相较于之前文章的学习,这篇文章是进行一些补充,并且更细致的学习
收集必要的信息包括:服务器配置信息,网站的敏感信息,包括域名、子域名信息、目标网站系统、CMS指纹、目标网站真实ip等
1.1收集域名信息
1)whois查询
2)备案信息查询
1.2敏感信息查询
利用谷歌语法,之前文章有提到过,比如找后台网站
1.3收集子域名信息
子域名就是二级域名,思路通过攻克目标的某个子域再迂回。
1)工具:
Layer子域名挖掘机、K8、wydomain、Sublist3r、Subdomainburte等,其中
Layer子域名挖掘机:使用方法简单
sublist3r:能列举多种资源在如google搜索引擎中可查到子域名
subdomainburte:用小字典递归发现三级域名、四级域名等不容易被发现的
2)搜索引擎枚举:
3)第三方应用枚举:
4)证书透明度公开日志枚举:
证书透明度(certificate transparence,CT)是CA的一个项目。利用搜索引擎搜索公开的CT日志
https://crt.sh
https://censys.io
进行子域名枚举
1.4搜集常用端口信息
除了nmap还有一些工具,如基于无状态端口扫描工具:Masscan、ZMap、御剑高速TCP端口扫描工具
———-文件共享服务端口———————————-
–端口号————端口说明—————–攻击方向—-
21/22/69 ftp/tftp文件传输协议 允许匿名的上传、下载、爆破、嗅探等
2049 nfs服务 配置不当
139 samba服务 爆破、未授权访问、远程代码执行
389 ldap目录访问协议 注入、允许匿名访问、弱口令
———————————————————————
———-远程连接服务端口———————————-
–端口号————端口说明—————–攻击方向—-
22 ssh远程连接 爆破、ssh隧道以及内网代理转发、文件传输
23 telnet远程连接 爆破、嗅探、弱口令
3389 rdp远程桌面连接 shift后门\爆破
5900 VNC 弱口令爆破
5632 pyanywhere服务 抓密码、弱口令执行
———————————————————————–
———-web应用服务端口———————————-
–端口号————端口说明—————–攻击方向—-
80/443/8080 常见web服务端口 web攻击\爆破、对应服务器版本漏洞
7001/7002 weblogic控制台 java反序列化\弱口令
8080/8089 jboss/resin/jetty/jenkins 反序列化、控制台弱口令
9090 websphere控制台 java反序列化、弱口令
4848 classfish控制台 弱口令
1352 lotus domino邮件服务 弱口令、信息泄露、爆破
10000 webmin-web控制面板 弱口令
————————————————————————-
———-数据库服务端口———————————-
–端口号————端口说明—————–攻击方向—-
3306 mysql 注入、提权、爆破
1433 sqlserver 注入、提权、爆破、SA弱口令
1521 oracle TNS爆破、注入、反弹shell
5432 postgresql 爆破、注入、弱口令
27017/27018 mongoDB 爆破、未授权访问
6379 redis 未授权访问、弱口令、爆破
5000 db2 爆破、注入
————————————————————————–
———-邮件服务端口———————————-
–端口号————端口说明—————–攻击方向—-
25 smtp邮件服务 邮件伪造
110 pop3协议 爆破、嗅探
143 imap协议 爆破
————————————————————————–
———-网络常见协议服务端口———————————-
–端口号————端口说明—————–攻击方向—-
53 DNS服务 允许区域传送、DNS劫持、缓存投毒、欺骗
67/68 DHCP服务 劫持、欺骗
161 snmp 爆破、搜集内网信息
—————————————————————————
———-特殊服务服务端口———————————-
–端口号————端口说明—————–攻击方向—-
2181 zookeeper服务 未授权访问
8069 zabbix服务 远程执行、sql注入
9200/9300 elasticsearch服务 远程执行
11211 mencache服务 未授权访问
512/513/514 linux rexec 爆破、Rlogin登录
873 rsync服务 匿名访问、文件上传
3690 svn服务 svn泄露、未授权访问
50000 sap management console 远程执行
—————————————————————————
上面的端口在平时可能接触不多,但是我认为要从实际出发不要局限平日所说的常见端口,当人工测试的时候能快速想起来端口对应的服务以及能攻击的思路就是最大化利用好时间。
1.4CMS指纹
常见CMS:
dedecms织梦
discuz
phpweb
phpwind
phpcms
ecshop
dvbbs
siteweaver
aspcms
帝国
Z-blog
wordpress
等—————————————————————
工具:御剑web指纹识别、whatweb、webrobo、椰树、轻量web指纹识别
在线网站查询cms:
bugscanner:http://whatweb.bugscanner.com/look/
云悉指纹:http://www.yunsee.cn/finger.html
1.6查真实ip
如果没用cdn,在www.ip138.com可以获取信息
如果使用cdn:
1)利用在线网站查看IP判断是否有cdn
www.17ce.com
2)内部邮箱源
邮件系统一般没经过cdn解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名ip ,然后ping它,就得到真正ip(只能是目标自己的邮件服务器有用)
3)扫描网站测试文件
找到如phpinfo、test等
4)分站域名
主站挂cdn的可能分站没挂,ping二级域名找到分站,可能分站和主站在同一个c段
5)国外访问
https://asm.ca.com/en/ping.php
6)查询目标解析记录
以前没用cdn可能留下过痕迹用网站查一下:https://netcraft.com/观察ip记录
7)目标网站有app
用fiddler抓包
8)绕过cloudflare cdn查找ip
http://www.crimeflare.us/cfs.html#box
验证获取到的ip:
直接通过ip访问;
目标段比较大的时候,用masscan工具批扫描对应的ip段所有开了80、443、8080端口的ip,逐个访问然后再判断一下。
1.7搜集敏感目录文件
主要用工具扫:
dirbuster、御剑后台扫描珍藏版、wwwscan、spinder.py、sensitivefilescan、weakfilescan等
1.8社会工程学