信息收集

打印 上一主题 下一主题

主题 978|帖子 978|积分 2934

域名信息

Whois查询

指的是域名注册时留下的信息·管理员名字、电话、邮箱
可以通过社工、查询有误其他域名,扩大攻击范围
邮箱收集


  • 通过工具

    • theHarvester
    • infoga

备案信息查询

网站备案信息是根据国家法律法规规定,由网站所有者向国家有关部门申请的备案,是国家信息产业部对网站的一种管理途径,是为了防止在网上从事非法网站经营活动,当然主要是针对国内网站。
在备案查询中我们主要关注的是:单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等。

信用信息查询

查一些基础信息,看运气

子域名信息

子域名

DNS记录

通过字典拼接到域名上去访问DN服务器,如果服务器有响应,则该域名存在
Dns域名解析

<ol>ping
  1. root@kali:/home/mpy# ping baidu.com
  2. PING baidu.com (220.181.38.148) 56(84) bytes of data.
  3. 64 bytes from 220.181.38.148 (220.181.38.148): icmp_seq=1 ttl=128 time=68.5 ms
复制代码
nslookup
nslookup baidu.com
  1. root@kali:/home/mpy# nslookup baidu.com
  2. Server:         192.168.30.2
  3. Address:        192.168.30.2#53
  4. Non-authoritative answer:
  5. Name:   baidu.com
  6. Address: 39.156.69.79
  7. Name:   baidu.com
  8. Address: 220.181.38.148
复制代码
dig
dig @服务器地址 需要查询的地址 any
any:显示所有类型的域名记录(默认只显示A记录)
  1. root@kali:/home/mpy# dig baidu.com
  2. root@kali:/home/mpy# dig @8.8.8.8 baidu.com
  3. root@kali:/home/mpy# dig @8.8.8.8 baidu.com any
  4. root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
  5.     ……
  6. baidu.com.              7191    IN      SOA     dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
  7. baidu.com.              21591   IN      NS      ns4.baidu.com.
  8.     ……
复制代码
+noall +answer会显示的很整洁
  1. root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
  2. baidu.com.              7070    IN      SOA     dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
  3. baidu.com.              21470   IN      NS      ns4.baidu.com.
  4. baidu.com.              21470   IN      NS      ns7.baidu.com.
  5. baidu.com.              21470   IN      NS      ns3.baidu.com.
  6. baidu.com.              21470   IN      NS      dns.baidu.com.
  7. baidu.com.              21470   IN      NS      ns2.baidu.com.
  8. baidu.com.              470     IN      A       39.156.69.79
  9. baidu.com.              470     IN      A       220.181.38.148
  10. baidu.com.              7070    IN      MX      20 mx50.baidu.com.
  11. baidu.com.              7070    IN      MX      10 mx.maillb.baidu.com.
  12. baidu.com.              7070    IN      MX      15 mx.n.shifen.com.
复制代码
-x使用IP反查域名
  1. root@kali:/home/mpy# dig -x 8.8.8.8
  2. ; <<>> DiG 9.16.6-Debian <<>> -x 8.8.8.8
  3. ;; global options: +cmd
  4. ;; Got answer:
  5. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22187
  6. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
  7. ;; QUESTION SECTION:
  8. ;8.8.8.8.in-addr.arpa.          IN      PTR
  9. ;; ANSWER SECTION:
  10. 8.8.8.8.in-addr.arpa.   5       IN      PTR     dns.google.
复制代码
DNS域传送漏洞原理

DNS服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据,并用得到的数据更新自身数据库
若DNS服务器配置不当,可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。同时,黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,绕过基于网络的访问控制。


  • DNS域传送漏洞检测

    • nslookup
      nslookup #进入交互式shell
      server dns.xx.yy.zz #设定查询将要使用的DNS服务器
      ls xx.yy.zz #列出某个域中的所有域名
      exit #退出
      1. root@kali:/home/mpy# dnsdict6 -m baidu.com
      复制代码
      1. -4 查询ipv4地址
      2. -D 显示自带的字典
      3. -t 线程数 最高32,默认是8
      4. -d 显示NS MX域名信息
      5. -S SRV服务名称猜解
      6. -[smlxu] 选择字典大小
      7. -s(mall=100),-m(edium=1419)(DEFAULT)
      8. -l(arge=2601),-x(treme=5886) or -u(ber=16724)
      复制代码
    • nmap

      • 利用nmap漏洞检测脚本"dns-zone-transfer"进行检测
      nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn
      --script dns-zone-transfer表示加载nmap漏洞检测脚本dns-zone-transfer.nse,扩展名.nse可省略
      --script-args dns-zone-transfer.domain=xxx.edu.cn向脚本传递参数,设置列出某个域中的所有域名
      -p 53 设置扫描53端口
      -Pn 设置通过Ping发现主机是否存活

    • dig
      dig -h
      dig @dns.xxx.edu.cn axfr xxx.edu.cn
      axfr是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录。

指纹识别

指网站CMS指纹识别、计算机操作系统及web容器的指纹识别等

WAF识别

WAF分类


  • 软件WAF

    • D盾

    • 云锁

    • UPUPW

    • 宝塔

    • 国防G01

    • 护卫神

    • 安全狗

    • 智创防火墙

    • 360主机卫士 / 360webscan

    • 西数WTS-WAF

    • Naxsi

    • 腾讯云

    • 腾讯宙斯盾

    • 百度云

    • 华为云

    • 网宿云

    • 创宇盾


  • 硬件WAF
    GOV站点(政府站点)、国网、运营商

应用信息

公众号、微博、应用程序、App等

真实IP

国内外CDN

国内常见CDN
  1. root@kali:/home/mpy# dig txt chaos VERSION.BIND @nc3.dnsv4.com
复制代码
国外常见CDN
  1. > nslookup
  2. Server:  lkwifi.cn
  3. Address:  192.168.68.1
  4. *** lkwifi.cn can't find nslookup: Non-existent domain
  5. > server ss2.bjfu.edu.cn
  6. Default Server:  ss2.bjfu.edu.cn
  7. Address:  202.204.112.67
  8. > ls bjfu.edu.cn
  9. [ss2.bjfu.edu.cn]
  10. *** Can't list domain bjfu.edu.cn: Query refused
  11. The DNS server refused to transfer the zone bjfu.edu.cn to your computer. If this
  12. is incorrect, check the zone transfer security settings for bjfu.edu.cn on the DNS
  13. server at IP address 202.204.112.67.
  14. > exit
复制代码
发现CDN

全国PING

绕过CDN

内部邮箱源

一般的邮件系统都在内部,没有经过CDN的解析,通过利用目标网站的邮箱注册、找回密码或者RSS订阅等功能,查看邮件、寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP。
注意:必须是目标自己的邮件服务器,第三方或公共邮件服务器是没有用的
国外请求

很多时候国内的CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP。
国际Ping

国外DNS解析

分站域名&C段查询

很多网站主站的访问量会比较大,所以主站都是挂CDN的,但是分站可能没有挂CDN,可以通过ping二级域名获取分站IP, 可能会出现分站和主站不是同一个IP但在同一个C段下面的情况,从而能判断出目标的真实IP段。
C段查询


  • 在线查询
  1. > nslookup
  2. > server dns1.xxx.edu.cn
  3. > ls xxx.edu.cn
复制代码

  • 工具

    • K8_C段旁注工具6.0
    • nmap
    • IISPutScanner
    • 小米范WEB查找器

小米范WEB查找器:http://pan.baidu.com/s/1pLjaQKF


  • 网络资产搜索引擎

    • Fofa、Shodan、ZoomEye

利用这些网络空间资产搜索引擎来搜索暴露在外的端口信息
利用语法搜索C段信息
网站漏洞

通过网站的信息泄露如phpinfo泄露,github信息泄露,命令执行等漏洞获取真实ip。
一些测试文件

phpinfo、test等
SSRF漏洞

服务器主动向外发起连接,找到真实IP地址
查询域名解析记录

一般网站从部署开始到使用cdn都有一个过程,周期如果较长的话 则可以通过这类历史解析记录查询等方式获取源站ip,查看IP与域名绑定的历史记录,可能会存在使用CDN前的记录。
在线网站查询
目标网站APP应用

如果目标网站有自己的App,可以尝试利用Fiddler或Burp Suite抓取App的请求,从里面找到目标的真实IP。
网络空间引擎搜索

shodan、FOFA、zoomeye
敏感信息

目录后台


  • 通过工具

    • 7kbscan-WebPathBrute
    • dirbuster
    • dirmap
    • 御剑

备份文件


  • 网站备份文件常用名
    backup
    db
    data
    web
    wwwroot
    database
    www
    code
    test
    admin
    user
    sql

  • 网站备份文件常用后缀名
    .bak
    .html
    _index.html
    .swp
    .rar
    .txt
    .zip
    .7z
    .sql
    .tar
    .gz
    .tgz
    .tar

  • 常见扫描工具有

    • Test404网站备份文件扫描器 v2.0

公开文件


  • 扫描工具

    • snitch

公网网盘

可能有些内部资料存放在公网网盘,被在线网盘抓取,可以利用这个来对目标系统进行信息收集

历史网站

wayback会记录网站版本更迭,可以获取到之前版本的网站,可能会找到一些后来删除的敏感资产信息,或者一些漏洞
源码泄露
  1. 阿里云
  2. 腾讯云
  3. 百度云
  4. 网宿科技(ChinanNet Center)
  5. 蓝汛
  6. 金山云
  7. UCloud
  8. 网易云
  9. 世纪互联
  10. 七牛云
  11. 京东云等
复制代码
将常见源码泄露加入字典配合FUZZ、御剑等扫描器进行扫描收集
JS获取敏感接口

JSFinder

JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。

  • 安装
  1. Akamai(阿卡迈)
  2. Limelight Networks(简称LLNW)
  3. AWS Cloud(亚马逊)
  4. Google(谷歌)
  5. Comcast(康卡斯特)
复制代码

  • 使用
  1. https://phpinfo.me/bing.php
复制代码
LinkFinder

该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息,可最大化地提高URL发现效率

  • 安装
  1. /.bzr/
  2. /CVS/Entries
  3. /CVS/Root
  4. /.DS_Store  MacOS自动生成
  5. /.hg/
  6. /.svn/ (/.svn/entries)
  7. /.git/
  8. /WEB-INF/src/
  9. /WEB-INF/lib/
  10. /WEB-INF/classes/
  11. /WEB-INF/database.properties
  12. /WEB-INF/web.xml
  13. Robots.txt
复制代码

  • 使用
在线JavaScript文件中查找端点的最基本用法,并将结果输出到results.html:
  1. pip3 install requests bs4
  2. git clone https://github.com/Threezh1/JSFinder.git
复制代码
CLI输出(不使用jsbeautifier,这使得它非常快):
  1. python3 JSFinder.py -u http://www.mi.com
  2. python3 JSFinder.py -u http://www.mi.com -d
复制代码
分析整个域及其JS文件:
  1. git clone https://github.com/GerbenJavado/LinkFinder.git
  2. cd LinkFinder
  3. python2 setup.py install
复制代码
Burp输入(在目标中选择要保存的文件,右键单击,Save selected items将该文件作为输入):
  1. python linkfinder.py -i https://example.com/1.js -o results.html
复制代码
枚举JavaScript文件的整个文件夹,同时查找以/ api /开头的终结点,并最终将结果保存到results.html:
  1. pyhon linkfinder.py -i https://example.com/1.js -o cli
复制代码
端口扫描

扫描工具
  1. python linkfinder.py -i https://example.com -d
复制代码
Nmap


  • 扫描多个IP
  1. python linkfinder.py -i burpfile -b
复制代码

  • 绕过Firewalld【防火墙】扫描主机端口
通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制
  1. python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html
复制代码

  • 初步扫描端口信息
  1. Nmap  
  2. Masscan
  3. masnmapscan
  4. ZMap  
  5. 御剑高速TCP端口扫描工具
  6. 御剑高速端口扫描工具
  7. IISPutScanner
  8. IISPutScanner增强版-DotNetScan v1.1 Beta
复制代码

  • 扫描端口并且标记可以爆破的服务
  1. 扫描整个子网 nmap 192.168.6.1/24
  2.            nmap 192.168.1.1/16
  3.            nmap 192.168.1-30.1-254
  4.            nmap 192.168.1-254.6
  5. 扫描多个主机 namp 192.168.6.2 192.168.6.6
  6. 扫描一个小范围 nmap 192.168.6.2-10
  7. 扫描txt内的ip列表  nmap -iL text.txt
  8. 扫描除某个目标外   nmap 192.168.6.1/24 -exclude 192.168.6.25
复制代码

  • 判断常见的漏洞并扫描端口
  1. nmap -sP 192.33.6.128
  2. nmap -sT 192.33.6.128
  3. nmap -sS 192.33.6.128
  4. nmap -sU 192.33.6.128
  5. nmap -sF 192.33.6.128
  6. nmap -sX 192.33.6.128
  7. nmap -sN 192.33.6.128
复制代码

  • 精确判断漏洞并扫描端口
  1. nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt
复制代码
浏览器插件
  1. nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute
复制代码
网络空间搜索引擎
  1. nmap 127.0.0.1 --script=auth,vuln
复制代码
漏洞公共库

国内

国外

社工库


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

天空闲话

金牌会员
这个人很懒什么都没写!
快速回复 返回顶部 返回列表