网站信息收集工具整理(除AWVS/NESSUS)
一、子域名收集工具
1、crt.sh 网站
用于查看拥有 ssl 证书的网站查看其子域名
2、JSFinder 发现子域名
1
| git clone https://github.com/Threezh1/JSFinder
|
3、OneForAll 发现子域名
1
| git clone https://github.com/shmilylty/OneForAll.git
|
4、Subdomainsbrute 发现子域名
1
| git clone https://github.com/lijiejie/subDomainsBrute.git
|
二、绕过 CDN
1、IP反查域名
1
2
| http://stool.chinaz.com/same
https://tools.ipip.net/ipdomain.php
|
1
| 如果渗透目标为虚拟主机,那么通过IP反查到的域名信息很有价值,因为一台物理服务器上面可能运行多个虚拟主机。这些虚拟主机有不同的域名,但通常共用一个IP地址。如果你知道有哪些网站共用这台服务器,就有可能通过此台服务器上其他网站的漏洞获取服务器控制权,进而迂回获取渗透目标的权限,这种技术也称为“旁注”
|
2、查询历史 DNS 记录
1
2
3
| https://dnsdb.io/zh-cn/
https://securitytrails.com/
https://xthreatbook.cn/
|
1
2
3
4
5
6
7
8
9
10
| A
A 记录: 将城名指向一个 IPv4 地址 (例如: 100.100.100.100) ,需要 A 记录
NS
NS记录: 城名能析照务器记录,如果要将子域名指定其个域名服务器来解析,需要设置NS记录
SOA
SOA记录: SOAU 做起始授权机构记录,NS 用于标识多台城名解析服务器,SOA记录用于在众多NS记录中标记哪一台是主服务器
MX
MX记录:建立电子部箱服务,将指向部件服务器地址,需要设置MX记录。建立部箱时,一般会根提部箱服务商提供的MX记录填写此记录
TXT
TXT记录: 可任意填写,可为空,一般做一些验证记录时会便用此项,如: 做SPF(反垃圾邮件)记录
|
三、IP地址的信息收集
1、nmap C 段存活主机探测
1
| nmap -sP www.XXX.com/24 nmap -sP 192.168.1.*
|
2、Cwebscanner 扫描 (可能已经无法用了)
1
| git clone https://github.com/se55i0n/Cwebscanner.git
|
四、端口扫描
常见漏洞端口说明
1、FTP-21
1
2
3
4
5
6
7
8
| FTP: 文件传输协议,使用 TCP 端口 20、21,20 用于传输数据,21 用于传输控制信
(1) ftp 基础爆破: owasp 的 Bruter,hydra 以及 msf 中的 ftp 爆破模块
(2) ftp 匿名访问: 用户名:anonymous 密码:为空或者任意邮箱
(3) vsftpd 后门: vsftpd 2 到 2.3.4 版本存在后门漏洞,通过该漏洞获取 root 权限
(4) 嗅探: ftp 使用明文传输,使用 Cain 进行渗透。(但是嗅探需要在局域网并需要欺骗或监听网关)
(5) ftp 远程代码溢出
(6) ftp 跳转攻击
|
2、SSH-22
1
2
3
4
| SSH: (secure shell) 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。
(1) 弱口令,可使用工具 hydra,msf 中的 ssh 爆破模块。
(2) SSH 后门
(3) openssh 用户枚举 CVE-2018-15473。
|
3、Telnet-23
1
2
3
| Telnet 协议是 TCP/IP 协议族中的一员,是 Internet 远程登录服务的标准协议和主要方式。
(1) 暴力破解,使用 hydra,或者 msf 中 telnet 模块对其进行破解
(2) 在 linux 系统中一般采用 SSH 进行远程访问,传输的敏感数据都是经过加密的而对于 windows 下的 telnet 来说是脆弱的,因为默认没有经过任何加密就在网络中进行传输。使用 cain 等嗅探工具可轻松截获远程登录密码。
|
4、SMTP-25/465
1
2
3
| smtp: 邮件协议,在 linux 中默认开启这个服务,可发送钓鱼邮件默认端口: 25 (smtp)、465 (smtps)
(1) 爆破: 弱口令,使用 hydra
(2) SMTP 无认证伪造发件人
|
5、WWW-80
1
2
3
| 为超文本传输协议 (HTTP) 开放的端口,主要用于万维网传输信息的协议
(1) 中间件漏洞,如 IIS、apache、nginx 等
(2) 80 端口一般通过 web 应用程序的常见漏洞进行攻击
|
6、NetBIOS SessionService-139/445
1
2
3
4
| 139 用于提供 windows 文件和打印机共享及 UNIX 中的 Samba 服务 445 用于提供 windows 文件和打印机共享
(1) 对于开放 139/445 端,尝试利用 MS17010 溢出漏洞进行攻击
(2) 对于只开放 445 端口,尝试利用 MS06040、MS08067 溢出漏洞攻击;
(3) 利用 IPC$ 连接进行渗透
|
7、MySQL-3306
1
2
3
4
| 3306 是 MYSQL 数据库默认的监听端口
(1) mysql 弱口令破解
(2) 弱口令登录 mysql,上传构造的恶意 UDF 自定义函数代码,通过调用注册的恶意函数执行系统命令
(3) SQL 注入获取数据库敏感信息,lad file0 函数读取系统文件,导出恶意代码到指定路径
|
8、RDP-3389
1
2
3
4
5
| 3389 是 windows 远程桌面服务默认监听的端口
(1) RDP 暴力破解攻击
(2) MS12020 死亡蓝屏攻击
(3) RDP 远程桌面漏洞 (CVE-2019-0708)
(4) MSF 开启 RDP、注册表开启 RDP
|
9、Redis-6379
1
2
3
4
| 开源的可基于内存的可持久化的日志型数据库
(1) 爆破弱令
(2) redis 未授权访问结合 ssh key 提权
(3) 主从复制 rce
|
10、Weblogic-7001
1
2
3
4
| (1) 弱口令、爆破,弱密码一般为 weblogic/Oracle@123 or weblogic
(2) 管理后台部署 war 包后门
(3) weblogic SSRF
(4) 反列化
|
11、Tomcat-8080
1
2
3
| (1) Tomcat远程代码执行漏洞 (CVE-2019-0232)
(2) Tomcat任意文件上传 (CVE-2017-12615)
(3) tomcat 管理页面弱口令 getshell
|
端口信息收集工具
1、nmap (不做过多介绍)
1
2
3
| Network Mapper,是一款开放源代码的网络探测和安全审核的工具
nmap 参考指南 (中文版)
https://nmap.org/man/zh/
|
端口状态
1
2
3
4
5
6
| Open 端口开启,数据有到达主机,有程序在端口上监控
Closed 端口关闭,数据有到达主机,没有程序在端口上监控
Filtered 数据没有到达主机,返回的结果为空,数据被防火墙或 IDS 过滤
UnFiltered 数据有到达主机,但是不能识别端口的当前状态
Open/Filtered 端口没有返回值,主要发生在 UDP、IP、FIN、NULL 和 Xmas 扫描中
Closed Filtered 只发生在 IPIDidle扫描
|
五、历史漏洞信息
1
2
3
4
5
| http://wy.zone.ci/
https://wooyun.kieran.top/#!/
https://www.exploit-db.com/
https://wiki.0-sec.org/#/md
https://www.seebug.org/
|
六、网站信息收集
1、操作系统分析
1
2
3
| ping 判断: windows 的 TTL 值一般为 128,Linux 则为 64 。TTL 大于 100 的一般为 windows,几十的一般为 linux。
nmap -O 参数
windows 大小写不敏感,linux 则区分大小写,可以在网站 url 上面进行判断
|
2、网站服务/容器类型
1
2
3
| 1. 浏览器 F12 查看相应头 Server 字段
2. whatweb 网站查询, https://www.whatweb.net/
3. 浏览器插件: wappalyzer
|
3、开发语言/数据库类型
1
2
3
4
| 脚本类型
php,jsp,asplaspx,python
数据库类型
mysql,sqlserver,access,oracle
|
4、CMS 识别
1
2
3
4
5
6
| 常见 CMS: dedecms(织梦)、Discuz、phpcms、wordpress 等
在线识别工具
http://whatweb.bugscaner.com/look/
Onlinetools
https://github.com/iceyhexman/onlinetools
https://pentest.gdpcisa.org/
|
5、Github 泄露
开发人员将代码上传到网站,在上传的时候,没有删除重要的一些信息。如邮箱信息,SVN 信息,内部账号和密码,数据库连接信息,服务器配置信息等。尤其是邮箱信息和内部账号和密码。这类信息可以通过在 github 上搜索公司的一些特定信息查看是否有程序员将这些信息上传到了 github 上。
.git 泄露工具
1
2
| ".git" intitle:"index of"
https://github.com/lijiejie/GitHack
|
.svn 泄露工具
1
2
| ".svn" intitle:"index of"
https://github.com/admintony/svnExploit
|
6、WEB-INF/web.xml 泄露
WEB-INF 是 Java 的 WEB 应用的安全目录。如果想在页面中直接访问其中的文件,必须通过 web.xml 文件对要访问的文件进行相应映射才能访问
7、网站备份文件(目前 7kbscan 不太好用可以找别的软件)
1
| 网站备份文件泄露指管理员误将网站备份文件或是敏感信息文件存放在某个网站目录下。
|
1
| git clone https://github.com/7kbstorm/7kbscan-WebPathBrute
|
8、目录探测工具(这边主要列出的事 github 上的 python 脚本)
dirsearch: https://github.com/maurosoria/dirsearch
dirmap: https://github.com/H4ckForJob/dirmap
1
2
| git clone https://github.com/maurosoria/dirsearch
git clone https://github.com/H4ckForJob/dirmap
|
9、github 上面有针对各个漏洞的信息泄露扫描脚本(这边就列出两个)
https://github.com/LandGrey/SpringBootVulExploit
https://github.com/rabbitmask/SB-Actuator
1
2
3
| git clone https://github.com/LandGrey/SpringBootVulExploit
git clone https://github.com/rabbitmask/SB-Actuator
|
10、waf 识别
1
2
3
4
5
| WAF,即: Web Application FireWall (Web 应用防火墙)。可以通的理解为:用于保护网站,防黑客、防网络攻击的安全防护系统,是最有效、最直接的 Web 安全防护产品。
waf 功能
(1) 防止常见的各类网络攻击,如: SQL 注入、XSS 跨站、CSRF、网页后门等
(2) 防止各类自动化攻击,如:暴力破解、撞库、批量注册、自动发贴等
(3) 阻止其它常见威胁,如: 爬虫、0 DAY 攻击、代码分析、探、数据篡改、越权访问、敏感信息泄漏、应用层 DDOS、远程恶意包含、盗链、越权、扫描等。
|
waf 识别
wafw00f (目前 kali 已经默认安装了)
1
| git clone https://github.com/EnableSecurity/wafw00f
|
nmap 识别
1
2
| nmap -p 80,443 --script http-waf-detect ip
nmap -p 80,443 --script http-waf-fingerprint ip
|
