信息收集
免责声明
本文发布的内容和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
流程:
各大搜索引擎搜索(百度、谷歌、必应、搜狗、360等)
各大黑暗引擎搜索(fofa、鹰图、钟馗之眼、360)
备案、爱企查、企查查、天眼查
段口扫描、c段、旁注、目录扫描
微信小程序,公众号
漏扫(awvs,xray,goby,xpoc)
cms指纹识别(框架,中间件,cms)
判断搭建的系统,数据库等(nmap扫描)
登录页面,接口查询(文件,js文件)
各种漏洞复现
web:
web架构:开发语言、中间件、数据库、操作系统、第三方应用等
开发语言:
谷歌打开网页F12网络返回数据包有没有X-Powered-By和Server
点击网站查看url有没有带开发语言后缀名
通过 404 或者 header 信息,得出 server 信息,进而得知编程语言,比如 nodejs、tomcat等。
可以用正则去匹配 HTML 代码,找出 copyright、powered by,进而得知使用的语言。
根据传递 session id 的 cookie,比如 PHP 使用的会话ID是 PHPSESSID,JSP 使用的会话 ID 是 JSESSION。
探测网站使用的建站系统,从而知道使用的语言。
使用fofa、鹰图等黑暗搜索引擎查找网站
操作系统:
通过ping命令查看TTL值
通过改变url的大小写判断
数据库、中间件
端口扫描 搭配组合
源码分类:
CMS、闭源售卖、自主研发等
CMS
直接利用公开的漏洞库尝试安全测试
白盒代码审计
CMS开源分黑白
白的在百度等国内浏览器搜索
黑的在bing、谷歌浏览器、黑暗搜索引擎搜索
CMS获取
1、直接获取:云悉、kali自带的一款工具— whatweb等
2、备份文件:zip、7z备份文件目录扫描(通过字典、或者网站域名、网站ip地址)
3、GIT泄露:github、gitee(直接在url加上/.git)
Git是一个开源的分布式版本控制系统,在执行git init初始化目录的时候,会在当前目录下自动创建一个.git目录,用来记录代码的变更记录等。发布代码的时候,如果没有把.git这个目录删除,就直接发布到了服务器上,攻击者就可以通过它来恢复源代码。
漏洞利用工具:
GitHack
github项目地址:https://github.com/lijiejie/GitHack
用法示例: GitHack.py http://www.openssl.org/.git/
修复建议:删除.git目录或者修改中间件配置进行对.git隐藏文件夹的访问。
4、SVN 源码泄露(.svn/entries)
SVN是一个开放源代码的版本控制系统。在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。网站管理员在发布代码时,没有使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,可以利用.svn/entries文件,获取到服务器源码。
5、DS_Store 文件泄露(/.DS_Store)
.DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件,每个文件夹下对应一个。如果将.DS_Store上传部署到服务器,可能造成文件目录结构泄漏,特别是备份文件、源代码文件。
漏洞利用工具:
github项目地址:https://github.com/lijiejie/ds_store_exp
用法示例:
ds_store_exp.py http://hd.zj.qq.com/themes/galaxyw/.DS_Store
6、Composer.json(/composer.json)
在当前主流的PHP框架中我们都会发现一个名为composer.json的文件,在下载的composer包中就可以看到composer.json文件
7、WEB-INF/web.xml
泄露 WEB-INF是Java的WEB应用的安全目录,如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。
WEB-INF 主要包含一下文件或目录: WEB-INF/web.xml : Web应用程序配置文件, 描述了servlet和其他的应用组件配置及命名规则.WEB-INF/database.properties : 数据库配置文件WEB-INF/classes/ : 一般用来存放Java类文件(.class)WEB-INF/lib/ : 用来存放打包好的库(.jar)WEB-INF/src/ : 用来放源代码(.asp和.php等)
通过找到 web.xml 文件,推断 class 文件的路径,最后直接 class 文件,再通过反编译 class 文件,得到网站源码。
8、资源监控github等码农平台搜索
in:name test #仓库标题搜索含有关键字 test in:descripton test #仓库描述搜索含有关键字 in:readme test #Readme文件搜素含有关键字 stars:>3000 test #stars数量大于3000的搜索关键字 stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字 forks:>1000 test #forks数量大于1000的搜索关键字 forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字 size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字 pushed:>2019-02-12 test #发布时间大于2019-02-12的搜索关键字 created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字 user:test #用户名搜素 license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字 language:java test #在java语言的代码中搜索关键字 user:test in:name test #组合搜索,用户名test的标题含有test的 使用Github进行邮件配置信息收集 site:Github.com smtp site:Github.com smtp @qq.com site:Github.com smtp @126.com site:Github.com smtp @163.com site:Github.com smtp @sina.com.cn site:Github.com smtp password site:Github.com String password smtp …… 我们也可以锁定域名搜索结合厂商域名 灵活运用例如搜百度的 site:Github.com smtp @baidu.com 使用Github进行数据库信息收集 site:Github.com sa password site:Github.com root password site:Github.com User ID=’sa’;Password site:Github.com inurl:sql 使用Github进行SVN信息收集 site:Github.com svn site:Github.com svn username site:Github.com svn password site:Github.com svn username password 使用Github进行综合信息收集 site:Github.com password site:Github.com ftp ftppassword site:Github.com 密码 site:Github.com 内部
域名:
子域名、相似域名、反查域名、旁注等
子域名:
爆破
备案查询
旁注 :
同服务器下面不同的web应用查询技术
https://stool.chinaz.com/same?s=
C段 :
同网段下面不同服务器的ip地址下的web应用查询技术
具:nmap、fscan、masscan
系统
服务厂商、网络架构
服务厂商:
(尝试登录云厂商、特征)
阿里云、百度云、腾讯云等
ip地址查询、微步ip查询
网络架构:
外网架构:云搭建
内网架构:机房搭建使用端口映射
端口
端口扫描
使用工具:
nmap:https://nmap.org/
massca:https://github.com/robertdavidgraham/masscan
web服务类
tomcat--80/8080/8009 manager弱口令 put上传webshell HTTP慢速攻击 ajr文件包含漏洞-CVE-2020-1938 Jboss--8080 后台弱口令 console后台部署war包 JAVA反序列化 远程代码执行 webSphere--9080 后台弱口令 任意文件泄露 JAVA反序列化 weblogic--7001/7002 后台弱口令 console后台部署war包 SSRF 测试页面上传webshell JAVA反序列化 CVE-2018-2628 CVE-2018-2893 CVE-2017-10271 CVE-2019-2725 CVE-2019-2729 Glassfish--8080/4848 暴力破解 任意文件读取 认证绕过 Jetty--8080 远程共享缓冲区溢出 Apache--80/8080 HTTP慢速攻击 解析漏洞 目录遍历 ApacheSolr--8983 远程命令执行 CVE-2017-12629 CVE-2019-0193 IIS--80 put上传webshell IIS解析漏洞 IIS提权 IIS远程远程代码执行-CVE-2017-7269 Resin--8080 目录遍历 远程文件读取 Axis2--8080 后台弱口令 Lutos--1352 后台弱口令 信息泄露 跨站脚本攻击 Nginx--80/443 HTTP慢速攻击 解析漏洞
数据库类
Mysql--3306 弱口令 身份认证漏洞-cve-2012-2122 拒绝服务攻击 phpmyadmin万能密码or弱口令 UDF/MOF提权 Mssql--1433 弱口令 存储过程提权 Oralce--1521 弱口令 TNS漏洞 Redis--6379 弱口令 未经授权访问 PostgreSQL--5432 弱口令 缓冲区溢出-cve-2014-2669 MongoDB--27001 弱口令 未经授权访问 DB2--5000 安全限制绕过进行未经授权操作-cve-2015-1922 SysBase--5000/4100 弱口令 命令注入 Memcache--11211 未经授权访问 配置漏洞 ElasticSearch--9200/9300 未经授权访问 远程代码执行 文件办理 写入webshell
文件共享
Ftp--21 弱口令 匿名访问 上传后门 远程溢出 跳转攻击 NFS--2049 未经授权访问 Samba--137 弱口令 未经授权访问 远程代码执行-CVE-2015-0240 LDAP--389 弱口令 注入 未经授权访问
远程访问
SSH--22 弱口令 28退格漏洞 OpenSSL漏洞 用户名枚举 Telent--23 弱口令 RDP--3389 弱口令 Shitf粘滞键后门 缓冲区溢出 MS12-020 CVE-2019-0708 VNC--5901 弱口令 认证口令绕过 拒绝服务攻击-CVE-2015-5239 权限提升-CVE-2013-6886 Pcanywhere--5632 拒绝服务攻击 权限提升 代码执行 X11--6000 未经授权访问-CVE-1999-0526
其他
DNS--53 DNS区域传输 DNS劫持 DNS欺骗 DNS缓存投毒 DNS隧道 DHCP--67/68 DHCP劫持 DHCP欺骗 SNMP--161 弱口令 Rlogin--512/513/514 rlogin登录 Rsync--873 未经授权访问 本地权限提升 Zabbix--8069 远程命令执行 RMI--1090/1099 JAVA反序列化 Docker--2375 未经授权访问
阻碍
CDN
通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。
超级ping:https://ping.chinaz.com/
WAF
网站应用级入侵防御系统。
WAF分类:
云WAF:百度安全宝、阿里云盾、长亭雷池,华为云,亚马逊云等
硬件WAF:绿盟、安恒、深信服、知道创宇等公司商业产品
软件WAF:宝塔,安全狗、D盾等
代码级WAF:自己写的waf规则,防止出现注入等,一般是在代码里面写死的
看图识别:https://www.cnblogs.com/charon1937/p/13799467.html
wafw00f:https://github.com/EnableSecurity/wafw00f
identywaf:https://github.com/stamparm/identYwaf
负载均衡
它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。
lbd:kali自带
信息点:
基础信息,系统信息,应用信息,人员信息,其他信息等
参考
https://www.bilibili.com/video/BV1pQ4y1s7kH/?spm_id_from=333.337.search-card.all.click
cms:
https://www.secpulse.com/archives/124398.html
https://www.cnblogs.com/R1card0/p/14538139.html
端口:
https://www.cnblogs.com/Clannad21/p/16499072.html
阻碍:
https://www.cnblogs.com/charon1937/p/13799467.html
https://blog.csdn.net/weixin_53009585/article/details/129843678