day4-信息收集技术(上午:外网信息收集、内网信息收集、漏洞分级)
外网信息收集
渗透的本质是信息收集,信息收集也叫做资产收集
信息收集是渗透测试的前期主要工作,是非常重要的环节,收集足够多的信息才能方便接下来的测试,信息收集主要是收集网站的域名信息、子域名信息、目标网站信息、目标网站真实IP、敏感/目录文件、开放端口和中间件信息等等。通过各种渠道和手段尽可能收集到多的关于这个站点的信息,有助于我们更多的去找到渗透点,突破口。
目标主机的DNS信息、目标IP地址、子域名、旁站和C段、CMS类型、敏感目录、端口信息、操作系统版本、网站架构、漏洞信息、服务器与中间件信息、邮箱、人员、地址
域名
域名的信息
- whois查询
通过whois来对域名信息进行查询,可以查到注册商、注册人、邮箱、DNS解析服务器、注册人联系电话等。
站长之家域名WHOIS信息查询地址 http://whois.chinaz.com/
爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/
腾讯云域名WHOIS信息查询地址 https://whois.cloud.tencent.com/
2.备案信息
网站备案信息是根据国家法律法规规定,由网站所有者向国家有关部门申请的备案,如果需要查询企业备案信息(单位名称、备案编号、网站负责人、电子邮箱、联系电话、法人等)
ICP备案查询网http://www.beianbeian.com/
爱站备案查询https://icp.aizhan.com/
子域名
收集子域名可以扩大测试范围,同一域名下的二级域名都属于目标范围。
子域名中的常见资产类型一般包括办公系统,邮箱系统,论坛,商城,其他管理系统,网站管理后台也有可能出现子域名中。
查找目标域名信息的方法有:
FOFA title=”公司名称”
百度 intitle=公司名称
Google intitle=公司名称
站长之家,直接搜索名称或者网站域名即可查看相关信息:
- 钟馗之眼 site=域名
6.子域名在线查询1
https://site.ip138.com/moonsec.com/domain.htm
7.Layer子域名挖掘机
IP
如果目标网站使用了CDN,使用了cdn真实的ip会被隐藏,如果要查找真实的服务器就必须获取真实的ip
注意:很多时候,主站虽然是用了CDN,但子域名可能没有使用CDN,如果主站和子域名在一个ip段中,那么找到子域名的真实ip也是一种途径。
- 多地ping确认是否使用CDN
2.phpinfo
如果目标网站存在phpinfo泄露等,可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真实ip
3.查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录
https://dnsdb.io/zh-cn/——DNS查询
https://x.threatbook.cn/——微步在线
http://toolbar.netcraft.com/site\_report?url= ——在线域名信息查询
http://viewdns.info/ ——DNS、IP等查询
4.查询子域名
毕竟 CDN 还是不便宜的,所以很多站长可能只会对主站或者流量大的子站点做了 CDN,而很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。
只需输入baidu.com type:A就能收集百度的子域名和ip了
5.网站邮件头信息
比如说,邮箱注册,邮箱找回密码、RSS邮件订阅等功能场景,通过网站给自己发送邮件,从而让目标主动暴露他们的真实的IP,查看邮件头信息,获取到网站的真实IP。
端口
部分常见端口
1 | FTP 20 |
nmap
例如:nmap -p 80,443,8000,8080 -Pn 192.168.1.0/24
1 | 1、-Pn 跳过主机发现,视为所有的主机都在线 |
masscan
1 | masscan -p 0-65535 192.168.1.100 --rate=10000 |
敏感信息
扫描敏感目录需要强大的字典,需要平时积累,拥有强大的字典能够更高效地找出网站的管理后台,敏感文件常见的如.git文件泄露,.svn文件泄露,phpinfo泄露等
- 御剑
2. 7kbstorm
3.dirsearch
4.gobuster
结果展示
1 | 1. robots.txt |
谷歌语法:
site:域名
inurl: url中存在的关键字网页
intext:网页正文中的关键词
filetype:指定文件类型
CMS识别
- 云悉
http://www.yunsee.cn/info.html
- 潮汐指纹
3.御剑cms识别
内网信息收集
浏览器web页面默认保存的账号密码
查看doc/xls/txt文件枚举
mstsc默认rdp登录的历史记录
内网信息收集
1)查看当前主机的 网络配置信息.
ipconfig /all
2)查询 用户列表.
net user
query user || qwinsta //可以查看当前在线用户
3)查询 进程列表.杀软等信息
tasklist /v
4)查询 操作系统 和 安装软件的版本信息.
systeminfo | findstr /B /C:”OS 名称” /C:”OS 版本”
5)查询 端口列表.(可以根据端口判断相应的服务.)
netstat -ano
6)查询 补丁列表.
Systeminfo
7)查询 本机共享.
net share
8)查询 防火墙配置.
netsh firewall show config
9)查询 当前权限
whoami
10)查询 指定账户的详细信息.
net user XXX /domain // “ XXX ” 是写入账号名.
域内信息收集
1)判断是否有 域.
net view /domain
2)查询 域内所有计算机.
net view /domain:XXX //“XXX” 是输入域名.
3)查询 域内所有用户组列表.
net group /domain
4)查询 所有域成员计算机列表.
net group “domain computers” /domain
5)获取 域密码信息.
net accounts /domain
6)查看 域内控制器的机器名.
nltest /DCLIST:XXX //“XXX”是输入域名.
7)查看 域控制器的 主机名 和 IP地址.
Nslookup -type=SRV _ldap._tcp
8)查询 域内的用户.
net user /domain
9)查询 域管理员用户.
net group “domain admins” /domain
10)查看计划任务
schtasks /query /fo LIST /v
11)arp -a 查询通信
12)bat 命令发现主机
for /l %i in (1,1,255) do @ping 192.168.0.%i -w 1 -n 1|find /i “ttl=”
内网需要关注的漏洞
fscan扫描
https://www.lmlphp.com/user/17154/article/item/495730/
1.主机漏洞
1. MS08-067、2. MS17_010、3. CVE-2019-0708、
4.ms14-0685、5.cve-2020-1472(Zerologon)、6.CVE-2021-42278 + CVE-2021-42287
2.中间件
Tomcat、Jboss、WebLogic、WebSphere等
3.运维系统
Gitlab、Jenkins、Puppet、Zabbix、Cacti、Hadoop、Spake(大数据)
4.web系统
邮件系统(微软OWA)、OA系统等
5.数据库系统
MySQL、MSSQL、Redis、Oracle、PostgreSQL、MongoDB、SysBase
漏洞分级
漏洞分级
https://zc.cnvd.org.cn/news/helpList#newsType_6
CVSS : Common Vulnerability Scoring System,即“通用漏洞评分系统”,是一个“行业公开标准,其被设计用来评测漏洞的严重程度,并帮助确定所需反应的紧急度和重要度”。
CVSS是安全内容自动化协议(SCAP)的一部分,通常CVSS同CVE一同由美国国家漏洞库(NVD)发布,由美国国家基础建设咨询委员会(NIAC)委托制作,是一套公开的评测标准,经常被用来评比企业资讯科技系统的安全性,并受到eBay、(Symantec)、思科(Cisco)、甲古文(Oracle)等众多厂商支援。
CVSS评分系统目前已经升级到 3.0版本,网络安全众测平台的漏洞评分使用此版本标准中的基本评价和时效评价两部分的分值。