最新要闻

广告

手机

iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?

iphone11大小尺寸是多少?苹果iPhone11和iPhone13的区别是什么?

警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案

警方通报辅警执法直播中被撞飞:犯罪嫌疑人已投案

家电

全球简讯:外网信息搜集

来源:博客园

快速打点清单

信息收集道道之外网信息收集

一般常用手段

EHole


(资料图片仅供参考)

1、本地识别

bash EHole -l url.txt//需要扫描的URL地址创建为一个txt文档,需带上协议,每行一个

2、Fofa识别

bash EHole -f 192.168.1.1/24//支持单IP或IP段

3、结果输出:

bash EHole -l url.txt -json export.json//结果输出至export.json文件

4、Fofa批量提取IP

./Ehole-darwin fofaext -l /Users/r1ng/Downloads/ip.txt

5、指纹可自定义添加,如手里有某个系统的 0day 可指定添加指纹进行识别。

./Ehole-darwin finger -l /Users/duanzhang/Downloads/url.txt//指纹收集,输出至url1.txt

水泽

语法功能
python3 ShuiZe.py -d domain.com收集单一的根域名资产
python3 ShuiZe.py –domainFile domain.txt批量跑根域名列表
python3 ShuiZe.py -c 192.168.1.0,192.168.2.0,192.168.3.0收集C段资产
python3 ShuiZe.py -f url.txt对url里的网站漏洞检测
python3 ShuiZe.py –fofaTitle XXX大学从fofa里收集标题为XXX大学的资产,然后漏洞检测
python3 ShuiZe.py -d domain.com –justInfoGather 1仅信息收集,不检测漏洞
python3 ShuiZe.py -d domain.com –ksubdomain 0不调用ksubdomain爆破子域名

师傅说EHole+水泽足够了

选用

Eeyes棱眼

扫c段

______    __         ______    / ____/___/ /___ ____/_  __/__  ____ _____ ___   / __/ / __  / __ `/ _ \/ / / _ \/ __ `/ __ `__ \  / /___/ /_/ / /_/ /  __/ / /  __/ /_/ / / / / / / /_____/\__,_/\__, /\___/_/  \___/\__,_/_/ /_/ /_/ /____/ https://forum.ywhack.com  By:shihuangEeyes version: 0.0.1Usage: Eeyes [-f|-l] [parameter]Options:  -f string    Fofa searches for assets , supports domain。(example.com)    FOFA搜索资产,支持域。(example.com)      -ftime string    fofa timeout (default "10")    FOFA超时(默认为“ 10”)      -hthis help    -l string    Probe based on local file    基于本地文件探测      -log string    Log file name (default "server.log")    日志文件名(默认“ server.log”)

常规信息搜集web打点

资产收集

网络引擎平台

fofahttps://fofa.info/

quakehttps://quake.360.cn/quake/#/index

鹰图https://hunter.qianxin.com/

shodanhttps://www.shodan.io/

零零信安https://0.zone/

子域名收集

subDomainsBrute

--version      显示程序的版本号并退出-h,--help     显示此帮助信息并退出-f FILE       指定暴力猜解字典,默认使用subnames.txt.(1.5W字典)--full 全扫描,使用subnames_full.txt(7W多字典)-i,--ignore-intranet   忽略指向私有(内网)ip的域名-w,--wildcard    通配符测试失败后强制扫描-t线程  --threads=THREADS  扫描线程数,默认为200-p进程  --process=PROCESS  扫描进程数,默认为6-o输出,--output=OUTPUT 输出文件的名字。默认是{target}.txt
python subDomainsBrute.py --full -i -t 10 -p 2 --no-https -o baidu.txt baidu.com#搜集全部子域名,局域网可能无法正常使用

*Oneforall

python oneforall.py --target ichunqiu.com run#搜集子域名--brute=BRUTE        使用爆破模块(默认False)--verify=VERIFY        验证子域有效性(默认True)--port=PORT        请求验证的端口范围(默认medium)--valid=VALID        导出子域的有效性(默认1)--path=PATH        导出路径(默认None)--format=FORMAT        导出格式(默认xlsx)--show=SHOW        终端显示导出数据(默认False)

*Jsfinder爬虫爬取域名

python JSFinder.py -u http://www.mi.com#简单爬区子域名python JSFinder.py -u http://www.mi.com -d -ou mi_url.txt -os mi_subdomain.txt#深度爬取子域名,时间更长-ou保存url -os保存子域名

**ksubdomain

//常用命令ksubdomain -d seebug.org#使用内置字典爆破ksubdomain -d seebug.org -f subdomains.dict#使用字典爆破域名ksubdomain -f dns.txt -verify#字典里都是域名,可使用验证模式ksubdomain -d seebug.org -l 2#爆破三级域名echo "seebug.org"|ksubdomain#通过管道爆破echo "paper.seebug.org"|ksubdomain -verify#通过管道验证域名ksubdomain -d seebug.org -api#仅使用网络API接口获取域名ksubdomain -d seebug.org -full#完整模式,先使用网络API,在此基础使用内置字典进行爆破
_  __   _____       _         _                       _| |/ /  / ____|     | |       | |                     (_)| " /  | (___  _   _| |__   __| | ___  _ __ ___   __ _ _ _ __|  <    \___ \| | | | "_ \ / _| |/ _ \| "_   _ \ / _  | | "_ \| . \   ____) | |_| | |_) | (_| | (_) | | | | | | (_| | | | | ||_|\_\ |_____/ \__,_|_.__/ \__,_|\___/|_| |_| |_|\__,_|_|_| |_|[INFO] Current Version: 0.7Usage of ./cmd:  -api        使用网络接口  -b string        宽带的下行速度,可以5M,5K,5G (default "1M")  -check-origin        会从返回包检查DNS是否为设定的,防止其他包的干扰  -csv        输出excel文件  -d string        爆破域名  -dl string        从文件中读取爆破域名  -e int        默认网络设备ID,默认-1,如果有多个网络设备会在命令行中选择 (default -1)  -f string        字典路径,-d下文件为子域名字典,-verify下文件为需要验证的域名  -filter-wild        自动分析并过滤泛解析,最终输出文件,需要与"-o"搭配  -full        完整模式,使用网络接口和内置字典  -l int        爆破域名层级,默认爆破一级域名 (default 1)  -list-network        列出所有网络设备  -o string        输出文件路径  -s string        resolvers文件路径,默认使用内置DNS  -sf string        三级域名爆破字典文件(默认内置)  -silent        使用后屏幕将仅输出域名  -skip-wild        跳过泛解析的域名  -summary        在扫描完毕后整理域名归属asn以及IP段  -test        测试本地最大发包数  -ttl        导出格式中包含TTL选项  -verify        验证模式

有条件上灯塔https://github.com/TophantTechnology/ARL

逻辑漏洞

挖掘思路

检测站点,正常操作测试一次,开启BurpSuite,让web发送信息经过burp留下足迹。

回头查看,每一个信息包具体工具情况。

检查每一个传参,确定可控制传参

nmap

dirmap

安装

$ git clone https://github.com/H4ckForJob/dirmap.git && cd dirmap && python3 -m pip install -r requirement.txt

单个目标

$ python3 dirmap.py -iU https://site.com -lcf

多个目标

$ python3 dirmap.py -iF urls.txt -lcf

渗透测试的本质就是信息搜集

踩点

了解安全架构

渗透测试最终目的就是扩大攻击面

服务器信息搜集

开放端口信息搜集

工具:Nmap、Masscan(nmap慢但仔细,masscan快,但是扫的不完全)

Nmap端口扫描

-p端口号 IP地址 扫描目标IP开放端口

TCP协议中存在reset重置位(接收到不合规的TCP数据包就返回reset重置连接)

发送端口扫描数据包,返回ack+syn -->open 返回reset --> close 无返回包 --> filtered 目标可能存在防 火墙拦截该端口的数据包

-p端口号 IP地址 扫描目标IP开放端口nmap -p445 192.168.172.130Starting Nmap 7.91 ( https://nmap.org ) at 2022-09-21 21:11 EDTNmap scan report for 192.168.172.130Host is up (0.00077s latency).PORT STATE SERVICE445/tcp open microsoft-dsMAC Address: 00:0C:29:0B:4A:F9 (VMware)Nmap done: 1 IP address (1 host up) scanned in 6.76 seconds└─# nmap -p445,80,3306,3389,1433 192.168.172.130nmap -p1-65535 192.168.172.130 #全端口扫描nmap -p- 192.168.172.130 #全端口扫描nmap -p U:53 192.168.172.130 #扫描udp协议的53端口nmap 192.168.172.130 #先利用ping检测主机是否存活,利用tcp扫描目标主机的常见端口的top1000。nmap -F 192.168.172.130 #快速随机提取top1000的100个端口进行扫描

主机存活探测

nmap -iL target.txt #target.txt 存放需扫描的IP地址和域名nmap -sn 192.168.23.0/24 #扫描存活主机nmap -Pn 192.168.23.1 -p445 #忽略主机存活直接扫445端口nmap -PA 192.168.23.0/24 #利用ping tcp ack扫描nmap -PE 192.168.23.0/24 #利用ping icmp echo扫描,常用于内网主机存活探测

扫描技巧

nmap -sS -p- 192.168.1.1 #半开放式扫描,目标不记录IP地址 仅仅只发送syn+ack,未建立完整的TCP连接,目标机器不记录IP地址。nmap -sT -p- 192.168.1.1 #完整的TCP连接扫描,速度慢,精度高,目标机器会记录IP地址。nmap -sA -p- 192.168.1.1 #只发送tcp ack数据包进行扫描,不记录IP地址,速度快。nmap -sU -p- 192.168.1.1 #利用UDP协议进行扫描,速度快,发包数量少,常用于内网扫描。

服务识别

nmap存在端口对应服务的数据库,根据响应包中banner信息进行识别。

nmap -sV 192.168.172.130 -p3306 #扫描目标3306端口,根据响应包中的banner提取服务的版本信息

脚本扫描

Nmap自带多种脚本,比如常见ssh,ftp,rdp,smb各种扫描脚本。

nmap -sC 192.168.172.130 #根据开放端口的服务进行脚本扫描查看哪些服务存在漏洞nmap -p445 --script smb-vuln-ms17-010 192.168.179.91 #扫描目标机器是否存在永恒之蓝

操作系统识别

根据端口探测返回的banner信息,开放端口,操作系统数据库匹配操作系统版本来进行识别。

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV #识别目标机器的操作系统版本Starting Nmap 7.92 ( https://nmap.org ) at 2022-09-22 10:22 中国标准时间Nmap scan report for 192.168.179.91Host is up (0.035s latency).PORT STATE SERVICE VERSION80/tcp open http Microsoft IIS httpd 7.5445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012microsoft-ds1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.1600; RTM3306/tcp closed mysqlDevice type: general purposeRunning: Microsoft Windows Vista|7|2008OS CPE: cpe:/o:microsoft:windows_vista::sp1:home_premiumcpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_server_2008OS details: Microsoft Windows Vista Home Premium SP1, Windows 7, or WindowsServer 2008Network Distance: 3 hopsService Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE:cpe:/o:microsoft:windowsOS and Service detection performed. Please report any incorrect results athttps://nmap.org/submit/ .Nmap done: 1 IP address (1 host up) scanned in 10.68 seconds

绕过防火墙和IDS检测

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -f --mtu=8 #-f -mtu=0-8 数据包分片传输绕过检测nmap -e eth0 #指定数据包从eth0发送nmap --proxies http://127.0.0.1:8080nmap -O 192.168.179.91 -p445,3306,80,1433 -sV --proxies http://127.0.0.1:8080--data-length #在请求包中数据部分添加随机数据绕过检测nmap -O 192.168.179.91 -p445,3306,80,1433 -sV --data-length 100--ttl 1000 #指定数据包发送的ttl值,ttl time to live 生命周期值 每经过一个路由设备-1,当为0时数据包不在转发,防止数据包无限制的在网络中转发。nmap --spoof-mac ff:ff:ff:ff:ff:ffnmap -O 192.168.179.91 -p445,3306,80,1433 -sV --spoof-mac 0--badsum 填充错误的checksum数据绕过检测

Nmap输出

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -oN result.txt#将标准输出保存到文件nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -oG result.txt#保存为bash等其他语言使用的格式的内容nmap -O 192.168.179.91 -p1-65535 -sV -oG result.txt --open#仅显示开放端口nmap -O 192.168.179.91 -p1-65535 -sV --open --resume result.txt#恢复扫描

杂项

nmap 192.168.179.91 -A #包含脚本扫描,路由跟踪,版本探测,系统识别。 -O -sC -sV
nmap -sV -sT -Pn --open -v 192.168.1.1 不使用ping对ip进行服务识别 使用tcp发包 返回端口开放的结果nmap -sT -Pn --open -v banner.nse 192.168.1.1 获取服务器的banner信息nmap -sP 192.168.0.0/24 判断哪些主机存活nmap -sT 192.168.0.3 开放了哪些端口nmap -sS 192.168.0.127 开放了哪些端口(隐蔽扫描)nmap -sU 192.168.0.127 开放了哪些端口(UDP)nmap -sS -O 192.168.0.127 操作系统识别nmap -sT -p 80 -oG – 192.168.1.* | grep open 列出开放了指定端口的主机列表nmap -sV -p 80 baidu.com 列出服务器类型(列出操作系统,开发端口,服务器类型,网站脚本类型等)
nmap -sT -sV -O -P0 --open -n -oN result.txt -p80-89,8080-8099,8000-8009,7001-7009,9000-9099,21,443,873,2601,2604,3128,4440,6082,6379,8888,3389,9200,11211,27017,28017,389,8443,4848,8649,995,9440,9871,2222,2082,3311,18100,9956,1433,3306,1900,49705,50030,7778,5432,7080,5900,50070,5000,5560,10000 -iL ip.txt --open 只输出端口开放的结果 输出到result.txt文件

Goby

扫描目标资产(域名+IP段),服务识别,POC漏洞概念验证,大量插件组合使用。

常用插件:

  • fofa fofa.info 空间搜索引擎
  • subdomainbrute 子域名爆破
  • xray + rad 利用xray漏洞扫描+ rad浏览器爬虫
  • ExportCsv 导出表格
  • awvs 在插件中填key awvs 访问地址
  • Dictionary_config 字典生成
  • backup_scan 备份文件扫描
  • vulmap 漏洞扫描和验证
  • redis-cli 利用redis未授权执行命令
  • dirsearch 敏感文件目录扫描器
  • expinfovuln .git/.ds_store/.idea/.svn文件利用
    • githack https://github.com/lijiejie/GitHack
    • ds_store_exp https://github.com/lijiejie/ds_store_exp
    • idea_exploit https://github.com/lijiejie/idea_exploit
    • SvnExploit https://github.com/admintony/svnExploit
  • springboot_scan java sprintboot框架扫描 图标为小绿叶

常见端口利用

端口服务渗透用途
tcp 20,21FTP允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 20,21SSH可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道 及内网代理转发,文件传输等等
tcp 23Telnet爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25SMTP邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-userenum工具来自动跑
tcp/udp 53DNS允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧 道的远控
tcp/udp 69TFTP尝试下载目标及其的各类重要配置文件
tcp 80- 89,443,8440- 8450,8080- 8089各种常用的 Web服务端口可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控 制台,各类服务器Web管理面板,各类Web中间件漏洞利用, 各类Web框架漏洞利用等等……
tcp 110POP3可尝试爆破,嗅探
tcp 111,2049NFS权限配置不当
tcp 137,139,445Samba可尝试爆破以及smb自身的各种远程执行类漏洞利用, 如,ms08-067,ms17-010,嗅探等……
tcp 143IMAP可尝试爆破
udp 161SNMP爆破默认团队字符串,搜集目标内网信息
tcp 389LDAPldap注入,允许匿名访问,弱口令
tcp 512,513,514Linux rexec可爆破,rlogin登陆
tcp 873Rsync匿名访问,文件上传
tcp 1194OpenVPN想办法钓VPN账号,进内网
tcp 1352Lotus弱口令,信息泄漏,爆破
tcp 1433SQL Server注入,提权,sa弱口令,爆破
tcp 1521Oracletns爆破,注入,弹shell…
tcp 1500ISPmanager弱口令
tcp 1723PPTP爆破,想办法钓VPN账号,进内网
tcp 2082,2083cPanel弱口令
tcp 2181ZooKeeper未授权访问
tcp 2601,2604Zebra默认密码zerbra
tcp 3128Squid弱口令
tcp 3312,3311kangle弱口令
tcp 3306MySQL注入,提权,爆破
tcp 3389Windows RDPshift后门[需要03以下的系统],爆破,ms12-020
tcp 3690SVNsvn泄露,未授权访问
tcp 4848GlassFish弱口令
tcp 5000Sybase/DB2爆破,注入
tcp 5432PostgreSQL爆破,注入,弱口令
tcp 5900,5901,5902VNC弱口令爆破
tcp 5984CouchDB未授权导致的任意指令执行
tcp 6379Redis可尝试未授权访问,弱口令爆破
tcp 7001,7002WebLogicJava反序列化,弱口令
tcp 7778Kloxo主机面板登录
tcp 8000Ajenti弱口令
tcp 8443Plesk弱口令
tcp 8069Zabbix远程执行,SQL注入
tcp 8080-8089Jenkins,JBoss反序列化,控制台弱口令
tcp 9080- 9081,9090WebSphereJava反序列化/弱口令
tcp 9200,9300ElasticSearch远程执行
tcp 11211Memcached未授权访问
tcp 27017,27018MongoDB爆破,未授权访问
tcp 50070,50030Hadoop默认端口未授权访问

操作系统识别

  • 端口特征识别 iis80 rdp3389 ssh22 samba 445
  • 系统特征大小写
  • TTL值特征 TTL=128 Windows TTL=64 Linux
  • 常见网站动态语言 asp aspx php jsp phpinfo信息泄漏

网站信息搜集

CMS指纹识别

识别建站系统(CMS)后定位版本信息,利用nday或代码审计挖掘漏洞。

  • 通过特殊文件或特殊目录识别 (wp-login.php dede )
  • 通过页面版权信息,poweredby@关键字
  • 前端代码中相关信息(特征js文件+特征html body+特征title)
  • robots.txt文件中的关键字 (作用标记哪些文件目录可以被爬虫访问+哪些不允许)
  • wapplazyer 插件根据响应包内容识别CMS
  • whatweb 通过响应包提取相关信息
  • whatweb指纹识别
  • 潮汐指纹
  • 云悉指纹
  • 水泽信息收集(信息收集+漏洞扫描)
  • 棱洞信息收集(信息收集+漏洞扫描)
  • 棱角社区漏洞资产
  • serein 工具包
  • gui_tools 工具包

CMS漏洞利用

  • 常规搜索引擎,dedecms 漏洞,dedecms exp/poc/exploit/bug/getshell nday
  • 乌云漏洞库 织梦cms dedecms
    • 乌云漏洞库 - Darkyz | 在线武器库
    • https://wooyun.website/
  • exploit-db dedecms
  • CNVD搜索dedecms
  • Github 搜索dedecms

源代码审计 挖0day

1、全文通读 —— 漏洞挖掘最全

2、敏感函数回溯 —— 方便快捷挖掘漏洞

  • eval assert create_function arrat_map 代码执行
  • system passthru popen shell_exec exec `` 命令执行
  • select update insert sqli
  • move_uploaded_file upload
  • include require include_once require_once lRI RFI
  • echo print print_r XSS

3、定向功能分析法 —— 定向挖掘某块功能的漏洞

中间件信息收集

IIS Apache httpd Nginx weblogic tomcat jboss jekins websphere

github 搜索相关漏洞利用工具

网站脚本信息收集

  • 我们需要知道网站用的脚本类型:php 、jsp 、asp 、aspx 。

  • 根据网站URL来判断

  • site:xxx filetype:php

  • 可以根据Firefox的插件来判断 wapplazyer

  • 目录爆破/文件爆破

  • 漏洞扫描器(awvs xray appscan首推Xray)

数据库信息搜集

  • Access 全名是Microsoft Office Access,是由微软发布的关联式数据库管理系统。小型数据库,当 数据库达到100M左右的时候性能就会下降。数据库后缀名: .mdb 一般是asp的网页文件用 access数据库
  • SQL Server是由Microsoft开发和推广的关系数据库管理系统(DBMS),是一个比较大型的数据 库。端口号为1433。数据库后缀名 .mdf
  • MySQL 是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,目前属于 Oracle 旗下产品。 MySQL是最流行的关系型数据库管理系统,在 WEB 应用方面MySQL是最好的应用软件之一, MySQL数据库大部分是php的页面。默认端口是3306
  • Oracle又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。常用于比 较大的网站。默认端口是1521
端口Access没有端口mssql 1433mysql 3306oracle 1521脚本类型常见搭配ASP 和 ASPX:ACCESS、SQL ServerPHP:MySQL、PostgreSQLJSP:Oracle、MySQL漏洞扫描器 sqlmap

网站目录结构信息收集

常见的敏感文件

  • .git githack
  • .ds_store ds_store_exp
  • .idea idea_exploit
  • .svn SvnExploit

网站备份压缩文件

  • dirsearch加后缀扩展们爆破文件和目录
  • 御剑图形化 + 选择字典
  • 7kbwebpathscanner图形化 + 自选字典
  • dirmap字典齐全
  • dirb kali自带敏感文件和目录爆破
  • dirbuster java图形化支持递归爆破文件和目录
  • WEB-INF文件 java中间件 泄漏配置信息
  • Web.Config asp|aspx 网站配置文件 config.jsp | config.php config.inc find . -name "config.*"

配置文件泄露

爱站网 搜索whois 备案信息 ip反查 域名 子域名

备案信息查询还有其他的站长之家之类的

真实IP信息搜集

在渗透过程中,目标服务器可能只有一个域名,那么如何通过这个域名来确定目标服务器的真实IP对渗 透测试来说很重要,在探测IP的过程中,分为两种情况存在CDN以及不存在CDN

CDN的介绍

CDN即内容分发网络,主要解决因传输距离和不同的运营商节点造成的网络速度性能低下的问题。简单 来说,就是一组在不同运营商之间的对接节点上的高速缓存服务器,把用户经常访问的静态资源直接缓 存到节点服务器上,当用户再次请求时,会直接分发到在离用户最近的节点服务器上响应给用户。这样 可以大大提高网站的响应速度以及用户体验。

不存在CDN

可以直接获取目标的IP及域名信息

存在CDN

如果渗透目标购买了CDN服务,可以ping通目标的域名,但得到的不是真正的目标Web服务器,这就导 致了我们无法直接得到目标的真实IP段范围。

判断网站是否存在CDN

ping 域名 nslookup 域名 得到IP地址 curl cip.cc/ip + 企业地址

直接nmap全端口扫描 通过IP+端口 访问web https://223.93.162.3/ 跟域名访问网站相同即是真实IP地址

真实IP信息收集方法:

  • 域名历史解析记录(DNS记录)

  • 通过国外vps+国外dns 访问国内域名

  • 通过子域名获取真实IP地址 (挂CDN付费,边缘资产一般都不挂)

  • 网站漏洞+phpinfo信息 获取真实IP地址

  • 网站邮件订阅查找 邮件头中会包含邮箱服务器 真实IP

  • 全网扫描 根据网站banner信息确定IP地址【banner 信息来表示欢迎语,其中会包含一些敏感信息,所以获取 banner 也属于信息搜集的范畴。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。在 banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。

    banner 信息获取的基础是在和目标建立链接后的,只有建立的链接,才可以获取到相应的 banner 信息,当目标对 banner 信息进行隐藏或者配置了禁止读取时,这时的 banner 则获取不到。】

  • DNS历史记录

  • 网络空间搜索引擎 搜索筛选

ichunqiu.com #fofa数据中含有ichunqiu.com的网站body="ichunqiu.com" #直接从网站正文中获取含有ichunqiu.com结果title="【i春秋】-专注网络安全_信息安全_白帽子的在线学习_教育_培训平台"header="ichunqiu.com"查看网站https证书 将序列号去除: 16进制转10进制0C:0E:E0:20:B8:07:D6:3C:48:B3:5D:40:DA:3C:1F:5B0C0EE020B807D63C48B35D40DA3C1F5B16027973957445612478614285750581862235https://tool.lu/cert=16027973957445612478614285750581862235

fofa语法

FOFA相关语法title="beijing" 从标题中搜索“北京” header="jboss" 从http头中搜索“jboss” body="Hacked by" 从html正文中搜索abc domain="qq.com" 搜索根域名带有qq.com的网站。 host=".gov.cn" 从url中搜索”.gov.cn” 搜索要用host作为名称port="443" 查找对应“443”端口的资产 ip="1.1.1.1" 从ip中搜索包含“1.1.1.1”的网站 搜索要用ip作为名称ip="220.181.111.1/24" 查询IP为“220.181.111.1”的C网段资产。protocol="https" 查询https协议资产 搜索指定协议类型(在开启端口扫描的情况下有icon_hash="713581487" 指定网站图标搜索相关网站city="Hangzhou" 搜索指定城市的资产。region="Zhejiang" 搜索指定行政区的资产。country="CN" 搜索指定国家(编码)的资产。cert="google" 搜索证书(https或者imaps等)中带有google的资产。server=="Microsoft-IIS/7.5" 搜索IIS 7.5服务器。app="HIKVISION-视频监控" 搜索海康威视设备。ip="60.191.116.170/24" && port="3306" #搜索网段开放指定端口的资产ip="60.191.116.181" #搜索指定IP开放的端口ip="60.191.116.0/24" #搜索指定c段资产domain="hzvtc.edu.cn" #搜索域名包含hzvtc.edu.cn的资产domain="hzvtc.edu.cn" && status_code="200" #搜索指定网站状态码为200的资产cert="hzvtc.edu.cn" #搜索证书域名包含hzvtc.edu.cn的资产cert="62915681758986821938903689415000632430" #搜索序列号为62915681758986821938903689415000632430资产,更加准确server=="Microsoft-IIS/7.5" 搜索指定中间件app="HIKVISION-视频监控" #搜索指定指纹资产 从https://fofa.info/library提取指纹库

旁站/C段信息收集

  • 查旁站
  • 站长工具查旁站

企业信息搜集

  • 企查查
  • 天眼查
  • 爱企查
  • 小蓝本
员工信息(手机号码、邮箱、姓名等),组织框架、企业法人、企业综合信息等。其中员工信息收集是信息收集中的一项重要工作,员工信息包括:员工姓名、员工工号、员工家庭及交际信息、上网习惯等。(社会工程学)员工身份信息:员工简历,员工身份证,手机号,生日,家乡,住址等个人信息。员工社交账号信息。生成社工字典 + 利用社工手段利用

敏感文件信息收集

  • 资产包含特征系统名 利用文库搜索敏感平台操作文件
  • .edu.cn password vpn github搜索语法 选择code 从代码中找关键字
“target.com” send_keys“target.com” password“target.com” api_key“target.com” apikey“target.com” jira_password“target.com” root_password“target.com” access_token“target.com” config“target.com” client_secret“target.com” user auth
  • 云盘分享文件

暴力破解

  • 数据库

账号:root

密码:root、root123、123456

  • tomcat

账号:admin、tomcat、manager

密码:admin、tomcat、admin123、123456、manager

  • jboss

账号:admin、jboss、manager

密码:admin、jboss、manager、123456

  • weblogic

账号:weblogic、admin、manager

密码:weblogic、admin、manager、123456

字典生生成工具:白鹿

爆破工具

Hydra

Hydra也称九头蛇,是支持众多协议的爆破工具,且Windows/Linux环境下都支持,且本软件已经集成 到kali系统中

常用参数:

-l 指定用户名-L 指定用户名字典-p 指定密码-P 指定密码字典-vV 显示爆破细节-f 找到正确的账密就停止爆破-o 保存爆破结果。-t 线程 默认线程为16 ※注意:如果线程过大,会导致hydra崩溃-e nsr-e下的三个选项,n是null --空密码试探,s是same --密码与用户名一致,r是反向 --将用户名倒置。如:用户名是root 倒置为toor。

常用命令:

hydra -l user -P passlist.txt ftp://192.168.0.1 #指定用户爆密码hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN #指定密码爆用户hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5hydra -l admin -p password ftp://[192.168.0.0/24]/ #指定用户名密码爆破网段hydra -L logins.txt -P pws.txt -M targets.txt ssh #指定目标用户名密码爆破ssh

超级弱口令检测工具

nmap手册

-sTTCP connect()扫描,这是最基本的TCP扫描方式。这种扫描很容易被检测到,在目标主机的日志中会记录大批的连接请求以及错误信息。-sSTCP同步扫描(TCP SYN),因为不必全部打开一个TCP连接,所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是,很少有系统能够把这记入系统日志。不过,你需要root权限来定制SYN数据包。-sF,-sX,-sN秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是:关闭的端口需要对你的探测包回应RST包,而打开的端口必需忽略有问题的包(参考RFC 793第64页)。-sPping扫描,用ping方式检查网络上哪些主机正在运行。当主机阻塞ICMP echo请求包是ping扫描是无效的。nmap在任何情况下都会进行ping扫描,只有目标主机处于运行状态,才会进行后续的扫描。-sU如果你想知道在某台主机上提供哪些UDP(用户数据报协议,RFC768)服务,可以使用此选项。-sAACK扫描,这项高级的扫描方法通常可以用来穿过防火墙。-sW滑动窗口扫描,非常类似于ACK的扫描。-sRRPC扫描,和其它不同的端口扫描方法结合使用。-bFTP反弹攻击(bounce attack),连接到防火墙后面的一台FTP服务器做代理,接着进行端口扫描。-P0在扫描之前,不ping主机。-PT扫描之前,使用TCP ping确定哪些主机正在运行。-PS对于root用户,这个选项让nmap使用SYN包而不是ACK包来对目标主机进行扫描。-PI设置这个选项,让nmap使用真正的ping(ICMP echo请求)来扫描目标主机是否正在运行。-PB这是默认的ping扫描选项。它使用ACK(-PT)和ICMP(-PI)两种扫描类型并行扫描。如果防火墙能够过滤其中一种包,使用这种方法,你就能够穿过防火墙。-O这个选项激活对TCP/IP指纹特征(fingerprinting)的扫描,获得远程主机的标志,也就是操作系统类型。-I打开nmap的反向标志扫描功能。-f使用碎片IP数据包发送SYN、FIN、XMAS、NULL。包增加包过滤、入侵检测系统的难度,使其无法知道你的企图。-v冗余模式。强烈推荐使用这个选项,它会给出扫描过程中的详细信息。-S 在一些情况下,nmap可能无法确定你的源地址(nmap会告诉你)。在这种情况使用这个选项给出你的IP地址。-g port设置扫描的源端口。一些天真的防火墙和包过滤器的规则集允许源端口为DNS(53)或者FTP-DATA(20)的包通过和实现连接。显然,如果攻击者把源端口修改为20或者53,就可以摧毁防火墙的防护。-oN把扫描结果重定向到一个可读的文件logfilename中。-oS扫描结果输出到标准输出。--host_timeout设置扫描一台主机的时间,以毫秒为单位。默认的情况下,没有超时限制。--max_rtt_timeout设置对每次探测的等待时间,以毫秒为单位。如果超过这个时间限制就重传或者超时。默认值是大约9000毫秒。--min_rtt_timeout设置nmap对每次探测至少等待你指定的时间,以毫秒为单位。-M count置进行TCP connect()扫描时,最多使用多少个套接字进行并行的扫描。目标地址可以为IP地址,CIRD地址等。如192.168.1.2,222.247.54.5/24-iL filename从filename文件中读取扫描的目标。-iR让nmap自己随机挑选主机进行扫描。-p端口 这个选项让你选择要进行扫描的端口号的范围。如:-p 20-30,139,60000。-exclude排除指定主机。-excludefile排除指定文件中的主机。

关键词: