0x01. 信息收集的概念
信息收集
信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测。正所谓,知己知彼百战百胜!
下面我们来学习一下信息收集:
-
信息收集的概念
-
信息收集的思路
-
信息收集的目的
1. 信息收集的概念
我们可以想象一下,在有目标的情况下,但是不知道目标的情况,这样的话,我们针对于目标是UNKNOW的一个状态,只有通过收集到对方的情报信息才能去搞定目标。
就像你去追一个女孩子,但是不知道对方的任何信息,仅凭一个外貌是无法成功的,所以我们要运用到信息收集的本质来去渗透到对方的手机号、微信、邮箱。(PS:询问朋友、信息泄露、入驻信息询问、伪装销售电话)。
当然这只是给大家举一个例子,使用这种方式结局也是非常惨的,而在渗透过程中,我们就是要去通过一切自的的进行信息收集,不管使用什么方式!
2. 信息收集的思路
在渗透过程中,我们想要得到一个网站的信息,必须知道如何去得到,需要得到什么信息提供我们渗透来进行利用。下面,我进行脑图来讲解。
3. 信息收集的目的
渗透过程中,信息收集的目的只有一个,那么就是如何通过已知信息得知漏洞信息去利用
- 8080 - tomcat 弱口令-上传war木马包拿下
- shiro中间件-命令执行-反弹shell拿下
- 网站程序漏洞-注入-数据库提权
- XSS-钓鱼-得到管理员cookie
- csrf-伪造-管理员点击
- ssrf - 探测-搞进内网
- OA系统0day -命令执行–上传马子
补充 : 查看网页源代码 , 搜索关键词 如未授权上传upload , 一般会是一个api接口 /api/ipload
, 发送一个ajax请求 , 或者搜索 admin user username passwd password 等关键字
0x02. 主动收集和被动收集
1. 主动信息收集
主动收集是使用对网站的直接访问,扫描网站,以及探测网站产生交互的被称之为主动收集。
主动信息收集有下列几种:
- 扫描端口
- 扫描目录网站
- 扫描操作系统识别
- 系统版本识别
- 主机发现
2. 被动信息收集
被动信息收集是以通过第三方来进行信息收集的
被动信息收集有下列几种:
- 域名注册查询
- 网站旁站查询
- 搜索引擎查询
- nslookup
- dns相关
- dig
- dns相关
- Metadata
- 人员邮箱
0x03. 信息收集的流程
whois信息可以查询到注册域名的详细信息的数据库(如域名所有人、域名注册商),通过whois来实现对域名信息的查询,早期的whois查询多以命令列接口存在,但是现在出现了一些网页接口简化的线上查询工具,可以一次向不同的数据库查询。
网页接口的查询工具仍然依赖whois协议向服务器发送查询请求,命令列接口的工具仍然被系统管理员广泛使用。
whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。
1. 信息收集流程思路
正常的信息收集流程是通过域名去发现并且扩展更多的信息的,但是信息收集之前我们应该去了解该网站的业务和资产情况。
例如:我们可以通过whois信息来进行收集到管理员的邮箱信息之后再通过邮箱信息查到社工库的密码,再登录邮箱获取主机云密码,再通过主机云获取该网站的权限。
2. 信息收集流程-邮箱
在信息收集的过程中,邮箱信息可以解决我们很大的trouble,我们可以fuzz邮箱的密码来进行爆破后台,或者其他管理平台之后再通过管理平台的漏洞来进行攻破。
下面作为一个脑图来进行演示 :
举例 : edu站点的邮箱收集 , 如 : 华南理工大学
1.百度华南理工大学邮箱 获取邮箱域名
scut.edu.cn
2.google黑客语法 intext:@scut.edu.cn
另一种方法就是在线查询 , 原理也是通过搜索引擎的收录
https://www.email-format.com/
补充 : ip代理池和whonix
ip代理池 github有很多的项目可以使用 , 有的代理池会偷偷盗取你浏览器的cookie , 小心
推荐whonix 暗网代理 基本上是无解的
3. 信息收集流程-手机号
手机号在信息收集的时候也略显重要,因为我们可以通过手机号去查到关于管理人员的更多信息,甚至可以通过反查微信钓鱼的方式来进行,或者其他的方式。
下面我就进行来一个脑图进行讲解。
补充 : 针对医院的站点 , 网络上会有泄露的某某主治医生 : 18888888888 反查微信 qq
医院内网vlan无隔离
HIS系统(hospital information system)
HIS系统5000分
主机100分
密码字典在线生成
https://www.hacked.com.cn/pass.html
安全搜索引擎
https://search.censys.io
比较全 更新快 数据稳 不收费
0x04. 主动信息收集
1. 搜集子域名在线工具
子域名在渗透过程中极为重要,我们可以获取网站的分站来进行建立一个突破口来攻进主站.子域名有在线的,以及脚本工具。
子域名在线爆破
https://phpinfo.me/domain/
photox.cc
爆破子域名工具-altdns
Altdns可以进行快速爆破
github项目地址https://github.com/infosec-au/altdns
altdns -i subdomains.txt -o data_output -w words.txt -r -s results_output.txt
域名 子域名字典 结果
域名爆破工具
gobuster.exe
gobuster.exe -d baidu.com -u dic.txt -t 200
搜集子域- oneforall工具
该工具可以进行快速从第三方网站来进行搜集网站的子域。
补充 :
HW渗透流程
web打点[信息收集非常重要]0day进入内网
内网流量代理出来
获得内网更多的一个资产情况
获取核心关键系统进行得分
2. nikto分析网站架构
nikto可以帮助我们分析网站服务器的IP以及网站程序的版本信息
nikto --host photox.cc
也可以使用一款浏览器插件Wappalyzer
3. dirsearch 目录扫描
dirsearch是一个比较强的目录扫描工具,相比其他目录扫描该工具的字典比较健全一些
dirsearch -u https://xxx.com -e php -b
python可能会对https报错 , 用-b参数避免
补充 :
御剑目录扫描器 更适用于asp站点 里面的一些编辑器漏洞 ( 比较老的 )
4. nmap-端口扫描
端口扫描我们可以使用nmap来进行探测服务器开放了多少个端口,支持多种扫描选项。
工具有很多 , 这里推荐几个比较快的 masscan rustscan
5. dmitry 工具
dmitry工具可以进行发现该域名的whois信息以及其他信息 , 还会从google搜索子域名
dmitry -iwns xnote.cn
6. 公开漏洞库利用
我们可以通过上公开的漏洞库来进行寻找相应的软件服务版本,之后通过漏洞来进行利用,或者使用公开漏洞的cms,查看是否对应其版本信息。
例如:该网站是discuz 2.5,我们可以通过2.5对应的命令执行漏洞来进行攻击
vulnhub.online
peiqi漏洞库
零组漏洞库镜像
exploit-db
0x05. 被动信息收集
1. google hacker
Goole Hacker是通过运用谷歌搜索语法来进行信息收集的,可以清楚的根据关键字来收集该网站的资产信息,或者批量漏洞挖掘。
例如:在入侵过程中有时需要查找后台的登陆口就需要用到GOOGLE HACKER.有时猜解密码的时候google也是提供查找管理员资料的有效平台.是一种社会工程学获取目标信息的手段。可以用盯跟踪某对象在网络上的各种踪迹(如交友平台、微博等)。
举例 :
site:xmu.edu.cn intext:登录注册忘记密码
语法
intitle: 网站标题
intext: 网站内容
inurl: 网站路径
filetype: 文件类型
link: 超链接
site: 指定站点
define: 定义
查找邮箱
site:xmu.edu.cn intext:@xmu.edu.cn
2. 旁站收集
旁站 : 一台服务器上有多个站点 , 资源最大化利用 (穷)
针对于旁站收集,我们可以使用在线的工具来对网站域名进行旁站收集。
3. dig工具查询
dig工具可以查询域名的DNS记录,对此可以查询到对应的IP参数+trace可以进行跟踪
dig webscan.cc +trace
4. 网站指纹识别
网站指纹识别可以使用在线的工具
http://whatweb.bugscaner.com/look/
0x06. 信息泄露收集
1. SVN信息泄露
这个漏洞的基本构成在漏洞产生时候会有一个目录(/.svn/)目录下有entries(entrist)文件或者文件夹
还有一个wc.db文件(需要SQLiteStudio软件)当然这是危害较大的文件,其余还会有更多文件 , 视不同情况
针对SVN信息泄露,我们可以使用以下工具来进行利用
https://github.com/admintony/svnExploit/
python3 SvnExploit.py -u http://192.168.27.128/.svn
2. 文件泄露
文件泄露有很多种,分别是:文件备份文件泄露、文件代码泄露、代码报错文件泄露、网站文件备份泄露等等。
针对于文件泄露,我们可以使用目录扫描工具来进行探测
下面给大家演示讲解一下VIM未完成编辑文件泄露
原因 : 会产生swp交互文件 , 这种文件不能解析 可以直接下载
3. Git泄露
通过Git泄露我们可以使用dumpall(pip3 install dumpall)工具来进行下载泄露的网站文件。不过现在一般我遇到的不多
4. Robots.txt文件泄露
Robots.txt是存放在站点根目录下的一个纯文本文件,虽然它的设置很简单,但是作用却很强大,它可以指定搜索引擎蜘蛛只抓取指定的内容,或者是禁止搜索引擎蜘蛛抓取网站的部分或全部内容。
0x07. 危险端口收集
1. 内网渗透-常见危险端口
常见危险端口有:
445 -SMB
可被攻击Windows漏洞,永恒之蓝病毒就是利用了该病毒来进行传播。
139-共享服务 (b站有视频)
该服务可被net use空连接进行与远程主机建立IPC$(管理)连接
135 - RPC
135端口可以用于远程的打开对方的telnet服务,用于启动与远程计算机的RPC连接
常见暴露端口
常见的服务端口有:
3389-远程桌面
6379 - Redis
22 -SSH
21-FTP
23- TELNET
1433- Sql Server
3306 - Mysql
等等.........
补充 :
aspx?news=11'sql server
sa
1.xpcmd
2.tasklist
3.powershell
4.cs自带提权 权限维持
5.内网流量代理
6.直接探测内网资产
7.445扫—遍
8.发现核心资产
9.拿到主机权限