渗透测试之信息收集2

进行渗透测试之前，最重要的一步便是对目标站点的信息收集。那么我们对目标站点的信息收集要收集那些有用的信息呢？信息收集中，最重要的就是要收集目标站点的服务器的配置信息和网站的敏感信息。包括域名信息及其子域名信息、服务器系统、CMS指纹、真实IP地址、开放端口及所属服务

在线网站查询whois信息
whois： https://www.whois.net/
阿里云： https://whois.aliyun.com/
站长之家：http://whois.chinaz.com/
爱站工具网：https://whois.aizhan.com/
微步在线：https://x.threatbook.cn/
Virus Total：https://www.virustotal.com
收集到的whois信息主要关注点在注册商、注册人、注册人邮箱、DNS解析服务器、注册人联系电话。
备案信息查询
常用备案信息查询网站如下：
企查查： https://www.qichacha.com
天眼查：https://www.tianyancha.com/
ICP备案查询网：http://www.beianbeian.com/
国家企业信用信息公示系统：http://www.gsxt.gov.cn/index.html
敏感信息收集
利用googlehack语法进行敏感信息收集
关键字 说明
site 指定域名
inurl URL栏中存在关键字的网页
intext 网页正文中存在的关键字
filetype 指定文件类型
intitle 网页标题中存在的关键字
举个栗子：
1，找管理后台地址
site:www.xxx.com intext:后台|管理|登陆|用户名|密码|系统|用户名|账号
site:www.xxx.com inurl:admin|manager|admin_login|system|login
site:www.xxx.com intitle:管理|后台|登陆
2、找敏感文件
site:www.xxx.com inurl:robots.txt
site:www.xxx.com filetype:mdb|txt|zip|rar
site:www.xxx.com inurl:txt|zip|rar|mdb
3、使用网络空间搜索引擎
FOFA：https://fofa.so/
shodan：https://www.shodan.io/
钟馗之眼：https://www.zoomeye.org/
通常我们所说的敏感文件、敏感目录大概有以下几种：
（1）Git
（2）hg/Mercurial
（3）svn/Subversion
（4）bzr/Bazaar
（5）Cvs
（6）WEB-INF泄露
（7）备份文件泄露、配置文件泄露
敏感文件、敏感目录挖掘一般都是靠工具、脚本来找，当然大佬手工也能找得到。
常用的工具有：
（1）御剑（真的很万能）http://www.moonsec.com/post-753.html
（2）爬虫（AWVS、Burpsuite等）暂不提供下载链接，可自行度娘
（3）搜索引擎（Google、Github等）悄悄的酸酸乳，gayhub不用也可以啦只是速度稍慢而已
（4）wwwscan
（5）BBscan（一位巨佬写的python脚本：https://github.com/lijiejie/BBScan ）
（6）GSIL（也是一位巨佬写的python脚本：https://github.com/FeeiCN/GSIL ）
子域名信息收集
子域名是在顶级域名下的域名，收集的子域名越多，我们测试的目标就越多，渗透的成功率也越大。往往在主站找不到突破口的时候，我们从子域名入手，有时候你会发现惊喜哦
1、搜索引擎枚举（google语法）
site:xxx.com 查询xxx.com范围的子域名站点
2、子域名检测工具
Layer子域名挖掘机:云盘 提取码：ehts
sublist3r:https://github.com/aboul3la/Sublist3r
mydomain:https://github.com/ring04h/wydomain
lijiejie的subdomainsbrute:https://github.com/lijiejie/subDomainsBrute
3、第三方在线网站查询
phpinfo.me:https://phpinfo.me/domain
DNSdumsper:https://dnsdumsper.com
VirusTotal：https://www.virustotal.com/#/home/search
4、证书公开日志枚举
查找一个域名证书的最简单方法是使用搜索引擎来收集计算机的CT日志，并让任何搜索引擎搜索它们
推荐两个在线查询网站
crt.sh:https://crt.sh
censys:https://censys.io
5、DNS搜索
dns查询1： https://dns.bufferover.run/dns?q=
dns查询2： https://viewdns.info/
dns查询3： https://dnslytics.com/
解析记录查询(也可以查其他信息)： https://www.netcraft.com/
常用端口信息收集
1、在线端口扫描网站:
http://coolaf.com/tool/port
http://tool.cc/port/
http://www.matools.com/port
2、工具扫描
Nmap----nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。
常见端口漏洞：
端口 服务 说明
21 FTP 主要看是否支持匿名，也可跑弱口令
22 SSH 弱口令爆破
22 SSH 弱口令爆破
23 telnet 弱口令爆破
80-90 WEB 常见WEB漏洞以及一些为管理后台
161 snmp public弱口令
389 ldap 是否为匿名访问
443 openssl 心脏出血以及一些WEB漏洞测试
445 smb 跑弱口令，检测是否有ms_08067等溢出
873 rsync 是否为匿名访问，也可以跑弱口令
1025 RPC NFS匿名访问
1099 java rmi 远程命令执行漏洞
1433 mssql 弱口令爆破
1521 oracle 弱口令爆破
2082/2083 cpanel主机管理系统登陆 弱口令爆破
2222 DA虚拟主机管理系统登陆 弱口令爆破
2601,2604 zebra路由器 默认密码zebra
3128 squid代理默认端口 如果没设置口令很可能就直接漫游内网
3306 mysql 弱口令爆破
3312/3311 kangle主机管理系统登陆 说明
3389 RDP 弱口令爆破，SHIFT后门，放大镜，输入法漏洞
4440 rundeck web
4848 GlassFish web中间件 弱口令admin/adminadmin
5432 postgres 弱口令爆破
5560,7778 iSqlPlus
5900,5901,5902 vnc 弱口令爆破
5984 CouchDB http://xxx:5984/_utils/
6082 varnish
6379 redis 一般无验证，直接访问
7001,7002 weblogic 弱口令爆破
7778 Kloxo 主机控制面板登录
8080 tomcat\jboss 弱口令爆破，jboss后台可能不验证
8649 ganglia
8080-8090 常见WEB端口
8083 Vestacp主机管理系统 （国外用较多）
8649 ganglia
8888 amh/LuManager 主机管理系统默认端口 说明
9000 fcgi fcgi php命令执行漏洞
9200 elasticsearch 代码执行
9043 websphere 弱口令爆破
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 memcache 内存泄露
27017,28017 mongodb 未授权访问
50000 Upnp SAP命令执行
50060,50030 hadoop WEB 未授权访问
指纹识别
当我们探测目标站点网站架构时，比如说：操作系统，中间件，脚本语言，数据库，服务器，web容器等等，可以使用以下方法查询。
1、wappalyzer插件——火狐插件
2、云悉：http://www.yunsee.cn/info.html
3、潮汐指纹：http://finger.tidesec.net/
4、CMS指纹识别：http://whatweb.bugscaner.com/look/
5、whatweb在线：https://whatweb.net/
查到真实IP
1.、多地点ping查看
http://ping.chinaz.com/baidu.com
https://ping.aizhan.com/
2、检测网站IP来判断
https://get-site-ip.com/
3、微步查历史ip和反查域名
https://x.threatbook.cn
4、SecurityTrails平台
https://securitytrails.com/#search
5、历史查询
DNS查询：https://dnsdb.io/zh-cn/
CDN查询：https://tools.ipip.net/cdn.php
历史IP：https://viewdns.info/
WAF探测
Waf也叫Web应用防火墙，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。Waf的探测很多人都会忽略掉，其实当我们遇到Waf，第一想法是溜了溜了、告辞告辞。但当我们知道是什么Waf时，又有种去绕过它的冲动，很多大牛都喜欢挑战Waf，于是网上就出现了很多绕过Waf的教学视频。毕竟成功绕过之后的那种自豪感真的真的很舒服。
我常用的两种方式：
1、手工（提交恶意数据，直接报错显示出来waf信息）
2、Kaili工具（WAFW00F、Nmap）
Nmap探测WAF有两种脚本。
一种是http-waf-detect。
命令：nmap -p80,443 --script=http-waf-detect target ip
一种是http-waf-fingerprint。
命令：nmap -p80,443 --script=http-waf-fingerprint target ip
WAFW00F探测WAF
命令：wafw00f -a domains
旁站、C段
旁站：是和目标网站在同一台服务器上的其它的网站。
C端：是和目标服务器ip处在同一个C段的其它服务器。
旁站和C段的查询方式：
1、利用Bing.com，语法为：http://cn.bing.com/search?q=ip:111.111.111.111
2、站长之家：http://s.tool.chinaz.com/same
3、利用Google，语法：site:target IP
4、利用Nmap，语法：nmap -p 80,8080 –open ip/24
5、K8工具、御剑、北极熊扫描器等
6、在线：http://www.webscan.cc/