不懂就百度
一、可以通过审查知道的内容
1.网站使用的语言
F12审查网页,看看引用的包的后缀,比如引用php文件那么就用的php写的文件;
从审查network处抓包查看返回报文,能看到诸如中间件的信息;
2.网站操作系统
输入index.php,通过改变大小写,linux对大小写敏感;
ping,64或255一般是linux;128一般是win;如果ttl不是特殊的数字就看离哪个近;
端口扫描一扫也能知道;
3.数据库语言
百度一下最佳组合,比如问php跟apache跟什么数据库最合适;
4.通过查询备案信息
5.通过security.R1nG网站中,【全部】处可以找到信息搜集的一些网站,知识,思路。链接在之前的文章有。
二、利用其它思路获取信息
1.burp suit抓包,看是不是走的网络协议,具体抓包方式以前写的文章有。观察网址的变化,找到奇怪的网址然后保存它发送到repeater,对这个网站发送接收信息。也可以在网址访问该网站
2.百度端口扫描,扫那个坏网站,看到开放的的端口然后进行判断
网站源码获取
源码泄露;资源监控;
比如GitHub gitee上可能有人分享公司的代码。
为什么说PHP是世界上最好的语言?漏洞多
源码泄露的原因:
1.源码本身的特性入口
2.管理员不好的习惯
3.管理员不好的配置
4.管理员不好的意识
5.管理员资源信息搜集
1.cms
使用云悉指纹识别平台。为啥有些识别不出来,因为它们用的不是已知的开源的cms
识别的意义:找已知漏洞
2.备份文件
使用工具:7kb,扫描网站的一些目录,找到备份文件。能找到是因为管理员不好的习惯,没有抹去或者改变默认的信息。同时如果在错误的路径(目录)备份,备份文件就可能被扫出来,进而知道整个源码
3.配置不当-github泄露
程序员使用github或者gitee平台同步自己编写的代码。如果上架前不删除”.git”目录,可以通过这个目录来复原。
工具:githack(python2环境)
4.php特性
例如在网址输入:composer.json看到有使用框架的使用的具体技术
输入
服务器厂商信息:
外网ip怎么转到内网的?
通过网关或者路由器,添加端口映射,比如添加192.168.1.13,端口80(外)、80(内)这个映射,达到外放访问公网ip的80端口会跳转到内网ip的80端口
端口扫描工具:
masscan(快)
nmap
关于端口扫描,以前文章写有
waf识别:
csdn有相关文件
负载均衡识别:其实负载均衡也可以理解成cdn那样,在实训的时候我曾经用tomcat实现负载均衡
2025新信息搜集
一、主机信息搜集
1、操作系统:
①WEB大小写区分操作系统(windows区分大小写,linux不区分)
②端口服务特征(windows3389,linux22)
③TTL判断(windows比较大,linux比较小)
2、IP:
①归属地查询
②归属云厂商
③IP反查机构
④IP反查域名
微步查询、站长之家、fofa
⑤IPc段查询
fofa
3、端口:
①网络资产引擎:fofa、hunter、quake、00信安
②工具:
nmap:最准,但是最慢
masscan:最快,误报高
无影
扫描会遇到的问题导致扫描不准确:
①扫描不到:防火墙策略、白名单策略等
绕过:
换协议扫描 //几率跳过,比如只限制了tcp没限制udp
②扫描不准:网站在内网经过中转,扫描的ip是转发的设备不是真实资产
绕过:
漏洞反连
4、判断资产属性:
1)网站服务器
2)数据库服务器
3)邮件系统服务器
4)文件存储服务器
5)网络通信服务器
6)安全系统服务器
| 标签 | 名称 | 地址 |
| 企业信息 | 天眼查 | https://www.tianyancha.com/ |
| 企业信息 | 小蓝本 | https://www.xiaolanben.com/ |
| 企业信息 | 爱企查 | https://aiqicha.baidu.com/ |
| 企业信息 | 企查查 | https://www.qcc.com/ |
| 企业信息 | 国外企查 | https://opencorporates.com/ |
| 企业信息 | 启信宝 | https://www.qixin.com/ |
| 备案信息 | 备案信息查询 | http://www.beianx.cn/ |
| 备案信息 | 备案管理系统 | https://beian.miit.gov.cn/ |
| 注册域名 | 域名注册查询 | https://buy.cloud.tencent.com/domain |
| IP反查 | IP反查域名 | https://x.threatbook.cn/ |
| 标签 | 名称 | 地址 |
| DNS数据 | dnsdumpster | https://dnsdumpster.com/ |
| 证书查询 | CertificateSearch | https://crt.sh/ |
| 网络空间 | FOFA | https://fofa.info/ |
| 网络空间 | 全球鹰 | http://hunter.qianxin.com/ |
| 网络空间 | 360 | https://quake.360.cn/quake/ |
| 威胁情报 | 微步在线 情报社区 | https://x.threatbook.cn/ |
| 威胁情报 | 奇安信 威胁情报中心 | https://ti.qianxin.com/ |
| 威胁情报 | 360 威胁情报中心 | https://ti.360.cn/#/homepage |
| 枚举解析 | 在线子域名查询 | http://tools.bugscaner.com/subdomain/ |
| 枚举解析 | DNSGrep子域名查询 | https://www.dnsgrep.cn/subdomain |
| 枚举解析 | 工具强大的子域名收集器 | https://github.com/shmilylty/OneForAll |
| 标签 | 名称 | 地址 |
| 网络空间 | 钟馗之眼 | https://www.zoomeye.org/ |
| 网络空间 | 零零信安 | https://0.zone/ |
| 网络空间 | Shodan | https://www.shodan.io/ |
| 网络空间 | Censys | https://censys.io/ |
| 网络空间 | ONYPHE | https://www.onyphe.io/ |
| 网络空间 | FullHunt | https://fullhunt.io/ |
| 网络空间 | Soall Search Engine | https://soall.org/ |
| 网络空间 | Netlas | https://app.netlas.io/responses/ |
| 网络空间 | Leakix | https://leakix.net/ |
| 网络空间 | DorkSearch | https://dorksearch.com/ |
| 威胁情报 | VirusTotal在线查杀平台 | https://www.virustotal.com/gui/ |
| 威胁情报 | VenusEye 威胁情报中心 | https://www.venuseye.com.cn/ |
| 威胁情报 | 绿盟科技 威胁情报云 | https://ti.nsfocus.com/ |
| 威胁情报 | IBM 情报中心 | https://exchange.xforce.ibmcloud.com/ |
| 威胁情报 | 天际友盟安全智能平台 | https://redqueen.tj-un.com |
| 威胁情报 | 华为安全中心平台 | https://isecurity.huawei.com/sec |
| 威胁情报 | 安恒威胁情报中心 | https://ti.dbappsecurity.com.cn/ |
| 威胁情报 | AlienVault | https://otx.alienvault.com/ |
| 威胁情报 | 深信服 | https://sec.sangfor.com.cn/ |
| 威胁情报 | 丁爸情报分析师的工具箱 | http://dingba.top/ |
| 威胁情报 | 听风者情报源 start.me | https://start.me/p/X20Apn |
| 威胁情报 | GreyNoise Visualizer | https://viz.greynoise.io/ |
| 威胁情报 | URLhaus 数据库 | https://urlhaus.abuse.ch/browse/ |
| 威胁情报 | Pithus | https://beta.pithus.org/ |
5、域名:
①、备案信息
通过域名查备案信息,备案信息获取更多域名
②、企业产权
通过企业产权查询Web,APP,小程序等版权资产
③、域名相关性
Whois信息:例如域名所有人、域名注册商、邮箱等。
通过域名注册接口获取后缀 //关注点是否有抢注
查询域名注册邮箱
通过域名查询备案号
通过备案号查询域名
反查注册邮箱
反查注册人
通过注册人查询到的域名在查询邮箱
通过上一步邮箱去查询域名
查询以上获取出的域名的子域名
6、子域名:
在后续测试中,还要注意对子域名进行筛选整理,太多的垃圾子域名和没用的子域名,主要看你的收集的子域名方法决定。
①、DNS数据
以DNS解析历史记录查询域名资产
②、证书查询
以SSL证书解析查询域名资产
③、网络空间
多网络空间综合型获取的记录
④、威胁情报
各类接口的集成的记录
⑤、枚举解析
结果主要以字典决定
https://github.com/knownsec/ksubdomain
https://github.com/shmilylty/OneForAll
指纹识别:
#Web架构
开源CMS:
Discuz、WordPress、PageAdmin、蝉知等
前端技术:
HTML5、Jquery、Bootstrap、Vue、NodeJS等
开发语言:
PHP、JAVA、Ruby、Python、C#、JS、Go等
框架组件:
SpringMVC、Thinkphp、Yii、Tornado、Vue等
Web服务器:
Apache、Nginx、IIS、Lighttpd等
应用服务器:
Tomcat、Jboss、Weblogic、Websphere等
数据库类型:
端口扫描,组合判断,应用功能
Mysql、SqlServer、Oracle、Redis、MongoDB等
操作系统信息:
Linux、Windows、Mac等
应用服务信息:
FTP、SSH、RDP、SMB、SMTP、LDAP、Rsync等
CDN信息:
帝联、Cloudflare、网宿、七牛云、阿里云等
WAF信息:
创宇盾、宝塔、ModSecurity、玄武盾、OpenRASP等。
蜜罐信息:
HFish、TeaPot、T-Pot、Glastopf等
其他组件信息:
FastJson、Shiro、Log4j、Solr、XStream等
#指纹识别:
1、平台:
https://www.yunsee.cn/ //使用云悉扫网站,识别cms信息等
http://finger.tidesec.net/
2、谷歌插件:wappalyzer
3、网页图标:fofa、quake
源码泄露
参考文章:
https://www.secpulse.com/archives/124398.html
https://mp.weixin.qq.com/s/QgLDdaefXlZtvlSiFQShZw
https://mp.weixin.qq.com/s/zhjxW2mUEgq6dFAp3kBcgQ
泄漏点:
1、webpack打包泄露
2、composer.json
php的第三方依赖
3、github源码泄露
4、git源码泄露:
在url最后加上.git查看是否有泄露,然后运行githack.py下载泄露的文件(python2.7)
5、svn源码泄露
在url最后加上.svn查看是否有泄露,然后运行Svnhack下载泄露文件(python2.7)
6、网站备份压缩文件(xxx.zip xxx.rar)
7、DS_Store文件泄露
这是MAC系统下的用来保存展示文件/文件夹的数据文件,每个文件夹下对应一个,可能造成文件目录结构泄露,特别是备份文件、源代码等,低危。若发现某个路径下有.Ds_Store,使用ds_store_exp进行恢复,可能能还原目录结构。
8、hg源码泄露
9、SWP文件泄露(少见)
10、CVS泄露
11、Bzr泄露(少见)
12、WEB-INF/web.xml泄露
检查源码泄露的工具:
通用:https://github.com/0xHJK/dumpall
GIT:https://github.com/lijiejie/GitHack
SVN:https://github.com/callmefeifei/SvnHack
DS_Store:https://github.com/lijiejie/ds_store_exp
webpack打包:https://github.com/NothingCw/SourceDetector-dist
使用github搜索泄露情况:
①F12检查网页代码中的敏感js,到github上搜。
资源搜索语法:
in:name test #仓库标题搜索含有关键字
in:descripton test #仓库描述搜索含有关键字
in:readme test #Readme文件搜素含有关键字
stars:>3000 test #stars数量大于3000的搜索关键字
stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字
forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素
license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字
user:test in:name test #组合搜索,用户名test的标题含有test的
关键字配合谷歌搜索:
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
JS信息搜集
0、JS信息收集
接口URL提取
后端地址提取
敏感信息提取
配置信息提取
其他信息提取(环境,注释,用途等)
1、JS安全问题
源码泄漏,代码审计,JS逆向分析
未授权访问=JS里面分析更多的URL访问确定接口路径
敏感Key泄漏=JS文件中配置接口信息(云应用,短信,邮件,数据库等)
API接口安全=(代码中加密提交参数传递,更多的URL路径)
2、流行的Js框架有那些?
Vue NodeJS jQuery Angular等
3、如何判定JS开发应用?
插件wappalyzer
源程序代码简短
引入多个js文件
一般有/static/js/app.js等顺序的js文件
一般cookie中有connect.sid
4、如何获取更多的JS文件?
手工-浏览器搜索
半自动-Burpsuite插件
工具化-各类提取&FUZZ项目
5、如何快速获取价值信息?
src=
path=
method:”get”
http.get(“
method:”post”
http.post(“
$.ajax
http://service.httppost
http://service.httpget
| 标签 | 名称 | 地址 |
| FUZZ测试 | ffuf(好用) | https://github.com/ffuf/ffuf |
| 匹配插件 | Hae | https://github.com/gh0stkey/HaE |
| JS提取 | JSFinder(弃用) | https://github.com/Threezh1/JSFinder |
| JS提取爬虫 | URLFinder(比上面的好用) | https://github.com/pingc0y/URLFinder |
| WebPack分析 | Packer-Fuzzer | https://github.com/rtcatc/Packer-Fuzzer |
| JS匹配插件 | BurpAPIFinder(bp插件,相当推荐) | https://github.com/shuanx/BurpAPIFinder |
| JS提取 | LinkFinder | https://github.com/GerbenJavado/LinkFinder |
| WebPack分析 | jjjjjjjjjjjjjs(好用) | https://github.com/ttstormxx/jjjjjjjjjjjjjs |
| JS提取爬虫 | FindSomething(好用) | https://github.com/momosecurity/FindSomething |
| JS匹配插件 | Unexpected_information | https://github.com/ScriptKid-Beta/Unexpected_information |
| FUZZ字典 | 字典集合 | https://wordlists.assetnote.io |
步骤:
1、F12检查中的“源代码/来源”处,找到一些JS文件然后搜一些关键词,如搜“src=”,如“$.ajax”等,发现接口能上传就考虑文件上传,能无密码访问就是未授权。
2、通过URLFinder等工具、插件找敏感信息。
3、遇到webpack打包器的,使用jjjjjjjjjjjjjjjjjjs下载分析。
cdn
cdn配置:
1、加速域名:
加速的域名若没包括子域名,则访问子域名是真实资产。如只加速了www.baidu.com没加速blog.baidu.com,此时解析blog.baidu.com获取真实ip
2、加速区域:
可以选择仅中国内地;全球;全球(不包含中国内地) //若没有加速国外,则使用除了内地外的ip去ping能ping到真实ip,但目前国内运营商加上了中间设备进行多次跳转,该方法失效。
3、加速资源:
可以选择加速文件类型,如
4、加速证书:
证书记录-SSL查域名解析记录,获取真实ip
历史DNS解析记录,获取真实ip //网站起初没使用cdn时,真实ip解析过域名且没更换
CDN绕过找真实IP
1、ping子域名
2、国外ip ping域名 //使用网络拨测工具 https://boce.aliyun.com/detect/
3、超级ping //http://17ce.com https://ping.chinaz.com
4、利用网站功能请求攻击机的ip //如文件上传,能输入图片地址。服务器主动访问使用的是真实ip
5、邮件
操作步骤:服务器主动暴露真实IP,如发送重置密码邮件。查看邮件原文能看到发件人的ip
但是有两个问题:邮件是第三方代发;邮件服务器和服务器关系不大;
指纹识别
ICO图标:
1、某个应用系统的标示
2、某个公司/机构/个人团队的标示
#Python-开发框架-Django&Flask
Django
1、识别插件
2、固定的数据包格式:Set-Cookie:expires=
Flask
1、识别插件
2、固定的数据包格式:Etag: “flask X-Powered-By: Flask
Tornado
1、识别插件
2、固定的数据包格式:Server: TornadoServer
#JavaScript-开发框架-Vue&Node.js
Vue
1、识别插件
2、JS语法和加载文件
Node.js
1、识别插件
2、固定的数据包格式:ETag: W/”
#PHP-开发框架-ThinkPHP&Laravel&Yii
ThinkPHP:
0、识别插件
1、X-Powered-By: ThinkPHP
2、CMS识别到源码体系TP开发
Laravel:
1、识别插件
2、Set-Cookie中特征的格式 XSRF-TOKEN= laravel_session=
Yii:
1、识别插件
2、Set-Cookie中特征的格式 YII_CSRF_TOKEN=
#Java-框架组件-Fastjson&Shiro&Solr&Spring
52类110个主流Java组件和框架介绍:
https://blog.csdn.net/agonie201218/article/details/125300729
框架:
Struts2
一般使用struts2框架后缀带do或action,可以尝试进行利用
SpringBoot
1、默认web应用标签小绿叶图标
2、通过springboot框架默认页面
3、ICO源码体系采用SpringBoot开发
组件:
FastJson/Jackson
在提交JSON数据包中修改测试:
-FastJson组件会把01解析成1
-Jackson组件在解析01时会抛出异常
https://forum.butian.net/share/1679
Shiro
请求包的cookie中存在rememberMe字段。
返回包中存在set-Cookie:remeberMe=deleteMe。
请求包中存在rememberMe=x时,响应包中存在rememberMe=deleteMe。
有时候服务器不会主动返回remeberMe=deleteMe,直接发包即可,将Cookie内容改为remember Me=1,若相应包有rememberMe=deleteMe,则基本可以确定网站apache shiro搭建的。
Solr识别
一般开放8983端口,访问页面也可以探针到
#工具使用: