渗透测试之信息收集

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。 本文链接：https://blog.csdn.net/qq_33441500/article/details/100865512

渗透测试之信息收集

进行渗透测试之前，最重要的一步便是对目标站点的信息收集。那么我们对目标站点的信息收集要收集那些有用的信息呢？信息收集中，最重要的就是要收集目标站点的服务器的配置信息和网站的敏感信息。包括域名信息及其子域名信息、服务器系统、CMS指纹、真实IP地址、开放端口及所属服务

1. 在线网站查询whois信息
   whois： https://www.whois.net/
   阿里云： https://whois.aliyun.com/
   站长之家：http://whois.chinaz.com/
   爱站工具网：https://whois.aizhan.com/
   微步在线：https://x.threatbook.cn/
   Virus Total：https://www.virustotal.com
   收集到的whois信息主要关注点在注册商、注册人、注册人邮箱、DNS解析服务器、注册人联系电话。
2. 备案信息查询
   常用备案信息查询网站如下：
   企查查： https://www.qichacha.com
   天眼查：https://www.tianyancha.com/
   ICP备案查询网：http://www.beianbeian.com/
   国家企业信用信息公示系统：http://www.gsxt.gov.cn/index.html
3. 敏感信息收集
   利用googlehack语法进行敏感信息收集
   关键字 说明
   site 指定域名
   inurl URL栏中存在关键字的网页
   intext 网页正文中存在的关键字
   filetype 指定文件类型
   intitle 网页标题中存在的关键字
   举个栗子：
   1，找管理后台地址
   site:www.xxx.com intext:后台|管理|登陆|用户名|密码|系统|用户名|账号
   site:www.xxx.com inurl:admin|manager|admin_login|system|login
   site:www.xxx.com intitle:管理|后台|登陆
   2、找敏感文件
   site:www.xxx.com inurl:robots.txt
   site:www.xxx.com filetype:mdb|txt|zip|rar
   site:www.xxx.com inurl:txt|zip|rar|mdb
   3、使用网络空间搜索引擎
   FOFA：https://fofa.so/
   shodan：https://www.shodan.io/
   钟馗之眼：https://www.zoomeye.org/
   通常我们所说的敏感文件、敏感目录大概有以下几种：
   （1）Git
   （2）hg/Mercurial
   （3）svn/Subversion
   （4）bzr/Bazaar
   （5）Cvs
   （6）WEB-INF泄露
   （7）备份文件泄露、配置文件泄露
   敏感文件、敏感目录挖掘一般都是靠工具、脚本来找，当然大佬手工也能找得到。
   常用的工具有：
   （1）御剑（真的很万能）http://www.moonsec.com/post-753.html
   （2）爬虫（AWVS、Burpsuite等）暂不提供下载链接，可自行度娘
   （3）搜索引擎（Google、Github等）悄悄的酸酸乳，gayhub不用也可以啦只是速度稍慢而已
   （4）wwwscan
   （5）BBscan（一位巨佬写的python脚本：https://github.com/lijiejie/BBScan ）
   （6）GSIL（也是一位巨佬写的python脚本：https://github.com/FeeiCN/GSIL ）
4. 子域名信息收集
   子域名是在顶级域名下的域名，收集的子域名越多，我们测试的目标就越多，渗透的成功率也越大。往往在主站找不到突破口的时候，我们从子域名入手，有时候你会发现惊喜哦
   1、搜索引擎枚举（google语法）
   site:xxx.com 查询xxx.com范围的子域名站点
   2、子域名检测工具
   Layer子域名挖掘机:云盘 提取码：ehts
   sublist3r:https://github.com/aboul3la/Sublist3r
   mydomain:https://github.com/ring04h/wydomain
   lijiejie的subdomainsbrute:https://github.com/lijiejie/subDomainsBrute
   3、第三方在线网站查询
   phpinfo.me:https://phpinfo.me/domain
   DNSdumsper:https://dnsdumsper.com
   VirusTotal：https://www.virustotal.com/#/home/search
   4、证书公开日志枚举
   查找一个域名证书的最简单方法是使用搜索引擎来收集计算机的CT日志，并让任何搜索引擎搜索它们
   推荐两个在线查询网站
   crt.sh:https://crt.sh
   censys:https://censys.io
   5、DNS搜索
   dns查询1： https://dns.bufferover.run/dns?q=
   dns查询2： https://viewdns.info/
   dns查询3： https://dnslytics.com/
   解析记录查询(也可以查其他信息)： https://www.netcraft.com/
5. 常用端口信息收集
   1、在线端口扫描网站:
   http://coolaf.com/tool/port
   http://tool.cc/port/
   http://www.matools.com/port
   2、工具扫描
   Nmap----nmap是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。
   常见端口漏洞：
   端口 服务 说明
   21 FTP 主要看是否支持匿名，也可跑弱口令
   22 SSH 弱口令爆破
   22 SSH 弱口令爆破
   23 telnet 弱口令爆破
   80-90 WEB 常见WEB漏洞以及一些为管理后台
   161 snmp public弱口令
   389 ldap 是否为匿名访问
   443 openssl 心脏出血以及一些WEB漏洞测试
   445 smb 跑弱口令，检测是否有ms_08067等溢出
   873 rsync 是否为匿名访问，也可以跑弱口令
   1025 RPC NFS匿名访问
   1099 java rmi 远程命令执行漏洞
   1433 mssql 弱口令爆破
   1521 oracle 弱口令爆破
   2082/2083 cpanel主机管理系统登陆 弱口令爆破
   2222 DA虚拟主机管理系统登陆 弱口令爆破
   2601,2604 zebra路由器 默认密码zebra
   3128 squid代理默认端口 如果没设置口令很可能就直接漫游内网
   3306 mysql 弱口令爆破
   3312/3311 kangle主机管理系统登陆 说明
   3389 RDP 弱口令爆破，SHIFT后门，放大镜，输入法漏洞
   4440 rundeck web
   4848 GlassFish web中间件 弱口令admin/adminadmin
   5432 postgres 弱口令爆破
   5560,7778 iSqlPlus
   5900,5901,5902 vnc 弱口令爆破
   5984 CouchDB http://xxx:5984/_utils/
   6082 varnish
   6379 redis 一般无验证，直接访问
   7001,7002 weblogic 弱口令爆破
   7778 Kloxo 主机控制面板登录
   8080 tomcat\jboss 弱口令爆破，jboss后台可能不验证
   8649 ganglia
   8080-8090 常见WEB端口
   8083 Vestacp主机管理系统 （国外用较多）
   8649 ganglia
   8888 amh/LuManager 主机管理系统默认端口 说明
   9000 fcgi fcgi php命令执行漏洞
   9200 elasticsearch 代码执行
   9043 websphere 弱口令爆破
   10000 Virtualmin/Webmin 服务器虚拟主机管理系统
   11211 memcache 内存泄露
   27017,28017 mongodb 未授权访问
   50000 Upnp SAP命令执行
   50060,50030 hadoop WEB 未授权访问
6. 指纹识别
   当我们探测目标站点网站架构时，比如说：操作系统，中间件，脚本语言，数据库，服务器，web容器等等，可以使用以下方法查询。
   1、wappalyzer插件——火狐插件
   2、云悉：http://www.yunsee.cn/info.html
   3、潮汐指纹：http://finger.tidesec.net/
   4、CMS指纹识别：http://whatweb.bugscaner.com/look/
   5、whatweb在线：https://whatweb.net/
7. 查到真实IP
   1.、多地点ping查看
   http://ping.chinaz.com/baidu.com
   https://ping.aizhan.com/
   2、检测网站IP来判断
   https://get-site-ip.com/
   3、微步查历史ip和反查域名
   https://x.threatbook.cn
   4、SecurityTrails平台
   https://securitytrails.com/#search
   5、历史查询
   DNS查询：https://dnsdb.io/zh-cn/
   CDN查询：https://tools.ipip.net/cdn.php
   历史IP：https://viewdns.info/
8. WAF探测
   Waf也叫Web应用防火墙，是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。Waf的探测很多人都会忽略掉，其实当我们遇到Waf，第一想法是溜了溜了、告辞告辞。但当我们知道是什么Waf时，又有种去绕过它的冲动，很多大牛都喜欢挑战Waf，于是网上就出现了很多绕过Waf的教学视频。毕竟成功绕过之后的那种自豪感真的真的很舒服。
   我常用的两种方式：
   1、手工（提交恶意数据，直接报错显示出来waf信息）
   2、Kaili工具（WAFW00F、Nmap）
   Nmap探测WAF有两种脚本。
   一种是http-waf-detect。
   命令：nmap -p80,443 --script=http-waf-detect target ip
   一种是http-waf-fingerprint。
   命令：nmap -p80,443 --script=http-waf-fingerprint target ip
   WAFW00F探测WAF
   命令：wafw00f -a domains
9. 旁站、C段
   旁站：是和目标网站在同一台服务器上的其它的网站。
   C端：是和目标服务器ip处在同一个C段的其它服务器。
   旁站和C段的查询方式：
   1、利用Bing.com，语法为：http://cn.bing.com/search?q=ip:111.111.111.111
   2、站长之家：http://s.tool.chinaz.com/same
   3、利用Google，语法：site:target IP
   4、利用Nmap，语法：nmap -p 80,8080 –open ip/24
   5、K8工具、御剑、北极熊扫描器等
   6、在线：http://www.webscan.cc/
   暂时能想起的就这么多了，后续再做补充。