1/16
nmap 192.168.1-30.1-254
nmap 192.168.1-254.6
扫描多个主机 namp 192.168.6.2 192.168.6.6
扫描一个小范围 nmap 192.168.6.2-10
扫描txt内的ip列表 nmap -iL text.txt
扫描除某个目标外 nmap 192.168.6.1/24 -exclude 192.168.6.25
- 绕过Firewalld扫描主机端口:
通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制
nmap -sP 192.33.6.128
nmap -sT 192.33.6.128
nmap -sS 192.33.6.128
nmap -sU 192.33.6.128
nmap -sF 192.33.6.128
nmap -sX 192.33.6.128
nmap -sN 192.33.6.128
- 初步扫描端口信息 nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt
- 扫描端口并且标记可以爆破的服务 nmap 127.0.0.1 --script=Ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,SNMP-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute
- 判断常见的漏洞并扫描端口 nmap 127.0.0.1 --script=auth,vuln
- 精确判断漏洞并扫描端口 nmap 127.0.0.1 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,Samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,SSHv1,xmpp-info,tftp-enum,teamspeak2-version
Masscan Nmap:
有些时候网站的入口点属于非常规端口,因此是必须要做全端口扫描,做全端口扫描的时候由于namp发包量大经常出现各种问题,如端口扫描不全、获得信息不准等等,为了解决上述问题,这里提供一个masscan nmap结合的方式进行快速扫描。
原理:使用masscan做全端口开放检测,检测出来端口信息后,用nmap进行服务信息识别。
使用:终端输入以下命令执行即可
# masscan 192.33.6.145 -p1-65535 --rate 1000 -oL ports
# ports=$(cat ports | awk -F " " '{print $3}' | sort -n | tr '
' ',' | sed 's/,$//' | sed 's/^,,//')
# nmap -sV -p $ports 192.33.6.145
常见端口/服务/入侵:
端口:21 服务:FTP/TFTP/vsftpd 总结:爆破/嗅探/溢出/后门
端口:22 服务:ssh远程连接 总结:爆破/Openssh漏洞
端口:23 服务:Telnet远程连接 总结:爆破/嗅探/弱口令
端口:25 服务:SMTP邮件服务 总结:邮件伪造
端口:53 服务:DNS域名解析系统 总结:域传送/劫持/缓存投毒/欺骗
端口:67/68 服务:dhcp服务 总结:劫持/欺骗
端口:110 服务:pop3 总结:爆破/嗅探
端口:139 服务:Samba服务 总结:爆破/未授权访问/远程命令执行
端口:143 服务:Imap协议 总结:爆破161SNMP协议爆破/搜集目标内网信息
端口:389 服务:Ldap目录访问协议 总结:注入/未授权访问/弱口令
端口:445 服务:smb 总结:ms17-010/端口溢出
端口:512/513/514 服务:Linux Rexec服务 总结:爆破/Rlogin登陆
端口:873 服务:Rsync服务 总结:文件上传/未授权访问
端口:1080 服务:socket 总结:爆破
端口:1352 服务:Lotus domino邮件服务 总结:爆破/信息泄漏
端口:1433 服务:mssql 总结:爆破/注入/SA弱口令
端口:1521 服务:oracle 总结:爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当
端口:2181 服务:zookeeper服务 总结:未授权访问
端口:2375 服务:docker remote api 总结:未授权访问
端口:3306 服务:mysql 总结:爆破/注入
端口:3389 服务:Rdp远程桌面链接 总结:爆破/shift后门
端口:4848 服务:GlassFish控制台 总结:爆破/认证绕过
端口:5000 服务:sybase/DB2数据库 总结:爆破/注入/提权
端口:5432 服务:postgresql 总结:爆破/注入/缓冲区溢出
端口:5632 服务:pcanywhere服务 总结:抓密码/代码执行
端口:5900 服务:vnc 总结:爆破/认证绕过
端口:6379 服务:Redis数据库 总结:未授权访问/爆破
端口:7001/7002 服务:weblogic 总结:java反序列化/控制台弱口令
端口:80/443 服务:http/http 总结:web应用漏洞/心脏滴血
端口:8069 服务:zabbix服务 总结:远程命令执行/注入
端口:8161 服务:activemq 总结:弱口令/写文件
端口:8080/8089 服务:Jboss/Tomcat/Resin 总结:爆破/PUT文件上传/反序列化
端口:8083/8086 服务:influxDB 总结:未授权访问
端口:9000 服务:fastcgi 总结:远程命令执行
端口:9090 服务:Websphere 总结:控制台爆破/java反序列化/弱口令
端口:9200/9300 服务:elasticsearch 总结:远程代码执行
端口:11211 服务:memcached 总结:未授权访问
端口:27017/27018 服务:mongodb 总结:未授权访问/爆破
端口利用总结:
21端口渗透解析:
介绍:Ftp一般是用于对远程服务器进行管理,大多数都用于对Web系统进行管理。一般密码泄露是直接威胁Web系统安全的,一旦让黑客知道是可以通过提权直接控制服务器。
- 爆破:Ftp爆破工具很多,如你所使用的系统为Kali,这里我推荐hydra(九头蛇)以及metasploit(msf)中的ftp爆破模块。因为Kali下集成了hydra和msf。
- Ftp匿名访问:有些小白会选择一些小型的主机服务商,这些服务商Ftp服务默认都是匿名可登陆。例如:用户名:admin,密码:空或者任意邮箱等。
- 后门vsftpd:version 2到2.3.4都存在了后门漏洞,黑客可以通过该漏洞获取ROOT权限。这里推荐msf下的exploit/unix/ftp/vsftpd_234_backdoor模块。
- 嗅探:如Ftp使用明文传输技术,可以使用Cain进行渗透。但是要存在于同一局域网,并且需要用到欺骗技术,且已经监听网关。
- Ftp远程代码溢出:推荐使用nmap扫描Ftp版本号,使用msf搜索(searc)对应模块。
22端口渗透解析:
介绍:SSH是协议,是使用在协议应用上的,SSH是Secure Shell的缩写。有IETF的网络工作小组所制定;SSH是建立在应用层和传输层基础上的安全协议。
- 弱口令:推荐使用hydra(九头蛇)或msf中的ssh爆破模块。
- 防火墙SSH后门
- 退格 OpenSSL
- Openssh 用户枚举 例如:CVE-2018-15473。
23端口渗透解析:
介绍:Telnet是一种很老的远程管理方式,使用telnet工具登陆系统的过程中,网络上的传输用户和密码都是以明文的方式去传送的,所以这是一种很不安全的管理方式,黑客可以使用嗅探技术进行劫取此类密码等。
- 爆破:暴力破解技术是黑客技术中最常见的技术,推荐使用hydra或者msf中的telnet模块进行暴力破解。
- 嗅探:在Linux系统里面一般是采用SSH进行远程连接访问的,传输的敏感数据都是进行加密的。但是对于windows下的telnet是脆弱的,因为在windows中是默认没有经过任何加密就在网络中进行传输,可以使用cain等嗅探工具进行截获密文对其远程控制。
- 绕口令:弱口令大部分用于大批量的爆破,对单个主机,推荐使用暴力破解。
25/465端口渗透解析:
介绍:smtp:邮箱协议,在linux中是默认回开启这个服务的,是一个相对简单的基于文本的协议。smtps:这是smtp协议基于ssl安全协议之上的一种变种协议。它继承了ssl安全协议的非对称的加密。我对smtps协议也很头疼所以给不出太多的建议。
- 爆破
- 弱口令
- 未授权访问
- 钓鱼
53端口渗透解析:
介绍:53端口一般是DNS域名服务器的通信端口,用于域名的解析。也是比较关键的服务器之一,但是这类服务器很 容易就受到攻击。
- 使用DNS远程溢出的漏洞直接对主机进行溢出攻击,成功后一般会直接获得系统权限。如:Windows DNS API(CVE-2017-11779)
- 使用DNS欺骗攻击,可以对DNS域名服务器进行欺骗,可以配合网页的木马进行挂马攻击,这是一种很酷的攻击方法。也是内网渗透中比较常用的方法。(DNS欺骗重定向Web流量)
- 拒绝服务攻击,我相信大家对这个攻击方法并不陌生,这是一种利用可快速攻击可导致服务器运行缓慢或网络瘫痪。如果黑客攻击其DNS服务器,将会导致该服务器进行域名解析的用户无法上网。(DNS劫持或DNS拒绝服务攻击)常见的说法:D死!
80端口渗透解析:
介绍:80端口是提供Web服务的端口,对于各位我想的是进入一个新的Web站点可能最会先想到SQL注入的方法,当然脚本渗透液是一项极强的Web渗透技术,同时也能对80端口造成威胁。
- 针对windows2000的IIS5.5版本,黑客可以使用远程溢出直接对主机进行攻击,从而获取系统权限
- 针对windows2000的iis5.5版本,黑客也可以利用“Microsoft IISCGI”文件名错误的解码进行漏洞攻击,可以使用X-SCAN直接探测到IIS漏洞
- IIS写权漏洞是由于IIS配置不当所造成的安全问题。黑客可以向存在此漏洞的服务器上传恶意的执行代码。比如脚本木马(马儿)控制权限
- 普通的http封包是没有经过加密就在网络中传输的,这样就可以通过嗅探类的工具截取敏感的数据,比如使用cain工具等。
- 80端口的攻击,渗透等。更多的是使用脚本渗透的技术,比如SQL,XSS等。利用Web应用程序的漏洞进行渗透是目前来说比较流行的方法
- 对于渗透只开放80端口的服务器来说,难度可以很大。利用一些端口复用工具可以解决这个技术难题
- CC攻击的效果是不如DDOS效果明显的,但是对于一些小型的Web站点来说还是有点用处的。CC攻击可以对目标站点运行出错或页面无法打开,打开过慢。有时候还会爆出Web程序的绝对路径哦
- windows中使用iis搭建Web站点,可查找IIS上传或解析漏洞,进行马儿上传的渗透,从而获取系统权限等
135端口渗透解析:
介绍:135端口主要是用于RPC协议是提供DCOM服务,PRC可以保证一台计算机上运行的程序可以顺利的执行远程计算机上的代码;使用DCOM可以通过网络进行通信。同时这个端口也爆出了不少的漏洞,最严重的还是我们熟悉的缓冲区溢出的漏洞
- 查找存在RPC溢出的主机,进行远程溢出的攻击,可以直接获取系统的权限。如果你使用“DSScan”扫描存在漏洞的主机,你可以直接使用’ms05011.exe’进行溢出的攻击
- 弱口令:可以扫描弱口令的主机,利用RPC远程过程调用开启telnet服务并登陆且执行系统命令。系统的弱口令一般用hydra,对于telnet服务的开启可以使用工具直接连接。
139/445端口渗透解析:
介绍:139端口是提供windows文件和打印机共享以及Unix中的Samba服务,家庭很少会开启这个服务,但是学校就不一样了,我可没有暗示你们什么。445端口其实也是为windows提供文件很打印机的共享,这两个端口在内网中是使用次数最多的,但是这两个端口的漏洞都比较多,而且出现过很多高危漏洞。
- 139/445端口的开放主机,大多数都是使用溢出漏洞进行攻击,比如445漏洞在msf中的ms-017
- 445端口的开放主机,黑客一般是使用‘MS06040’或‘MS08067’或‘ms017010’(可以自己查一下),可以使用nmap工具中-p命令扫描445端口是否开放,但是MS08067对win03系统十分有效不知道为什么
- 139/445端口的开放主机,黑客可以使用IPC$进行渗透。在没有使用特定的的账户密码进行空的连接,权限是最小的,但是获得特定账号密码是成为提升权限的关键,比如获取admin的账户口令。
- 139/445端口的开放主机,可利用共享获取敏感信息,这也是内网渗透中收集信息的基本途径
- 自从ms017010的出世,在windows7下445端口进行溢出渗透,大部分在msf中进行的
1433端口渗透解析:
介绍:1433是SQLServer默认的端口,SQL Server服务使用两个端口:tcp-1433、UDP-1434.其中1433用于供SQLServer对外提供服务,1434用于向请求者返回SQLServer使用了哪些TCP/IP端口。1433端口通常遭到黑客的攻击,最严重的还是远程溢出漏洞了,如由于SQL注射攻击的方式,数据库面临着很多威胁,这种攻击方式是属于脚本渗透技术的。
- 对开放1433端口的数据库服务器,黑客可以尝试利用溢出的漏洞对主机直接进行攻击,可以直接获取到系统的权限。
- 暴力破解是一项采用实用的技术,一般对于sql数据库破解的对象都是SA用户,通过社工的收集使用的字典很快就能破解出SA的密码。
- 嗅探技术也能嗅探到SQL数据库的登陆密码哦。
- 如数据库脚本编写的漏洞问题,黑客也可以对其进行sql注入,例如:过滤不严,就会造成很严重的注射漏洞。可以使用针对sql注入的工具直接扫描。
1521端口渗透解析:
介绍:1521一般是大型数据库Oracle的默认端口,对于一些没有安全工作经验的人来说,还是比较陌生的,以为大多数接触到的数据库都是Access、msssql、mysql。一般大型的站点才会使用Oracle数据库系统,以为这个数据库系统比较复杂。
- Oracle拥有非常非常多的默认用户名和密码,破解数据库这样也是一种方法,但是离不开我们的暴力破解
- SQL注射是对所有数据库都有效的方法
- 可以在注入点直接创建java,从而执行系统命令
2049端口渗透解析:
介绍:FS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源。在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样。如今NFS具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可能遭到恶意攻击者的利用。
- 未授权访问
3306端口渗透解析:
介绍:3306是MYSQL数据库默认的监听端口,通常部署在中型web系统中。在国内LAMP的配置是非常流行的,对于php mysql构架的攻击也是属于比较热门的话题。mysql数据库允许用户使用自定义函数功能,这使得黑客可编写恶意的自定义函数对服务器进行渗透,最后取得服务器最高权限。
- 由于管理者安全意识淡薄,通常管理密码设置过于简单,甚至为空口令。使用破解软件很容易破解此类密码,利用破解的密码登录远程mysql数据库,上传构造的恶意UDF自定义函数代码进行注册,通过调用注册的恶意函数执行系统命令。或者向web目录导出恶意的脚本程序,以控制整个web系统
- 嗅探对支持3306端口的数据库也存在支持
- Sql注入也对mysql数据库有用,可以获取数据库的敏感信息。还可以使用函数去读取系统的敏感配置文件,还可以从web数据库的连接文件中获得root口令等
- 暴力破解弱口令都是不错的选择
3389端口渗透解析:
介绍:3389是windows远程桌面服务默认监听的端口,管理员通过远程桌面对服务器进行维护,这给管理工作带来的极大的方便。通常此端口也是黑客们较为感兴趣的端口之一,利用它可对远程服务器进行控制,而且不需要另外安装额外的软件,实现方法比较简单。当然这也是系统合法的服务,通常是不会被杀毒软件所查杀的。使用‘输入法漏洞’进行渗透。
- 对于win2000的版本系统,可以使用‘输入法漏洞’进行渗透,这也是很老的方法了
- cain同样也支持3389端口的嗅探
- Shift粘滞键后门:5次shift后门
- 社会工程学、爆破可以使用msf中的爆破模块或者hydra、弱口令
- ms12_020蓝屏攻击
4899端口渗透解析:
介绍:4899端口是remoteadministrator远程控制软件默认监听的端口,也就是平时常说的radmini影子。radmini目前支持TCP/IP协议,应用十分广泛,在很多服务器上都会看到该款软件的影子。
- readmini也存在很多弱口令的主机,可以通过特定的工具扫描此类型主机
- readmini远控的连接密码和端口都是写入到注册表系统中的,通过使用webshell注册表读取功能可读取radmini在注册表的各项键值内容。
5432端口渗透解析:
介绍:PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统。包括kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入。
- 爆破、弱口令:postgres postgres
- 缓冲区溢出:CVE-2014-2669
5631端口渗透解析:
介绍:5631端口是著名远程控制软件pcanywhere的默认监听端口,同时也是世界领先的远程控制软件。此软件设计有缺陷,可以随意的下载保存连接密码的.cif文件。可以用专门的破解软件破解。
- 密码文件破解
- PcAnyWhere提权
5900端口渗透解析:
介绍:5900端口是远程控制软件VNC的默认端口,VNC是基于UNIX和LINUX操作系统免费开放的源码
- VNC软件存在密码验证的绕过漏洞,此高危漏洞可以让黑客不需要密码就能登录到一个系统
- cain同样可以嗅探,还可以端口修改。
- VNC的配置同样是写入注册表中的,可以利用注册表的读取功能进行加密算法破解
- VNC拒绝服务攻击(CVE-2015-5239)
- VNC权限提升(CVE-2013-6886)
6379端口渗透解析:
介绍:Redis是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库。关于这个数据库这两年还是很火的,暴露出来的问题也很多。特别是暴露的未授权访问。
- 爆破和弱口令
- 未授权访问 配合ssh key提权
7001/7002端口渗透解析:
介绍:好像没什么介绍,就是weblogic中间插件的端口。
- 弱口令、爆破、弱密码等
- 管理后台部署可能有war后门
- SSRF
- 反序列化漏洞
- WebLogic_uac
8080端口渗透解析:
介绍:8080端口通常是apache_Tomcat服务器默认监听端口,apache是世界使用排名第一的web服务器。国内就有很多人喜欢有这种服务器。
- tomcat远程代码执行漏洞
- tomcat任意文件上传漏洞
- tomcat远程代码执行信息泄露漏洞
- jboss远程代码执行漏洞
- jboss反序列化漏洞
- jboss漏洞利用。
27017端口渗透解析:
介绍:没什么可以说的,和其他数据库攻击方法差不多。
- 爆破、弱口令
- 未授权访问。
CND绕过思路
- 二级域名法 一般网站不会所有的二级域名放CDN,因此我们可以利用这点来获取网站的真实ip
- 多地ping法 由CDN的原理,不同的地方去Ping服务器,如果IP不一样,则目标网站肯定使用了CDN
- nslookup法 找国外的比较偏僻的DNS解析服务器进行DNS查询,因为大部分CDN提供商只针对国内市场,而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP
- 查看邮件法 通过查看邮件原文来确定ip地址,CDN总不会发送邮件吧
- RSS订阅法 RSS原理于邮件法差不多
- 查看历史解析记录法 查找域名历史解析记录,域名在上CDN之前用的IP,很有可能就是CDN的真实源IP地址
- 利用网站漏洞(XSS、命令执行、SSRF、php探针、phpinfo页面等) 可以通过一些页面和漏洞获取到服务器ip地址也是可能的。
- 小米范WEB查找器:http://pan.baidu.com/s/1pLjaQKF
- nslookup
- 国外ping:http://tools.ipip.net/newping.php
- 国外ping:http://asm.ca.com/en/ping.php
- shodan:http://www.shodan.io/
- fofa:http://fofa.so/
- zoomeye:http://www.zoomeye.org/
域名解析记录
- dnsdb:http://www.dnsdb.io/zh-cn/
- NETCRAFT:http://sitereport.netcraft.com/?url=
- viewdns:http://viewdns.info/
- threatbook:http://x.threatbook.cn/
- securitytrails:http://securitytrails.com/
世界各地DNS服务器地址大全:http://www.ab173.com/dns/dns_world.php
网站架构操作系统
查询方式
被动:
- wappalyzer插件
- 云悉
主动
- Nmap
- 手动探测 Linux大小写敏感
Windows大小写不敏感
中间件,Web容器:
- wappalyzer插件
- 云悉
数据库,编程语言:
- wappalyzer
- 云悉
WEB应用层
敏感目录及敏感信息、源码泄露
方法:- 御剑
- 搜索引擎
- BBscan:http://github.com/lijiejie/BBScan
- GSlL:http://github.com/FeeiCN/GSIL
- GetHub:http://github.com
- 御剑后台扫描珍藏版
- DirBuster
- 7kbscan-WebPathBrute 1.6.2:
- WVS 1.24.001
御剑:
御剑这款工具主要用于扫描网站的敏感目录、敏感文件。这里必须要说明一下字典必须要足够强大才可以扫到别人发现不了的点。因此我们必须完善一下自己的字典。
敏感目录:robots.txt、crossdomin.xml、sitemap.xml、源码泄漏文件、/WEB-INF/
搜索引擎:
搜索引擎也可以用于搜索网站的敏感目录、敏感文件和敏感信息。
这里就必须提一下搜索引擎的语法了,这里以google 黑客语法为例,语法同样适用于百度搜索引擎。
基本语法:
"" 双引号表示强制搜索
- 表示搜索不包含关键词的网页
| 或者的意思
site 指定域名
intext 搜索到的网页正文部分包含关键词
intitle 搜索到的网页标题包含关键词
cache 搜索关于某些内容的缓存
definne 搜索某个词语的定义
filetype 搜索指定的文件类型
info 查找指定站点的一些基本信息
inurl 搜索包含关键词的URL
link 可以返回所有和baidu.com做了链接的URL
BBscan:
BBscan是一款信息泄漏批量扫描脚本。它是依旧还是由lijiejie大佬用python写的安全工具。
在windows平台运行需要解决依赖问题:
pip install -r requirements.txt
使用命令:
- 扫描单个web服务 www.target.com python BBScan.py --host www.target.com
- 扫描www.target.com和www.target.com/28下的其他主机 python BBScan.py --host www.target.com --network 28
- 扫描txt文件中的所有主机 python BBScan.py -f wandoujia.com.txt
- 从文件夹中导入所有的主机并扫描 python BBScan.py -d targets/ --browser
- 如果是为了去各大src刷漏洞,可以考虑把所有域名保存到targets文件夹下,然后
- python BBScan.py -d targets/ --network 30
GSIL:
GSIL是一款由python3写的从github上寻找敏感文件的安全工具。
先安装一下环境
pip install -r requirements.txt
用法:
# 启动测试
$ python3 gsil.py test
# 测试token有效性
$ python3 gsil.py --verify-tokens
旁站收集
- 站长之家:http://s.tool.chinaz.com/same
- Tscan:http://scan.top15.cn/web/
查询方式C端是和目标服务器ip处在同一个C段的其它服务器
北极熊扫描器
Nmap
北极熊扫描器扫C端:http://www.xitongzhijia.net/soft/71774.html
指纹识别指纹是什么:
指定路径下指定名称的js文件或代码。
指定路径下指定名称的css文件或代码。
<title>中的内容,有些程序标题中会带有程序标识
meta标记中带程序标识<meta name=”description”/><meta name=”keywords”/><meta name=”generator”/><meta name=”author”/><meta name=”copyright”/>中带程序标识。
display:none中的版权信息。
页面底部版权信息,关键字© Powered by等。
readme.txt、License.txt、help.txt等文件。
指定路径下指定图片文件,如一些小的图标文件,后台登录页面中的图标文件等,一般管理员不会修改它们。
注释掉的html代码中<!–
http头的X-Powered-By中的值,有的应用程序框架会在此值输出。
cookie中的关键字
robots.txt文件中的关键字
404页面
302返回时的旗标
通过识别目标网站所使用的CMS信息,可以帮助我们进一步了解渗透测试环境,可以利用已知的一些CMS漏洞来进行攻击。
识别方式:主动收集
- CMSeeK:http://github.com/Tuhinshubhra/CMSeeK
- CMSmap:http://github.com/Dionach/CMSmap
- ACMSDiscovery:http://github.com/aedoo/ACMSDiscovery
- TideFinger:http://github.com/TideSec/TideFinger
- AngelSword:http://github.com/Lucifer1993/AngelSword
被动收集
- 云悉
- wappalyzer插件
- TideFinger:http://finger.tidesec.net/
- BugScaner:http://whatweb.bugscaner.com/look/
- 数字观星:http://fp.shuziguanxing.com/#/
WAF判断
WAF也称Web应用防护系统,Web应用防火墙是通过执行一系列针对HTTP/http的安全策略来专门为Web应用提供保护的一款产品。
原理:WAF识别大多基于Headers头信息。通过发送恶意的内容,对比响应,寻找数据包被拦截、拒绝或者检测到的标识。
第三方判断:
- Tscan:http://scan.top15.cn/web/
手工判断
Nmap判断:两种脚本
一种是:
http-waf-detect
一种是:
http-waf-fingerprint
wafw00f:http://github.com/EnableSecurity/wafw00f
企业:
天眼查地址:http://www.tianyancha.com/
企业信用信息公示系统:http://www.gsxt.gov.cn/index.html
悉知-全国企业信息查询:http://company.xizhi.com/
信用中国:http://www.creditchina.gov.cn/
收集其他敏感信息:
源码泄露
常见源码泄露:
/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store MacOS自动生成
/.hg/
/.svn/ (/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml
Robots.txt
源码泄露利用工具:
- git源码泄露:http://github.com/lijiejie/GitHack
- .DS_Store泄露:http://github.com/lijiejie/ds_store_exp
- .bzr、CVS、.svn、.hg源码泄露:http://github.com/kost/dvcs-ripper
网站备份文件泄露常见名称:
backup
db
data
web
wwwroot
database
www
code
test
admin
user
sql
网站备份文件泄露常见后缀:
.bak
.html
_index.html
.swp
.rar
.txt
.zip
.7z
.sql
.tar.gz
.tgz
.tar.bak
.html
_index.html
.swp
.rar
.txt
.zip
.7z
.sql
.tar.gz
.tgz
.tar
常见的扫描工具就和目录扫描的工具差不多
JS获取敏感接口:工具:JSFinder
SFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。
安装:
pip3 install requests bs4
git clone http://github.com/Threezh1/JSFinder.git
使用:
python3 JSFinder.py -u http://www.mi.com
python3 JSFinder.py -u http://www.mi.com -d
工具:LinkFinder
该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息,可最大化地提高URL发现效率
安装:
git clone http://github.com/GerbenJavado/LinkFinder.git
cd LinkFinder
python2 setup.py install
使用:
在线JavaScript文件中查找端点的最基本用法,并将结果输出到results.html:
python linkfinder.py -i http://example.com/1.js -o results.html
CLI输出(不使用jsbeautifier,这使得它非常快):
pyhon linkfinder.py -i http://example.com/1.js -o cli
分析整个域及其JS文件:
python linkfinder.py -i http://example.com -d
Burp输入(在目标中选择要保存的文件,右键单击,Save selected items将该文件作为输入):
python linkfinder.py -i burpfile -b
枚举JavaScript文件的整个文件夹,同时查找以/ api /开头的终结点,并最终将结果保存到results.html:
python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html
目录扫描
常用工具:
- 7kbscan-WebPathBrute:http://github.com/7kbstorm/7kbscan-WebPathBrute
- DirMap:http://github.com/H4ckForJob/dirmap
- dirsearch: http://github.com/maurosoria/dirsearch
- Fuzz-gobuster:http://github.com/OJ/gobuster
- Fuzz-dirbuster OWASP (kali自带)
- Fuzz-wfuzzhttp://github.com/xmendez/wfuzz
- 御剑
snitch:
Snitch可以针对指定域自动执行信息收集过程。此工具可帮助收集可通过Web搜索引擎找到的指定信息。在渗透测试的早期阶段,它可能非常有用。
安装:
git clone http://github.com/Smaash/snitch.git
使用:
python2.7 snitch.py -C "site:whitehouse.gov filetype:pdf" -P 100
Google Hacking
site:域名 filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv
邮箱信息收集
工具Infoga:
Infoga可从不同的公共源网络(搜索引擎,pgp密钥服务器和shodan)收集电子邮件帐户信息(ip,主机名,国家/地区…)。是一个用法非常简单的工具,但是,对于渗透测试的早期阶段,或者只是为了了解自己公司在互联网上的可见性是非常有效的。
安装:
git clone http://github.com/m4ll0k/Infoga.git /data/infoga
cd /data/infoga
pip3 install requests
python3 infoga.py
使用:
python3 infoga.py --domain site.com --source all -v 3 | grep Email | cut -d ' ' -f 3 | uniq | sed -n '/-/!p'
python3 infoga.py --info emailtest@site.com
python3 infoga.py --info emailtest@site.com -b
Online Search Email:
通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况
http://monitor.firefox.com/
http://haveibeenpwned.com/
http://ghostproject.fr/
社工工程学社工库:
http://dehashed.com/
http://aleph.occrp.org/
http://www.blackbookonline.info/
注册信息通过用户的一些信息(Mail、Name、ID、Tel)查询用户注册过哪些应用
http://www.reg007.com/
http://checkusernames.com/
http://knowem.com/
http://namechk.com/
IP定位http://chaipip.com/ip.php
http://www.opengps.cn/Data/IP/LocHighAcc.aspx
http://www.ipip.net/ip.html
http://www.ip2location.com/demo/
http://www.maxmind.com/en/geoip2-precision-demo
http://www.ip138.com/
社会工程学工具包地址:http://github.com/trustedsec/social-engineer-toolkit
工具的使用教程我并没有发全,建议大家可以自己去多研究研究
,