信息搜集

2021-12-06 学习笔记 Comments

信息搜集

1.域名信息搜集

1、域名查询：得到联系人、姓名、邮箱、手机号等

2、域名反查：得到更多的域名（得到旁站等有可能安全级别低一点的）

3、ICP备案查询：通过查询备案信息，得到更多的信息等

4、企业信息查询：查询企业信息

1.1 主域名信息搜集

1.1.1 whois搜集

https://whois.chinaz.com/
http://whoissoft.com/en/
https://webwhois.cnnic.cn/WelcomeServlet
使用kali自带的whois命令

1.1.2 域名反查

域名反查询

1.1.3 ICP备案查询

若是网站搭建在国内，则会按照法律法规对网站进行备案

https://beian.miit.gov.cn/#/Integrated/index
https://icp.chinaz.com/reverse
https://beian88.com/

1.1.4 企业信息查询

企业信息查询

1.2子域名搜集

子域名搜集就两种方法，一种字典猜解，一种暴力枚举。

1.2.1 子域名搜集工具

Layer子域名挖掘机

https://phpinfo.me/domain/
https://www.dnsscan.cn/
subDomainsBrute
搜索引擎语法(site:xxx.com)
Kali Linux maltego

1.3 DNS信息搜集

查询方式

1、Kali（host、dig命令）

2、windows（nslookup命令）

3、在线工具

https://sitereport.netcraft.com/

http://www.jsons.cn/nslookup

1.4 IP信息搜集

1.4.1 通过域名找IP

ping命令
nslookup命令

1.4.2 IP归属查询

http://ipwhois.cnnic.net.cn/

1.4.3 获取真实IP

在此，必须要了解什么是CDN。已经知道的可以直接往下看。

CDN的全称是Content Delivery Network，即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度。

CDN技术，其实就是在各地分布服务器，让用户访问就近的服务器，分流主服务器的流量。但是就是因为这个CDN技术，使我们渗透工作就多了一个难点，就是要找到主服务器的IP地址。

如何绕过CDN，获取真实IP作者提供一下几个思路：

1、查看IP数量

http://ping.chinaz.com
nslookup

通过查看IP数量可以判断对象是否使用了CDN技术。（有多个IP的话，就很有可能使用了CDN技术）

2、查看历史DNS

http://dnshistory.org/
http://toolbar.netcraft.com/site_report
https://tools.ipip.net/cdn.php
https://github.com/vincentcox/bypass-firewalls-by-DNS-history

有些站点一开始创建的时候客流量比较小，可能不会使用CDN技术。当流量慢慢多起来的时候，就会使用CDN。那么我们查询他的历史DNS，早期的IP地址就很有可能就是他的真实IP地址

3、查询子域名

有些子域名服务是有可能放在主服务器上的，所以子域名也有可能使用的是IP地址

4、国外主机解析

https://asm.ca.com/zh_cn/ping.php
http://host-tracker.com/
http://www.webpagetest.org
https://dnscheck.pingdom.com/

通过国外主机访问时，如果国外没有部署CDN，那么他很有可能就会直接访问到主服务器(因为没有附近节点，只能访问主服务器)。

5、绕过CloudFlare CDN查找真实ip

在线网站查询cloud Flarewatch (需要科学上网)

6、其他

网络空间搜索引擎(fofa、censys)
邮件
手机APP抓包
微信服务号抓包
邮件(可以查看邮件的原文就可以查看到IP地址)
等等

1.4.4 C段扫描

这里的C段指的是并非网络中的C类地址，而是C类地址中子网掩码为255.255.255.0/24中的IP地址段，共254个。对于某些中大型厂商通过有可能使用的是自建的托管机房，他们的业务通常部署在同一个C类地址子网中，这就给了我们可以利用的空间了。

就好像我们家里的路由器一样，当我破解了一个邻居的wifi密码后，接收他的网络，这个时候我就能使用监听工具，对他所发出/接收的数据进行拦截监听，从中获取得相关的账号、密码及信息，当然也有其它的方法和思路可以获取目标服务器的数据或权限。例如：C段中的业务系统与目标服务器的业务系统有关联，使用的是同一个数据库，那么就有可能直接获取到目标服务器的信息了。

能够查询C段的工具有很多，在此不一一介绍，我最常用的还是nmap。假如我们能够查询到目标网络的C段IP都是开放的。这时候我们就得找一此比较薄弱的IP来重新进行信息收集工作了。

案例：在渗透测试测试中，未能在目标服务器寻找到高危漏洞，然后将思路转变到子网中的其它服务器中，此时我们在获得权限的子网。

1.5 端口信息搜集

使用nmap、zenmap等工具进行端口扫描，确定服务器开了什么服务。

端口对应攻击方向：

端口号	端口说明	攻击方向
21/22/69	FTP/SFTP文件传输协议	允许匿名上传、下载、爆破和嗅探操作
2049	NFS服务（Network File System）	配置不当
139	Samba服务	爆破、未授权访问、远程代码和执行
389	LDAP目录访问协议	注入、允许匿名访问、弱口令
22	SSH远程连接	爆破、SSH隧道及内网代理转发、文件传输
23	Telnet远程连接	爆破、嗅探、弱口令
3389	RDP远程桌面连接	S h i f t 后门（ W i n d o w sServer2003以下的系统）、爆破
5900	VNC	弱口令爆破
5632	PcAnywhere远程控制服务	抓密码、代码执行
80/443/8080	常见的web服务端口	Web攻击、爆破、对应服务器版本漏洞
7001/7002	Weblogic控制台	Java反序列化、弱口令
8080/8089	Jboss/resin/jetty/Jenkins	反序列化、控制台弱口令
9090	Websphere控制台	Java反序列化、弱口令
4848	Glassfish控制台	弱口令
1352	Lotus domino邮件服务	弱口令、信息泄露、爆破
10000	Webmin-web控制面板	弱口令
3306	MySQL	注入、提权、爆破
1433	MSSQL数据库	注入、提权、SA弱口令
1521	Oracle数据库	TNS爆破、注入、反弹shell
5432	PostgreSQL数据库	爆破、注入、弱口令
27017/27018	MongoDB	爆破、未授权访问
6379	Redis数据库	可尝试未授权访问、弱口令爆破
5000	Sysbase/DB2数据库	爆破、注入
25	SMTP邮件服务	邮件伪造
110	POP3协议	爆破、嗅探
143	IMAP协议	爆破
53	DNS域名系统	允许区域传送、DNS劫持、缓存投毒、欺骗
67/68	DHCP服务	劫持、欺骗
161	SNMP协议	爆破、搜集目标内网信息
2181	Zookeeper服务	未授权访问
8069	Zabbix服务	远程执行、SQL注入
9200/9300	ElasticSearch服务	远程执行
11211	Memcached服务	未授权访问
512/513/514	Linux Rexec服务	爆破、rlogin登录
873	Rsync服务	匿名访问、文件上传
3690	SVN服务	SVN泄露、未授权访问
50000	SAP ManagementConsole	远程执行

1.6 应用信息搜集

1.6.1 CMS指纹识别

什么是指纹识别？

通过关键特征，识别出目标的CMS系统、服务器、开发语言、操作系统、CDN、WAF的类别版本>等等

识别对象：

CMS信息：Dedecms （织梦），Discuz，PHPWEB，PHPWind， PHPCMS，ECShop，Dvbbs，SiteWeaver，ASPCMS，帝国，Z-Blog， WordPress等。
前端技术：HTML5、jquery等
开发语言：PHP、Java等
WEB服务器：Apache、Nginx、IIS等
应用服务器：Tomcat、Jboss、Weblogic、Websphere等
操作系统：Linux、win2k8、win7、Centos等
CDN信息：是否使用CDN，如cloudflare、帝联、蓝讯、网宿、七牛云、阿里云等
WAF信息：是否使用WAF，如D盾、云锁、宝塔、安全狗、360等

搜集思路：