1关注内容
Whois信息,真实IP,子域,端口,服务,关联度高的目标,备案,企业资料,历史漏洞,员工邮箱等
2.kali下的信息收集
2.1 kali查询whois信息
使用:Whois baidu.com,目的:可以查询到注册人邮箱,联系方式,dns,注册时间和结束时间,利用邮箱和联系方式生成密码字典,利用邮箱可以找到邮箱服务器,利用姓名加后缀名推测邮箱号,爆破或者钓鱼。
问题1:如果域名经过短链接处理,whois查询到是什么信息?
2:自建的dns服务器
3:花钱注册的dns服务器
4:注册的域名,一般多久才能在whois中查询到,这就可以解释一些钓鱼网站查询不到whois信息?
2.2在线网站查询whois信息
2.3 host
Host www.baidu.com 查询的是A,AAAA,CNAME
Host baidu.com 查询A和CNAME记录
Host –a www.baidu.com 8.8.8.8 查询所以记录,并指定dns为8.8.8.8,默认dns在/etc/resolv.conf中
2.4 dig
Dig www.baidu.com 查询一条记录
Dig www.baidu.com cname查询cname记录
Dig www.baidu.com any 为查询到信息
3.子域名收集
3.1 web子域名猜测与访问尝试
猜测子域名,在浏览器中访问
3.2搜索引擎查询
Site:163.com,python爬虫将搜索到网页爬取出来
3.3 查询dns的一些解析记录
Nslookup –qt=any bing.com
3.4爬虫爬取页面提取子域名
Burpsuite爬取
3.5 crossdomain.xml文件
跨域策略文件
3.6 IP反查域名
https://dns.aizhan.com/60.28.100.145/
3.7 通过https证书收集
3.8 dns域传送漏洞
3.9 在线工具
http://i.links.cn/subdomain/ 无法访问
https://dns.aizhan.com/ccb.com/ 反查
https://crt.sh/ 证书收集
3.10 本地工具
Layer子域名挖掘机
Mydomain 下载地址https://github.com/ring04h/wydomain
Subdomainsbrute 下载地址: https://github.com/lijiejie/subDomainsBrute
Sublist3r 下载地址: https://github.com/aboul3la/Sublist3r
3.11 小程序
GetDomainsBySSL.py 下载地址:
https://note.youdao.com/ynoteshare1/index.html?id=247d97fc1d98b122ef9804906356d47a&type=note#/
安装依赖:lxml openssl
3.12 查备案
http://www.beianbeian.com/search-1/%E4%BA%ACICP%E8%AF%81030173%E5%8F%B7
3.13 app漏洞平台
梆梆安全 腾讯金刚审计 testin安全 爱加密 百度云检测处的漏洞,如未加密的http协议漏洞
3.14 威胁情报平台子域
奇安信威胁情报中心https://ti.qianxin.com/
微步威胁情报 x.threatbook.cn
3.15 第三方
5188子域名:https://www.5118.com/seo/subdomains/www.jd.com
4端口和服务
4.1扫描常见端口
nmap -sT -P0 -sV -O --script=banner -p T:21-25,80-89,110,143,443,513,873,1080,1433,1521,1158,3306-3308,3389,3690,5900,6379,7001,8000-8090,9000,9418,27017-27019,50060,111,11211,2049 192.168.8.100 只扫一些常见端口,极大增强效率
4.2 nmap扫描web漏洞
下载: wget http://www.computec.ch/projekte/vulscan/download/nmap_nse_vulscan-2.0.tar.gz
解压: tar xzf nmap_nse_vulscan-2.0.tar.gz
使用:
nmap -sS -sV --script=vulscan/vulscan.nse target
nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv target
nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv -p80 target
nmap -PN -sS -sV --script=vulscan –script-args vulscancorrelation=1 -p80 target
nmap -sV --script=vuln target
nmap -PN -sS -sV --script=all –script-args vulscancorrelation=1 target
4.3 进一步测试
脑图:
表格:
|
端口 |
服务 |
攻击手段 |
案列 |
|
21 |
ftp |
1.是否支持匿名 |
|
|
22 |
ssh |
弱口令 |
|
|
23 |
telnet |
弱口令 |
|
|
80 |
http |
1.管理后台 |
|
|
161 |
snmp |
public 弱口令 |
https://wooyun.x10sec.org/static/bugs/wooyun-2016-0185940.html |
|
389 |
ldap |
是否匿名访问 |
https://wooyun.x10sec.org/static/bugs/wooyun-2016-0182093.html |
|
443 |
openssl |
心脏出血以及一些web漏洞测试 |
|
|
445 |
smb |
1.弱口令 |
|
|
875 |
rsync |
1.匿名访问 |
https://wooyun.x10sec.org/static/bugs/wooyun-2016-0190815.html |
|
1433 |
mssql |
弱口令 |
|
|
1521 |
oracle |
弱口令 |
|
|
2601-2604 |
zebra路由 |
默认密码zebra |
https://wooyun.x10sec.org/static/bugs/wooyun-2014-049037.html |
|
3128 |
squid代理默认端口 |
匿名访问 |
|
|
3306 |
mssql |
弱口令 |
|
|
3389 |
mstsc |
1.弱口令 |
shite后门:https://wooyun.x10sec.org/static/bugs/wooyun-2015-0156148.html |
|
4440 |
rundeck web |
|
|
|
4848 |
glassfish |
弱口令 admin/adminadmin |
|
|
7001-7002 |
weblogic |
弱口令 |
https://wooyun.x10sec.org/static/bugs/wooyun-2015-0148737.html |
|
8080 |
tomcat |
1.弱口令 |
https://wooyun.x10sec.org/search?keywords=tomcat&content_search_by=by_bugs |
|
8080 |
jboss |
1.后台不认证 |
https://wooyun.x10sec.org/search?keywords=jboss&content_search_by=by_bugs |
|
8000-9090 |
常见的web端口 |
1.有些运维喜欢讲后台放到这些端口 |
|
|
9000 |
fcgi |
php执行 |
|
|
9200 |
elasticsearch |
代码执行 |
https://wooyun.x10sec.org/static/bugs/wooyun-2015-0114443.html |
|
9043 |
websphere |
弱口令admin/admin |
https://wooyun.x10sec.org/search?keywords=websphere&content_search_by=by_bugs |
|
11211 |
memcache |
内存泄漏 |
|
|
27017 |
mongodb |
未授权访问 |
|
|
27018 |
mongodb |
统计页面 |
|
|
50060 |
hadoop |
web |
|
工具:nmap hydra hscan fenghuangscanner
5 github和svn
http://www.freebuf.com/sectool/107996.htmlgithub技巧
http://www.2cto.com/article/201407/318742.htmlgithub使用技巧
http://www.myhack58.com/Article/html/3/7/2015/69241.htmBBscan敏感信息及文件扫描
6.真实IP
6.1检测是否存在cdn最简单的方法
通过在线的多地ping,得到IP,IP一致可能不存在CDN,不一致可能存在cdn
6.2 验证ip和域名是否真实对应最简单的办法
1修改本地hosts文件,强行将IP与域名对应。
2以前玩游戏的时候,因为是个免费版的,有个配置需要填写IP,但此位置已默认填好域名无法修改,指向软件提供商的广告页面,修改hosts文件,自己需要的IP对应广告商的域名,实现
3如果被上游劫持,也可通过此方法绕过
6.3 www和空白
Ping www.sysorem.com可能是cdn的IP,ping sysorem.com得到真实IP,因为很多厂商www走cdn,空白也就是sysorem.com不走cdn
6.4 主站和分站
主站走cdn,分站不走
6.5 国外访问
国内的CDN往往只会针对国内用户访问加速,所以国外就不一定了。因此通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP。
6.6 MX及邮件
6.7 XSS
如果有xss漏洞,上传一个请求,让这个请求携带IP访问攻击服务器,服务器将参数接收
6.8 phpinfo()
碰到过,phpinfo泄露IP信息
6.9 DOS
DOS攻击耗尽cdn的流量,就能得到真实IP
没有cdn的IP,dos量大就会崩溃
6.10社会工程学
勾搭cdn的客服妹子,或者whois的联系方式
6.11查看历史
http://www.17ce.com
http://toolbar.netcraft.com/site_report?url=
cdn绑定的历史记录
6.12dns社工库
6.13 cloudflare
https://www.freebuf.com/articles/web/41533.html
6.14zmap扫描
扫描速度快
7企业资料
7.1天眼查
Vip账号免费分享https://www.4330.cn/forum-39-1.html
7.2 企查查
7.3 ip138查询
7.4 电话归属地查询
知道某人身份证信息,如网吧上网时需要身份证,加上支付宝或微信或其他网站app上的一些信息,如转账时会屏蔽显示对方手机号,类似151xxxx0927这种,通过身份证上的地址确定归属地,再确定号码段,再通过百家姓在全国市区排行缩小范围
7.5 通过手机号/email确定注册过的网站
7.6企信宝
7.7 密码攻击器
输入对方信息和行为习惯,生成最可能设置的密码,没吊用http://tools.mayter.cn/
7.8 临时邮箱
用于注册账号使用,http://24mail.chacuo.net/
7.9 共享手机号
登录抖音微博之类的
1.可以写个python工具爬取手机号和关键字验证码,批量登录抖音微博微信之类的,再在网上找几个手机设备的标识符和使用IP代理,绕过抖音同一设备或同一IP不能登录多台设备的检测机制,可以去刷赞,刷评论,聊天室顶人气之类的 共享手机号:https://www.pdflibr.com/
8历史漏洞
乌云和补天https://wooyun.x10sec.org/查询历史漏洞
9社工库
10参考链接
http://www.freebuf.com/articles/system/58096.html
http://www.dmzlab.com/77396.html
http://www.freebuf.com/articles/web/117006.html
http://www.beianbeian.com
http://www.bangcle.com
http://haosec.cn
https://xz.aliyun.com/t/339
https://x.threatbook.cn/
http://www.zoomeye.org
http://www.shodan.io
http://www.fofa.so
http://www.haosec.cn
http://www.17ce.com
http://toolbar.netcraft.com/site_report?url=
http://www.17ce.com
http://www.tianyancha.com
http://nosec.org
http://cmcc.ml