MENU

始于信息,并非止于信息-在线篇

November 24, 2018 • Read: 857 • 安全测试阅读设置

标题咋来的?
"始于足球,止于足球" --《足球流氓》

昨天看了一部电影,推荐大家可以看下,挺有意思的。

讲述了...还是不说了。


在渗透测试中,信息尤为重要。
始于信息,并非止于信息
知识面决定攻击链

思路

  • 在拿到一个站点的时候我们应该怎么做?怎么做信息收集这一工作?

1、我们需要知道它的资产信息、例如:子域名、IP、端口、脚本、容器、Whois、各种信息泄露等
2、每个人收集的方式也各不一样,通常使用在线网站或者是脚本等工具
3、本文观点仅仅代表个人观点,有不同的建议请提出,会认真思考接受建议与否。

在线篇

代指可以使用各类信息查询的网站
基于在线提供的查询网站特别多,只提供例子

域名信息

获取对我们后期测试有用的信息

Whois查询

为什么我们要查询网站的Whois信息?

1、我们能获取到管理员或者注册人的信息,例如:姓名、电话、邮箱、域名提供商等。
2、通过反查邮箱等方式,我们可以知道该管理员注册过那些网站等。
3、对于中小站点而言,域名所有人往往就是管理员。
4、旁站思路:主站拿不下,试试旁站。如果该管理员的某个站点存在SQL注入等,拿到密码后可以去试试,是否为同一密码等情况。

备案信息查询

1、通过域名备案,我们可以知道是谁备案的,或者是那个公司备案的,网站负责人是不是我们的管理员?
2、通过天眼查,我们可以知道该公司的地址和创立时间等情况。

通过前面两步,我们知道了一些信息,我们可以把我们知道的信息导入到密码生成器中测试
例如很多人喜欢用生日当密码等、某个特定的名字、邮箱等,我们都可以生成一个随机密码供后期测试,例如:爆破

敏感信息

比如:git信息泄露等、目录遍历、后台地址、编辑器地址等

搜索引擎

学会使用搜索引擎会让你事半功倍

  • Google、baidu、bing 等传统的搜索引擎
  • shodanzoomeyefofa 等专业的网络空间搜索引擎

1、传统的搜索引擎使用Google hack语法获取我们想要的信息,针对于具体站点来说:比如,后台、编辑器、源码泄露、学号等有用的信息
Google hack常用语法

关键字说明
site指定域名
inurlurl中存在关键字的网页
intext网页正文中的关键字
Filetype指定文件类型
intitle网页标题中的关键字
linklink:baidu.com即表示返回所有和baidu.com做了链接的URL
info查找指定站点的一些基本信息
cache搜索Google里关于某写内容的缓存

具体使用Google hack语法可参考:


2、专业网络空间搜索引擎搜索的东西不仅仅针对网站方面了,由于博主太菜了,对专业性的搜索引擎用的不多,请参考例子。

ZoomEye是一款针对网络空间的搜索引擎,收录了互联网空间中的设备、网站及其使用的服务或组件等信息。


无论是Google还是ZoomEye等搜索引擎,对我们信息收集的帮助很大。
通过搜索引擎不断的去挖掘出我们想要的信息,比如:站长的个人信息、敏感目录等

参考:记一次帮朋友社工网友

子域名信息

在主域无从下的时候,我们往往会避开主域,关注子域名,二级域名、三级域名等

得到大量的子域名时,我们的范围就更广了,思路就应该更加开阔。
参考:子域名劫持漏洞的挖掘指南

参考:子域名枚举的艺术

端口信息

貌似对端口扫描的在线很少,博主是没有看到其他的,也可以利用ZoomEye等搜索引擎查找端口信息

常见的端口-服务-攻击方向

  • 文件共享服务端口
端口号端口说明攻击方向
21/22/69Ftp/TFtp文件传输协议匿名上传、下载、爆破和嗅探
2049Nfs服务配置不当
139Samba服务爆破、未授权访问、远程代码执行
389Ldap目录访问协议注入允许、匿名访问、弱口令
  • 远程链接服务端口
端口号端口说明攻击方向
22SSH远程连接爆破、SSH隧道及内网代理转发、文件传输
23Telnet远程连接爆破、嗅探、弱口令
3389Rdp远程桌面连接Shift后门(Win sever 2003以下系统)、爆破
5900VNC弱口令爆破
5632PyAnywhere服务抓密码、代码执行
  • Web应用服务端口
端口号端口说明攻击方向
80/443/8080常见web服务端口web攻击、爆破、对应服务器版本漏洞
7001/7002weblogic控制台Java反序列化、弱口令
8080/8089Jboss/Resin?Jetty/Jenkins反序列化、控制台弱口令
9090WebShphere控制台Java反序列化、弱口令
4848GlassFish控制台弱口令
1352Lotus domino邮件服务弱口令、信息泄露、爆破
10000Webmin-Web控制面板弱口令
  • 数据库服务端口
端口号端口说明攻击方向
3306Mysql注入、提权、爆破
1433MSSQL数据库注入、提权、SA弱口令、爆破
1521Oracle数据库TNS爆破、注入、反弹Shell
5432PostgreSQL爆破、注入、弱口令
27017/27018MongoDB爆破、未授权访问
6379Redis数据库可尝试未授权访问、弱口令、爆破
5000SysBase/DB2数据库爆破、注入
  • 邮件服务端口
端口号端口说明攻击方向
25SMTP邮件服务邮件伪造
110POP3协议爆破、嗅探
143IMAP协议爆破
  • 网络常见协议端口
端口号端口说明攻击方向
53DNS域名系统允许区域传送、DNS劫持、缓存投毒、欺骗
67/68DHCP服务劫持、欺骗
161SNMP协议爆破、搜集目标内网信息
  • 特殊服务端口
端口号端口说明攻击方向
2181Zookeeper服务未授权访问
8069Zabbix服务远程执行、SQL注入
9200/9300Elastcsearch服务远程执行
11211Memcache服务未授权访问
512/513/514Linux Rexec服务爆破、Rlogin登陆
873Rsync服务匿名访问、文件上传
6390Svn服务Svn泄露、未授权访问
50000SAPManagement Console远程代码执行

参考:端口渗透总结

指纹识别

指纹具有唯一性、不变性和方便性,简单来说一个站点来说好比人的身份证一样。欧了

通过指纹识别我们可以快速的找到cms等版本信息,针对cms等,对症下药

  • 查找真实IP

现在的网站基本都上了CDN,我们需要找到真实的IP地址,才能去扫描它开放的端口服务

在线篇总结

举的例子可能不是很好,但是都是能够对我们日常信息收集有用
不一定非要找敏感信息,只要是有用的信息,都是敏感信息,我们可以排列、组合等方式,做我们需要的东西。
可能不全,写的不好、毕竟博主还是个菜鸡。

总结

  • 学会思路,懂得变通
  • 不要放过任何对你有用的信息
  • 通过功能点、信息收集点来进行测试、把握整体的网站架构

未完待续...工具篇编辑中

参考: 浅谈前期信息收集
参考:信息收集从无到有
参考:《web安全攻防-渗透测试指南》

感谢:
@404的树枝、@啃树皮 提供密码生成网站
@blankmi 提供的DNS枚举网站
Last Modified: April 29, 2019
Archives QR Code Tip
QR Code for this page
Tipping QR Code