SRC资产信息收集聚合网站:http://lovebear.top/info/
域名信息
Whois 查询
站长之家Whois查询 爱站 ip138 Whois Lookup ICANN Lookup 腾讯云 nicolasbouliane 新网 whois查询 站长工具
备案信息查询
ICP备案查询网 ICP备案查询-站长工具 SEO综合查询-爱站 批量查询-站长工具 美国企业备案查询
信用信息查询
国家企业信用信息公示系统 悉知-全国企业信息查询 信用中国-个人信用查询搜索-企业信息查询搜索-统一社会信用代码查询
IP反查站点的站
利用Dnslytics反查IP可以得到如下信息
1 | IP information |
利用Dnslytics反查域名可以得到如下信息
1 | Domain and Ranking Information |
浏览器插件
通过Google、FireFox等插件的使用,收集域名信息
myip.ms TCPIPUTILS DNSlytics
相关应用信息
子域名信息
在线平台
第三方平台查询
主要是一些第三方网站和一些博主提供的服务
ip138/x 站长工具 hackertarget phpinfo t1h2ua dnsdumpster chinacycc/要注册 zcjun/OK
权重综合查询
全国政府网站基本数据库
IP反查绑定域名网站
IP关联域名,大部分网站一个IP多个域名
资产搜索引擎
资产搜索引擎: google、shodan、FOFA、zoomeye
Google语法查询: 搜索子域名 "site:xxxxx" site:baidu.com
FOFA语法查询: fofa.so
搜索子域名 "domain:xxxxx" domain="baidu.com"
工具枚举
常用子域名工具:
OneForAll Layer Sublist3r subDomainsBrute K8 wydomain dnsmaper dnsbrute Findomain fierce等
证书透明度公开日志枚举
证书透明度(Certificate Transparency, CT)是证书授权机构(CA) 的一个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址。用搜索引|擎搜索一些公开的CT日志可以查找某个域名所属证书
在线第三方平台查询
工具枚举查询
通过工具可以调用各个证书接口进行域名查询
常用工具:Findomain Sublist3r(SSL Certificates)等
Findomain不使用子域名寻找的常规方法,而是使用证书透明度日志来查找子域,并且该方法使其工具更加快速和可靠。该工具使用多个公共API来执行搜索:
1 | Certspotter |
项目地址:https://github.com/Edu4rdSHL/findomain
子域名收集:findomain -t target.com
使用所有API搜索子域并将数据导出到CSV文件:findomain -t target.com -a -o csv
DNS历史解析
DNS域传送漏洞
####DNS域传送漏洞原理
DNS服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。
若DNS服务器配置不当,可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。同时,黑客可以快速的判定出某个特定zone的所有主机,收集域信息,选择攻击目标,找出未使用的IP地址,绕过基于网络的访问控制。
DNS注册信息
Whois查询
DNS域传送漏洞检测
nslookup
基本过程
1 | 1) nslookup #进入交互式shell |
漏洞检验-不存在漏洞
1 | > nslookup |
漏洞检验-存在漏洞
1 | > nslookup |
nmap
利用nmap漏洞检测脚本”dns-zone-transfer”进行检测
1 | nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn |
dig
使用说明 dig -h
漏洞测试
1 | dig @dns.xxx.edu.cn axfr xxx.edu.cn |
axfr 是q-type类型的一种: axfr类型是Authoritative Transfer的缩写,指请求传送某个区域的全部记录。
IP
CDN简介
CDN的全称是Content Delivery Network,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。
国内外CND
国内:
阿里云 腾讯云 百度云 网宿科技(ChinanNet Center) 蓝汛 金山云 UCloud 网易云 世纪互联 七牛云 京东云等
国外:
Akamai(阿卡迈) Limelight Networks(简称LLNW) AWS Cloud(亚马逊) Google(谷歌) Comcast(康卡斯特)
判断目标是否存在CDN
Ping目标主域
通常通过ping目标主域,观察域名的解析情况,以此来判断其是否使用了CDN
Nslookup
不同DNS域名解析情况对比,判断其是否使用了CDN
不同DNS解析结果若不一样,很有可能存在CDN服务
1 | nslookup www.baidu.com 8.8.8.8 |
nslookup默认解析
若解析结果有多个,很有可能存在CDN,相反,若解析结果有一个,可能不存在CDN(不能肯定)
1 | ns lookup www.baidu.com |
全国Ping
利用全国多地区的ping服务器操作,然后对比每个地区ping出的IP结果,查看这些IP是否一致, 如果都是一样的,极有可能不存在CDN。如果IP大多不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN。在线网址: Ping检测-站长工具 17CE ipip (支持国内、国外)
工具
绕过CDN
####内部邮箱源
一般的邮件系统都在内部,没有经过CDN的解析,通过利用目标网站的邮箱注册、找回密码或者RSS订阅等功能,查看邮件、寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP。必须是目标自己的邮件服务器,第三方或公共邮件服务器是没有用的。
国外请求
很多时候国内的CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP。
国际Ping
国外DNS解析
分站域名&C段查询
很多网站主站的访问量会比较大,所以主站都是挂CDN的,但是分站可能没有挂CDN,可以通过ping二级域名获取分站IP, 可能会出现分站和主站不是同一个IP但在同一个C段下面的情况,从而能判断出目标的真实IP段。
分站域名
上 <子域名信息-在线平台-ip反查>
C段查询
- 工具
K8_C段旁注工具6.0、nmap、IISPutScanner、小米范WEB查找器 等
- 网络资产搜索引擎
Fofa、Shodan、ZoomEye
利用这些网络空间资产搜索引擎来搜索暴露在外的端口信息
利用语法搜索C段信息
网站漏洞
通过网站的信息泄露如phpinfo泄露,github信息泄露,命令执行等漏洞获取真实ip。
一些测试文件
phpinfo、test等SSRF漏洞
服务器主动向外发起连接,找到真实IP地址
查询域名解析记录
一般网站从部署开始到使用cdn都有一个过程,周期如果较长的话则可以通过这类历史解析记录查询等方式获取源站ip,查看IP与域名绑定的历史记录,可能会存在使用CDN前的记录。
在线查询
dnsdb
NETCRAFT
viewdns
threatbook
securitytrails
目标网站APP应用
如果目标网站有自己的App,可以尝试利用Fiddler或Burp Suite抓取App的请求,从里面找到目标的真实IP。
网络空间引擎搜索
shodan、FOFA、zoomeye
常用端口
端口一般是指TCP/IP协议中的端口,端口号的范围是从0-65535。
常见端口&解析&总结
常用的端口利用及解析
21:FTP/TFTP/VSFTPD 总结:爆破/嗅探/溢出/后门
22:ssh远程连接 总结:爆破/openssh漏洞
23:Telnet远程连接 总结:爆破/嗅探/弱口令
25:SMTP邮件服务 总结:邮件伪造
53:DNS域名解析系统 总结:域传送/劫持/缓存投毒/欺骗
67/68:dhcp服务 总结:劫持/欺骗
110:pop3 总结:爆破/嗅探
139:Samba服务 总结:爆破/未授权访问/远程命令执行
143:Imap协议 总结:爆破161SNMP协议爆破/搜集目标内网信息
389:Ldap目录访问协议 总结:注入/未授权访问/弱口令
445:smb 总结:ms17-010/端口溢出
512/513/514:Linux Rexec服务 总结:爆破/Rlogin登陆
873:Rsync服务 总结:文件上传/未授权访问
1080:socket 总结:爆破
1352:Lotus domino邮件服务 总结:爆破/信息泄漏
1433:mssql 总结:爆破/注入/SA弱口令
1521:oracle 总结:爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当
2181:zookeeper服务 总结:未授权访问
2375:docker remote api 总结:未授权访问
3306:mysql 总结:爆破/注入
3389:Rdp远程桌面链接 总结:爆破/shift后门
4848:GlassFish控制台 总结:爆破/认证绕过
5000:sybase/DB2数据库 总结:爆破/注入/提权
5432:postgresql 总结:爆破/注入/缓冲区溢出
5632:pcanywhere服务 总结:抓密码/代码执行
5900:vnc 总结:爆破/认证绕过
6379:Redis数据库 总结:未授权访问/爆破
7001/7002:weblogic 总结:java反序列化/控制台弱口令
80/443:http/https 总结:web应用漏洞/心脏滴血
8069:zabbix服务 总结:远程命令执行/注入
8161:activemq 总结:弱口令/写文件
8080/8089:Jboss/Tomcat/Resin 总结:爆破/PUT文件上传/反序列化
8083/8086:influxDB 总结:未授权访问
9000:fastcgi 总结:远程命令执行
9090:Websphere 总结:控制台爆破/java反序列化/弱口令
9200/9300:elasticsearch 总结:远程代码执行
11211:memcached 总结:未授权访问
27017/27018:mongodb 总结:未授权访问/爆破扫描工具
Nmap
- 扫描多个IP
1 | 扫描整个子网 nmap 192.168.6.1/24 |
- 绕过Firewalld扫描主机端口
通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制
1 | nmap -sP 192.33.6.128 |
- 初步扫描端口信息
1
nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt
- 扫描端口并且标记可以爆破的服务
1
nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute
- 判断常见的漏洞并扫描端口
1
nmap 127.0.0.1 --script=auth,vuln
- 精确判断漏洞并扫描端口
1
nmap 127.0.0.1 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version
Masscan
Masscan主要是真对全网进行端口扫描
https://github.com/robertdavidgraham/masscanMasscan+Nmap
有些时候网站的入口点属于非常规端口,因此是必须要做全端口扫描,做全端口扫描的时候由于namp发包量大经常出现各种问题,如端口扫描不全、获得信息不准等等,为了解决上述问题,这里提供一个masscan+nmap结合的方式进行快速扫描。
原理:使用masscan做全端口开放检测,检测出来端口信息后,用nmap进行服务信息识别。
使用:终端输入以下命令执行即可
1 | # masscan 192.33.6.145 -p1-65535 --rate 1000 -oL ports |
masnmapscan
masnmapscan整合了masscan和nmap两款扫描器,masscan扫描端口,nmap扫描端口对应服务,二者结合起来实现了又快又好地扫描。并且加入了针对目标资产有防火墙的应对措施。https://github.com/hellogoldsnakeman/masnmapscan-V1.0
ZMap
Zmap主要是真对全网进行端口扫描 https://github.com/zmap/zmap
御剑高速TCP端口扫描工具
御剑高速端口扫描工具
IISPutScanner
IISPutScanner增强版
网络空间引擎搜索
shodan、FOFA、zoomeye
浏览器插件
Shodan
TCPIPUTILS
DNSlytics
fofa-view
指纹识别
第三方平台
工具
御剑Web指纹识别、WhatWeb、Test404轻量CMS指纹识别+v2.1、椰树等,可以快速识别一些主流CMS
Github项目:
浏览器插件
Wappalyzer
敏感信息
WAF识别
wafw00f
项目地址:https://github.com/EnableSecurity/wafw00f
源码泄露
常见源码泄露
1
2
3
4
5
6
7
8
9
10
11
12
13/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store MacOS自动生成
/.hg/
/.svn/ (/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml
Robots.txt上述源码泄露在Github上都可以找到相应的利用工具
源码泄露扫描工具
将常见源码泄露加入字典配合FUZZ、御剑等扫描器进行扫描收集源码泄露利用工具
.git源码泄露:https://github.com/lijiejie/GitHack
.DS_Store泄露:https://github.com/lijiejie/ds_store_exp
.bzr、CVS、.svn、.hg源码泄露:https://github.com/kost/dvcs-ripper
备份文件泄露
- 网站备份文件泄露常见名称
backup db data web wwwroot database www code test admin user sql - 网站备份文件泄露常见后缀
.bak .html _index.html .swp .rar .txt .zip .7z .sql .tar.gz .tgz .tar - 网站备份文件泄露扫描工具
常见扫描工具有:Test404网站备份文件扫描器 v2.0、ihoneyBakFileScan等
ihoneyBakFileScan v0.2 多进程批量网站备份文件泄露扫描工具,根据域名自动生成相关扫描字典,自动记录扫描成功的备份地址到文件
Google Hacking
GoogleHacking常用语法
1、intext:(仅针对Google有效) 把网页中的正文内容中的某个字符作为搜索的条件
2、intitle: 把网页标题中的某个字符作为搜索的条件
3、cache: 搜索搜索引擎里关于某些内容的缓存,可能会在过期内容中发现有价值的信息
4、filetype/ext: 指定一个格式类型的文件作为搜索对象
5、inurl: 搜索包含指定字符的URL
6、site: 在指定的(域名)站点搜索相关内容
GoogleHacking其他语法
1、引号 ‘’ “ 把关键字打上引号后,把引号部分作为整体来搜索
2、or 同时搜索两个或更多的关键字
3、link 搜索某个网站的链接 link:baidu.com即返回所有和baidu做了链接的URL
4、info 查找指定站点的一些基本信息
GoogleHackingDatabase
GoogleHacking典型用法
管理后台地址
1
2
3site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system
site:target.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backend
site:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录上传类漏洞地址
1
2site:target.com inurl:file
site:target.com inurl:upload注入页面
1
site:target.com inurl:php?id=
编辑器页面
1
site:target.com inurl:ewebeditor
目录遍历漏洞
1
site:target.com intitle:index.of
SQL错误
1
site:target.com intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:”Warning: mysql_query()" | intext:”Warning: pg_connect()"
phpinfo()
1
site:target.com ext:php intitle:phpinfo "published by the PHP Group"
配置文件泄露
1
site:target.com ext:.xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini
数据库文件泄露
1
site:target.com ext:.sql | .dbf | .mdb | .db
日志文件泄露
1
site:target.com ext:.log
备份和历史文件泄露
1
site:target.com ext:.bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar.gz | .tgz | .tar
公开文件泄露
1
site:target.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv
邮箱信息
1
2
3site:target.com intext:@target.com
site:target.com 邮件
site:target.com email社工信息
1
site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证
JS获取敏感接口
JSFinder
JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具。
- 安装
1
2pip3 install requests bs4
git clone https://github.com/Threezh1/JSFinder.git - 使用
1
2python3 JSFinder.py -u http://www.mi.com
python3 JSFinder.py -u http://www.mi.com -d
LinkFinder
该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息,可最大化地提高URL发现效率
- 安装
1
2
3git clone https://github.com/GerbenJavado/LinkFinder.git
cd LinkFinder
python2 setup.py install - 使用
在线JavaScript文件中查找端点的最基本用法,并将结果输出到results.html:CLI输出(不使用jsbeautifier,这使得它非常快):1
python linkfinder.py -i https://example.com/1.js -o results.html
分析整个域及其JS文件:1
pyhon linkfinder.py -i https://example.com/1.js -o cli
Burp输入(在目标中选择要保存的文件,右键单击,Save selected items将该文件作为输入):1
python linkfinder.py -i https://example.com -d
枚举JavaScript文件的整个文件夹,同时查找以/ api /开头的终结点,并最终将结果保存到results.html:1
python linkfinder.py -i burpfile -b
1
python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html
目录&后台扫描
工具
7kbscan-WebPathBrute https://github.com/7kbstorm/7kbscan-WebPathBrute
DirMap https://github.com/H4ckForJob/dirmap
dirsearch https://github.com/maurosoria/dirsearch
Fuzz-gobuster https://github.com/OJ/gobuster
Fuzz-dirbuster OWASP kali自带
Fuzz-wfuzz https://github.com/xmendez/wfuzz
Test404轻量后台扫描器+v2.0
御剑目录扫描、后台扫描、Web漏洞模糊测试–>Fuzz
基于Go开发:gobuster
基于Java开发:dirbuster
基于Python开发:wfuzz越权查询
遍历uid获得身份信息等
代码托管
通过代码托管平台搜索敏感信息(内部邮箱账号密码、数据库账号密码等)
- github
github :https://github.com/
Github泄露扫描系统开发:https://sec.xiaomi.com/article/37
GitHub敏感信息泄露监控:GSIL、Github-Monitor
在GitHub中一般通过搜索网站域名、网站JS路径、网站备案、网站下的技术支持等进行敏感信息查询 - gitee
https://gitee.com/ - gitcafe
GitCafe一个基于代码托管服务打造的技术协作与分享平台
Whois&备案查询
通过Whois和备案查询得到网站的注册人、手机号、邮箱等
公网网盘
放在公网网盘的资料可能会被在线云网盘搜索的网站抓取–>利用云网盘搜索工具搜集敏感文件,一般直接输入厂商名字进行搜索:
凌风云搜索:https://www.lingfengyun.com/
小白盘搜索:https://www.xiaobaipan.com/
大力盘搜索:https://www.dalipan.com/
小不点搜索(微盘):https://www.xiaoso.net/
百度网盘爬取开源工具:https://github.com/gudegg/yunSpider
网站截图
对目标网站页面进行截图,通过截图找到敏感页面
- 安装
1
2
3
4
5
6git clone https://github.com/maaaaz/webscreenshot.git
apt-get update && apt-get -y install phantomjs
phantomjs -v
Ubuntu 16 中安装 phantomjs 出现 QXcbConnection 问题
export QT_QPA_PLATFORM=offscreen
export QT_QPA_FONTDIR=/usr/share/fonts - 使用
1
2cd webscreenshot/
python2.7 webscreenshot.py -i url.txt
获取公开文件
- snitch
Snitch可以针对指定域自动执行信息收集过程。此工具可帮助收集可通过Web搜索引擎找到的指定信息。在渗透测试的早期阶段,它可能非常有用。
安装使用1
git clone https://github.com/Smaash/snitch.git
Google Hacking1
python2.7 snitch.py -C "site:whitehouse.gov filetype:pdf" -P 100
1
site:target.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv
邮箱信息收集
- Infoga
Infoga可从不同的公共源网络(搜索引擎,pgp密钥服务器和shodan)收集电子邮件帐户信息(ip,主机名,国家/地区…)。是一个用法非常简单的工具,但是,对于渗透测试的早期阶段,或者只是为了了解自己公司在互联网上的可见性是非常有效的。
安装使用1
2
3
4git clone https://github.com/m4ll0k/Infoga.git /data/infoga
cd /data/infoga
pip3 install requests
python3 infoga.py1
2
3python3 infoga.py --domain site.com --source all -v 3 | grep Email | cut -d ' ' -f 3 | uniq | sed -n '/-/!p'
python3 infoga.py --info emailtest@site.com
python3 infoga.py --info emailtest@site.com -b - Google Hacking
1
2
3site:target.com intext:@target.com
site:target.com 邮件
site:target.com email - Online Search Email
通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况
https://monitor.firefox.com/
https://haveibeenpwned.com/
https://ghostproject.fr/
历史资产
wayback :https://web.archive.org/
wayback会记录网站版本更迭,可以获取到之前版本的网站,可能会找到一些后来删除的敏感资产信息,或者一些漏洞
漏洞公共资源库
国家信息安全漏洞库
国家信息安全漏洞共享平台
SeeBug
信息安全漏洞门户 VULHUB
数字观星
NSFOCUS绿盟科技
BugScan–漏洞插件社区
漏洞列表 | 教育行业漏洞报告平台(Beta)
工控系统行业漏洞库平台
exp库-打造中文最大exploit库
乌云漏洞库
Exploit-db
Sploitus | Exploit & Hacktool Search Engine
packetstorm
SecurityFocus
cxsecurity
rapid7 Vulnerability & Exploit Database
Most recent entries - CVE-Search
CVE security vulnerability database. Security vulnerabilities, exploits
CVE mitre - Search CVE List
美国官方工控数据库 ICS-CERT Landing | CISA
路由器漏洞搜索 Routerpwn - One click exploits, generators, tools, news, vulnerabilities, poc
shegong
ku
https://dehashed.com/
https://aleph.occrp.org/
https://www.blackbookonline.info/
http://pwndb2am4tzkvold.onion/
UserRegistrationInformation
- REG007
- 检查160个社交网络上的注册情况 Check Usernames - Social Media Username Availability
- 检查用户名注册情况在500个主流网站上 KnowEm用户名搜索:社交媒体,域名和商标
- 检查用户名注册情况,同时检查注册过哪些域名 Namechk | Username, Domain, and Trademark Search | Username Registration