查询域名注册邮箱通过域名查询备案号通过备案号查询域名反查注册邮箱反查注册人通过注册人查询到的域名在查询邮箱通过上一步邮箱去查询域名查询以上获取出的域名的子域名
查询方式:主动查询:kali 自带whois查询命令:whois + ip/域名被动查询:http://tool.chinaz.com/ipwhois/http://whois.xinnet.com/https://whois.cloud.tencent.com/https://site.ip138.com/https://www.whois.net/https://whois.aizhan.com/IP反查:Dnslytics地址:https://dnslytics.com/利用Dnslytics反查IP可以得到如下信息:IP informationNetwork informationHosting informationSPAM database lookupOpen TCP/UDP portsBlocklist lookupWhois informationGeo informationCountry informationUpdate information
利用Dnslytics反查域名可以得到如下信息:Domain and Ranking InformationHosting Information{ A / AAAA Record NS Record MX Record SPF Record}Web InformationWhois Information
浏览器插件:通过Google、FireFox等插件的使用,收集域名信息myip.ms:TCPIPUTILS:DNSlytics:子域名收集:子域名收集可以发现更多目标,以增加渗透测试成功的可能性,探测到更多隐藏或遗忘的应用服务,这些应用往往可导致一些严重漏洞当一个主站坚不可摧时,我们可以尝试从分站入手查询方式:主动收集:layer子域名挖掘机5.0:https://pan.baidu.com/s/1wEP_Ysg4qsFbm_k1aoncpg 提取码:uk1jsubDomainsBrute:https://github.com/lijiejie/subDomainsBrutewydomain:https://github.com/ring04h/wydomainbroDomain:https://github.com/code-scan/BroDomainESD:https://github.com/FeeiCN/ESDaiodnsbrute:https://github.com/blark/aiodnsbruteOneForAll:https://github.com/shmilylty/OneForAllsubfinder:https://github.com/projectdiscovery/subfinderSublist3r:https://github.com/aboul3la/Sublist3r被动收集:ip138:https://site.ip138.com/站长工具:http://tool.chinaz.com/subdomain/?domain=hackertarget:https://hackertarget.com/find-dns-host-records/phpinfo:https://phpinfo.me/domain/t1h2ua:https://www.t1h2ua.cn/tools/dnsdumpster:https://dnsdumpster.com/chinacycc:https://d.chinacycc.com/index.php?m=Login&a=indexzcjun:http://z.zcjun.com/搜索引擎语法:(site:域名)工具使用layer子域名挖掘机5.0:使用这款工具首先要安装.net framework 4.0以上,否则会出现:备案信息备案信息分为两种,一种是IPC备案信息查询,一种是公安部备案信息查询如果是国外的服务器是不需要备案的,因此可以忽略此步骤,国内的服务器是需要备案的,因此可以尝试获取信息查询方式:被动收集:ICP备案查询网:http://www.beianbeian.com/ICP备案查询-站长工具:http://icp.chinaz.com/SEO综合查询-爱站:https://www.aizhan.com/cha/批量查询-站长工具:http://icp.chinaz.com/searchs美国企业备案查询:https://www.sec.gov/edgar/searchedgar/companysearch.html公安部备案查询:http://www.beian.gov.cn/portal/recordQuery主动收集社工服务器信息收集DNS信息收集通过查询DNS信息,我们可能可以发现网站的真实ip地址,也可以尝试测试是否存在DNS域传送漏洞查询方式主动收集Kali(host、big命令)windows(nslookup命令)被动收集dnsdb:https://www.dnsdb.io/zh-cn/viewdns:https://viewdns.info/站长工具:http://tool.chinaz.com/dns/tool:https://tool.lu/dns/端口信息收集查询方式主动收集Nmap:https://github.com/nmap/nmapMasscan:https://github.com/robertdavidgraham/masscanmasnmapscan:https://github.com/hellogoldsnakeman/masnmapscan-V1.0ZMap:https://github.com/zmap/zmap被动收集FOFA:https://fofa.so/钟馗之眼:https://www.zoomeye.org/shodan:https://www.shodan.io/浏览器插件ShodanTCPIPUTILSDNSlyticsfofa-view工具使用Nmap 扫描多个ip: 扫描整个子网 nmap 192.168.6.1/24 nmap 192.168.1.1/16 nmap 192.168.1-30.1-254 nmap 192.168.1-254.6 扫描多个主机 namp 192.168.6.2 192.168.6.6 扫描一个小范围 nmap 192.168.6.2-10 扫描txt内的ip列表 nmap -iL text.txt 扫描除某个目标外 nmap 192.168.6.1/24 -exclude 192.168.6.25绕过Firewalld扫描主机端口:通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制nmap -sP 192.33.6.128nmap -sT 192.33.6.128nmap -sS 192.33.6.128nmap -sU 192.33.6.128nmap -sF 192.33.6.128nmap -sX 192.33.6.128nmap -sN 192.33.6.128
初步扫描端口信息 nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt扫描端口并且标记可以爆破的服务 nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute判断常见的漏洞并扫描端口 nmap 127.0.0.1 --script=auth,vuln精确判断漏洞并扫描端口 nmap 127.0.0.1 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-versionMasscan+Nmap:有些时候网站的入口点属于非常规端口,因此是必须要做全端口扫描,做全端口扫描的时候由于namp发包量大经常出现各种问题,如端口扫描不全、获得信息不准等等,为了解决上述问题,这里提供一个masscan+nmap结合的方式进行快速扫描原理:使用masscan做全端口开放检测,检测出来端口信息后,用nmap进行服务信息识别使用:终端输入以下命令执行即可# masscan 192.33.6.145 -p1-65535 --rate 1000 -oL ports# ports=$(cat ports | awk -F " " '{print $3}' | sort -n | tr '\n' ',' | sed 's/,$//' | sed 's/^,,//')# nmap -sV -p $ports 192.33.6.145
常见端口/服务/入侵:端口:21 服务:FTP/TFTP/VSFTPD 总结:爆破/嗅探/溢出/后门端口:22 服务:ssh远程连接 总结:爆破/openssh漏洞端口:23 服务:Telnet远程连接 总结:爆破/嗅探/弱口令端口:25 服务:SMTP邮件服务 总结:邮件伪造端口:53 服务:DNS域名解析系统 总结:域传送/劫持/缓存投毒/欺骗端口:67/68 服务:dhcp服务 总结:劫持/欺骗端口:110 服务:pop3 总结:爆破/嗅探端口:139 服务:Samba服务 总结:爆破/未授权访问/远程命令执行端口:143 服务:Imap协议 总结:爆破161SNMP协议爆破/搜集目标内网信息端口:389 服务:Ldap目录访问协议 总结:注入/未授权访问/弱口令端口:445 服务:smb 总结:ms17-010/端口溢出端口:512/513/514 服务:Linux Rexec服务 总结:爆破/Rlogin登陆端口:873 服务:Rsync服务 总结:文件上传/未授权访问端口:1080 服务:socket 总结:爆破端口:1352 服务:Lotus domino邮件服务 总结:爆破/信息泄漏端口:1433 服务:mssql 总结:爆破/注入/SA弱口令端口:1521 服务:oracle 总结:爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当端口:2181 服务:zookeeper服务 总结:未授权访问端口:2375 服务:docker remote api 总结:未授权访问端口:3306 服务:mysql 总结:爆破/注入端口:3389 服务:Rdp远程桌面链接 总结:爆破/shift后门端口:4848 服务:GlassFish控制台 总结:爆破/认证绕过端口:5000 服务:sybase/DB2数据库 总结:爆破/注入/提权端口:5432 服务:postgresql 总结:爆破/注入/缓冲区溢出端口:5632 服务:pcanywhere服务 总结:抓密码/代码执行端口:5900 服务:vnc 总结:爆破/认证绕过端口:6379 服务:Redis数据库 总结:未授权访问/爆破端口:7001/7002 服务:weblogic 总结:java反序列化/控制台弱口令端口:80/443 服务:http/https 总结:web应用漏洞/心脏滴血端口:8069 服务:zabbix服务 总结:远程命令执行/注入端口:8161 服务:activemq 总结:弱口令/写文件端口:8080/8089 服务:Jboss/Tomcat/Resin 总结:爆破/PUT文件上传/反序列化端口:8083/8086 服务:influxDB 总结:未授权访问端口:9000 服务:fastcgi 总结:远程命令执行端口:9090 服务:Websphere 总结:控制台爆破/java反序列化/弱口令端口:9200/9300 服务:elasticsearch 总结:远程代码执行端口:11211 服务:memcached 总结:未授权访问端口:27017/27018 服务:mongodb 总结:未授权访问/爆破
端口利用总结:21端口渗透解析:介绍:Ftp一般是用于对远程服务器进行管理,大多数都用于对Web系统进行管理一般密码泄露是直接威胁Web系统安全的,一旦让黑客知道是可以通过提权直接控制服务器爆破:Ftp爆破工具很多,如你所使用的系统为Kali,这里我推荐hydra(九头蛇)以及metasploit(msf)中的ftp爆破模块因为Kali下集成了hydra和msfFtp匿名访问:有些小白会选择一些小型的主机服务商,这些服务商Ftp服务默认都是匿名可登陆例如:用户名:admin,密码:空或者任意邮箱等后门vsftpd:version 2到2.3.4都存在了后门漏洞,黑客可以通过该漏洞获取ROOT权限这里推荐msf下的exploit/unix/ftp/vsftpd_234_backdoor模块嗅探:如Ftp使用明文传输技术,可以使用Cain进行渗透但是要存在于同一局域网,并且需要用到欺骗技术,且已经监听网关Ftp远程代码溢出:推荐使用nmap扫描Ftp版本号,使用msf搜索(searc)对应模块22端口渗透解析:介绍:SSH是协议,是使用在协议应用上的,SSH是Secure Shell的缩写有IETF的网络工作小组所制定;SSH是建立在应用层和传输层基础上的安全协议弱口令:推荐使用hydra(九头蛇)或msf中的ssh爆破模块防火墙SSH后门退格 OpenSSLOpenssh 用户枚举 例如:CVE-2018-1547323端口渗透解析:介绍:Telnet是一种很老的远程管理方式,使用telnet工具登陆系统的过程中,网络上的传输用户和密码都是以明文的方式去传送的,所以这是一种很不安全的管理方式,黑客可以使用嗅探技术进行劫取此类密码等爆破:暴力破解技术是黑客技术中最常见的技术,推荐使用hydra或者msf中的telnet模块进行暴力破解嗅探:在Linux系统里面一般是采用SSH进行远程连接访问的,传输的敏感数据都是进行加密的但是对于windows下的telnet是脆弱的,因为在windows中是默认没有经过任何加密就在网络中进行传输,可以使用cain等嗅探工具进行截获密文对其远程控制绕口令:弱口令大部分用于大批量的爆破,对单个主机,推荐使用暴力破解25/465端口渗透解析:介绍:smtp:邮箱协议,在linux中是默认回开启这个服务的,是一个相对简单的基于文本的协议smtps:这是smtp协议基于ssl安全协议之上的一种变种协议它继承了ssl安全协议的非对称的加密我对smtps协议也很头疼所以给不出太多的建议爆破弱口令未授权访问钓鱼53端口渗透解析:介绍:53端口一般是DNS域名服务器的通信端口,用于域名的解析也是比较关键的服务器之一,但是这类服务器很 容易就受到攻击使用DNS远程溢出的漏洞直接对主机进行溢出攻击,成功后一般会直接获得系统权限如:Windows DNS API(CVE-2017-11779)使用DNS欺骗攻击,可以对DNS域名服务器进行欺骗,可以配合网页的木马进行挂马攻击,这是一种很酷的攻击方法也是内网渗透中比较常用的方法(DNS欺骗重定向Web流量)拒绝服务攻击,我相信大家对这个攻击方法并不陌生,这是一种利用可快速攻击可导致服务器运行缓慢或网络瘫痪如果黑客攻击其DNS服务器,将会导致该服务器进行域名解析的用户无法上网(DNS劫持或DNS拒绝服务攻击)常见的说法:D死80端口渗透解析:介绍:80端口是提供Web服务的端口,对于各位我想的是进入一个新的Web站点可能最会先想到SQL注入的方法,当然脚本渗透液是一项极强的Web渗透技术,同时也能对80端口造成威胁针对windows2000的iis5.5版本,黑客可以使用远程溢出直接对主机进行攻击,从而获取系统权限针对windows2000的iis5.5版本,黑客也可以利用“Microsoft IISCGI”文件名错误的解码进行漏洞攻击,可以使用X-SCAN直接探测到IIS漏洞IIS写权漏洞是由于IIS配置不当所造成的安全问题黑客可以向存在此漏洞的服务器上传恶意的执行代码比如脚本木马(马儿)控制权限普通的http封包是没有经过加密就在网络中传输的,这样就可以通过嗅探类的工具截取敏感的数据,比如使用cain工具等80端口的攻击,渗透等更多的是使用脚本渗透的技术,比如SQL,XSS等利用Web应用程序的漏洞进行渗透是目前来说比较流行的方法对于渗透只开放80端口的服务器来说,难度可以很大利用一些端口复用工具可以解决这个技术难题CC攻击的效果是不如DDOS效果明显的,但是对于一些小型的Web站点来说还是有点用处的CC攻击可以对目标站点运行出错或页面无法打开,打开过慢有时候还会爆出Web程序的绝对路径哦windows中使用iis搭建Web站点,可查找IIS上传或解析漏洞,进行马儿上传的渗透,从而获取系统权限等135端口渗透解析:介绍:135端口主要是用于RPC协议是提供DCOM服务,PRC可以保证一台计算机上运行的程序可以顺利的执行远程计算机上的代码;使用DCOM可以通过网络进行通信同时这个端口也爆出了不少的漏洞,最严重的还是我们熟悉的缓冲区溢出的漏洞查找存在RPC溢出的主机,进行远程溢出的攻击,可以直接获取系统的权限如果你使用“DSScan”扫描存在漏洞的主机,你可以直接使用’ms05011.exe’进行溢出的攻击弱口令:可以扫描弱口令的主机,利用RPC远程过程调用开启telnet服务并登陆且执行系统命令系统的弱口令一般用hydra,对于telnet服务的开启可以使用工具直接连接139/445端口渗透解析:介绍:139端口是提供windows文件和打印机共享以及Unix中的Samba服务,家庭很少会开启这个服务,但是学校就不一样了,我可没有暗示你们什么445端口其实也是为windows提供文件很打印机的共享,这两个端口在内网中是使用次数最多的,但是这两个端口的漏洞都比较多,而且出现过很多高危漏洞139/445端口的开放主机,大多数都是使用溢出漏洞进行攻击,比如445漏洞在msf中的ms-017445端口的开放主机,黑客一般是使用‘MS06040’或‘MS08067’或‘ms017010’(可以自己查一下),可以使用nmap工具中-p命令扫描445端口是否开放,但是MS08067对win03系统十分有效不知道为什么139/445端口的开放主机,黑客可以使用IPC$进行渗透在没有使用特定的的账户密码进行空的连接,权限是最小的,但是获得特定账号密码是成为提升权限的关键,比如获取admin的账户口令139/445端口的开放主机,可利用共享获取敏感信息,这也是内网渗透中收集信息的基本途径自从ms017010的出世,在windows7下445端口进行溢出渗透,大部分在msf中进行的1433端口渗透解析:介绍:1433是SQLServer默认的端口,SQL Server服务使用两个端口:tcp-1433、UDP-1434.其中1433用于供SQLServer对外提供服务,1434用于向请求者返回SQLServer使用了哪些TCP/IP端口1433端口通常遭到黑客的攻击,最严重的还是远程溢出漏洞了,如由于SQL注射攻击的方式,数据库面临着很多威胁,这种攻击方式是属于脚本渗透技术的对开放1433端口的数据库服务器,黑客可以尝试利用溢出的漏洞对主机直接进行攻击,可以直接获取到系统的权限暴力破解是一项采用实用的技术,一般对于sql数据库破解的对象都是SA用户,通过社工的收集使用的字典很快就能破解出SA的密码嗅探技术也能嗅探到SQL数据库的登陆密码哦如数据库脚本编写的漏洞问题,黑客也可以对其进行sql注入,例如:过滤不严,就会造成很严重的注射漏洞可以使用针对sql注入的工具直接扫描1521端口渗透解析:介绍:1521一般是大型数据库Oracle的默认端口,对于一些没有安全工作经验的人来说,还是比较陌生的,以为大多数接触到的数据库都是Access、msssql、mysql一般大型的站点才会使用Oracle数据库系统,以为这个数据库系统比较复杂Oracle拥有非常非常多的默认用户名和密码,破解数据库这样也是一种方法,但是离不开我们的暴力破解SQL注射是对所有数据库都有效的方法可以在注入点直接创建java,从而执行系统命令2049端口渗透解析:介绍:FS(Network File System)即网络文件系统,是FreeBSD支持的文件系统中的一种,它允许网络中的计算机之间通过TCP/IP网络共享资源在NFS的应用中,本地NFS的客户端应用可以透明地读写位于远端NFS服务器上的文件,就像访问本地文件一样如今NFS具备了防止被利用导出文件夹的功能,但遗留系统中的NFS服务配置不当,则仍可能遭到恶意攻击者的利用未授权访问3306端口渗透解析:介绍:3306是MYSQL数据库默认的监听端口,通常部署在中型web系统中在国内LAMP的配置是非常流行的,对于php+mysql构架的攻击也是属于比较热门的话题mysql数据库允许用户使用自定义函数功能,这使得黑客可编写恶意的自定义函数对服务器进行渗透,最后取得服务器最高权限由于管理者安全意识淡薄,通常管理密码设置过于简单,甚至为空口令使用破解软件很容易破解此类密码,利用破解的密码登录远程mysql数据库,上传构造的恶意UDF自定义函数代码进行注册,通过调用注册的恶意函数执行系统命令或者向web目录导出恶意的脚本程序,以控制整个web系统嗅探对支持3306端口的数据库也存在支持Sql注入也对mysql数据库有用,可以获取数据库的敏感信息还可以使用函数去读取系统的敏感配置文件,还可以从web数据库的连接文件中获得root口令等暴力破解弱口令都是不错的选择3389端口渗透解析:介绍:3389是windows远程桌面服务默认监听的端口,管理员通过远程桌面对服务器进行维护,这给管理工作带来的极大的方便通常此端口也是黑客们较为感兴趣的端口之一,利用它可对远程服务器进行控制,而且不需要另外安装额外的软件,实现方法比较简单当然这也是系统合法的服务,通常是不会被杀毒软件所查杀的使用‘输入法漏洞’进行渗透对于win2000的版本系统,可以使用‘输入法漏洞’进行渗透,这也是很老的方法了cain同样也支持3389端口的嗅探Shift粘滞键后门:5次shift后门社会工程学、爆破可以使用msf中的爆破模块或者hydra、弱口令ms12_020蓝屏攻击4899端口渗透解析:介绍:4899端口是remoteadministrator远程控制软件默认监听的端口,也就是平时常说的radmini影子radmini目前支持TCP/IP协议,应用十分广泛,在很多服务器上都会看到该款软件的影子readmini也存在很多弱口令的主机,可以通过特定的工具扫描此类型主机readmini远控的连接密码和端口都是写入到注册表系统中的,通过使用webshell注册表读取功能可读取radmini在注册表的各项键值内容5432端口渗透解析:介绍:PostgreSQL是一种特性非常齐全的自由软件的对象–关系型数据库管理系统,可以说是目前世界上最先进,功能最强大的自由数据库管理系统包括kali系统中msf也使用这个数据库;浅谈postgresql数据库攻击技术 大部分关于它的攻击依旧是sql注入爆破、弱口令:postgres postgres缓冲区溢出:CVE-2014-26695631端口渗透解析:介绍:5631端口是著名远程控制软件pcanywhere的默认监听端口,同时也是世界领先的远程控制软件此软件设计有缺陷,可以随意的下载保存连接密码的.cif文件可以用专门的破解软件破解密码文件破解PcAnyWhere提权5900端口渗透解析:介绍:5900端口是远程控制软件VNC的默认端口,VNC是基于UNIX和LINUX操作系统免费开放的源码VNC软件存在密码验证的绕过漏洞,此高危漏洞可以让黑客不需要密码就能登录到一个系统cain同样可以嗅探,还可以端口修改VNC的配置同样是写入注册表中的,可以利用注册表的读取功能进行加密算法破解VNC拒绝服务攻击(CVE-2015-5239)VNC权限提升(CVE-2013-6886)6379端口渗透解析:介绍:Redis是一个开源的使用c语言写的,支持网络、可基于内存亦可持久化的日志型、key-value数据库关于这个数据库这两年还是很火的,暴露出来的问题也很多特别是暴露的未授权访问爆破和弱口令未授权访问+配合ssh key提权7001/7002端口渗透解析:介绍:好像没什么介绍,就是weblogic中间插件的端口弱口令、爆破、弱密码等管理后台部署可能有war后门SSRF反序列化漏洞WebLogic_uac8080端口渗透解析:介绍:8080端口通常是apache_Tomcat服务器默认监听端口,apache是世界使用排名第一的web服务器国内就有很多人喜欢有这种服务器tomcat远程代码执行漏洞tomcat任意文件上传漏洞tomcat远程代码执行信息泄露漏洞jboss远程代码执行漏洞jboss反序列化漏洞jboss漏洞利用27017端口渗透解析:介绍:没什么可以说的,和其他数据库攻击方法差不多爆破、弱口令未授权访问绕过CND,获取网站真实IPCND绕过思路二级域名法 一般网站不会所有的二级域名放CDN,因此我们可以利用这点来获取网站的真实ip多地ping法 由CDN的原理,不同的地方去Ping服务器,如果IP不一样,则目标网站肯定使用了CDNnslookup法 找国外的比较偏僻的DNS解析服务器进行DNS查询,因为大部分CDN提供商只针对国内市场,而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP查看邮件法 通过查看邮件原文来确定ip地址,CDN总不会发送邮件吧RSS订阅法 RSS原理于邮件法差不多查看历史解析记录法 查找域名历史解析记录,域名在上CDN之前用的IP,很有可能就是CDN的真实源IP地址利用网站漏洞(XSS、命令执行、SSRF、php探针、phpinfo页面等) 可以通过一些页面和漏洞获取到服务器ip地址也是可能的主动收集小米范WEB查找器:http://pan.baidu.com/s/1pLjaQKFnslookup被动收集国外ping:https://tools.ipip.net/newping.php国外ping:https://asm.ca.com/en/ping.phpshodan:https://www.shodan.io/fofa:https://fofa.so/zoomeye:https://www.zoomeye.org/域名解析记录dnsdb:https://www.dnsdb.io/zh-cn/NETCRAFT:https://sitereport.netcraft.com/?url=viewdns:https://viewdns.info/threatbook:https://x.threatbook.cn/securitytrails:https://securitytrails.com/世界各地DNS服务器地址大全:http://www.ab173.com/dns/dns_world.php网站架构操作系统查询方式被动:wappalyzer插件云悉主动Nmap手动探测 Linux大小写敏感 Windows大小写不敏感中间件,Web容器:wappalyzer插件云悉数据库,编程语言:wappalyzer云悉WEB应用层敏感目录及敏感信息、源码泄露方法:御剑搜索引擎BBscan:https://github.com/lijiejie/BBScanGSlL:https://github.com/FeeiCN/GSILGetHub:https://github.com御剑后台扫描珍藏版DirBuster7kbscan-WebPathBrute 1.6.2:WVS 1.24.001工具使用御剑:御剑这款工具主要用于扫描网站的敏感目录、敏感文件这里必须要说明一下字典必须要足够强大才可以扫到别人发现不了的点因此我们必须完善一下自己的字典敏感目录:robots.txt、crossdomin.xml、sitemap.xml、源码泄漏文件、/WEB-INF/搜索引擎:搜索引擎也可以用于搜索网站的敏感目录、敏感文件和敏感信息这里就必须提一下搜索引擎的语法了,这里以google 黑客语法为例,语法同样适用于百度搜索引擎基本语法:
"" 双引号表示强制搜索 - 表示搜索不包含关键词的网页 | 或者的意思 site 指定域名 intext 搜索到的网页正文部分包含关键词 intitle 搜索到的网页标题包含关键词 cache 搜索关于某些内容的缓存 definne 搜索某个词语的定义 filetype 搜索指定的文件类型 info 查找指定站点的一些基本信息 inurl 搜索包含关键词的URL link 可以返回所有和baidu.com做了链接的URL
BBscan:BBscan是一款信息泄漏批量扫描脚本它是依旧还是由lijiejie大佬用python写的安全工具在windows平台运行需要解决依赖问题:pip install -r requirements.txt
使用命令:扫描单个web服务 www.target.com python BBScan.py --host www.target.com扫描www.target.com和www.target.com/28下的其他主机 python BBScan.py --host www.target.com --network 28扫描txt文件中的所有主机 python BBScan.py -f wandoujia.com.txt从文件夹中导入所有的主机并扫描 python BBScan.py -d targets/ --browser如果是为了去各大src刷漏洞,可以考虑把所有域名保存到targets文件夹下,然后python BBScan.py -d targets/ --network 30GSIL:GSIL是一款由python3写的从github上寻找敏感文件的安全工具先安装一下环境pip install -r requirements.txt
用法:# 启动测试$ python3 gsil.py test# 测试token有效性$ python3 gsil.py --verify-tokens
旁站收集站长之家:http://s.tool.chinaz.com/sameTscan:https://scan.top15.cn/web/C段收集C端是和目标服务器ip处在同一个C段的其它服务器查询方式北极熊扫描器Nmap北极熊扫描器扫C端:http://www.xitongzhijia.net/soft/71774.html指纹识别指纹是什么:指定路径下指定名称的js文件或代码指定路径下指定名称的css文件或代码<title>中的内容,有些程序标题中会带有程序标识meta标记中带程序标识<meta name=”description”/><meta name=”keywords”/><meta name=”generator”/><meta name=”author”/><meta name=”copyright”/>中带程序标识display:none中的版权信息页面底部版权信息,关键字© Powered by等readme.txt、License.txt、help.txt等文件指定路径下指定图片文件,如一些小的图标文件,后台登录页面中的图标文件等,一般管理员不会修改它们注释掉的html代码中<!–http头的X-Powered-By中的值,有的应用程序框架会在此值输出cookie中的关键字robots.txt文件中的关键字404页面302返回时的旗标
通过识别目标网站所使用的CMS信息,可以帮助我们进一步了解渗透测试环境,可以利用已知的一些CMS漏洞来进行攻击识别方式:主动收集CMSeeK:https://github.com/Tuhinshubhra/CMSeeKCMSmap:https://github.com/Dionach/CMSmapACMSDiscovery:https://github.com/aedoo/ACMSDiscoveryTideFinger:https://github.com/TideSec/TideFingerAngelSword:https://github.com/Lucifer1993/AngelSword被动收集云悉wappalyzer插件TideFinger:http://finger.tidesec.net/BugScaner:http://whatweb.bugscaner.com/look/数字观星:https://fp.shuziguanxing.com/#/WAF判断WAF也称Web应用防护系统,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品原理:WAF识别大多基于Headers头信息通过发送恶意的内容,对比响应,寻找数据包被拦截、拒绝或者检测到的标识第三方判断:Tscan:https://scan.top15.cn/web/手工判断Nmap判断:两种脚本一种是:http-waf-detect一种是:http-waf-fingerprintwafw00f:https://github.com/EnableSecurity/wafw00f企业:天眼查地址:https://www.tianyancha.com/企业信用信息公示系统:http://www.gsxt.gov.cn/index.html悉知-全国企业信息查询:https://company.xizhi.com/信用中国:https://www.creditchina.gov.cn/收集其他敏感信息:源码泄露常见源码泄露:/.bzr//CVS/Entries/CVS/Root/.DS_Store MacOS自动生成/.hg//.svn/ (/.svn/entries)/.git//WEB-INF/src//WEB-INF/lib//WEB-INF/classes//WEB-INF/database.properties/WEB-INF/web.xmlRobots.txt
源码泄露利用工具:git源码泄露:https://github.com/lijiejie/GitHack.DS_Store泄露:https://github.com/lijiejie/ds_store_exp.bzr、CVS、.svn、.hg源码泄露:https://github.com/kost/dvcs-ripper备份文件泄露网站备份文件泄露常见名称:backupdbdatawebwwwrootdatabasewwwcodetestadminusersql
网站备份文件泄露常见后缀:.bak.html_index.html.swp.rar.txt.zip.7z.sql.tar.gz.tgz.tar.bak.html_index.html.swp.rar.txt.zip.7z.sql.tar.gz.tgz.tar
常见的扫描工具就和目录扫描的工具差不多JS获取敏感接口:工具:JSFinderSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具安装:pip3 install requests bs4git clone https://github.com/Threezh1/JSFinder.git
使用:python3 JSFinder.py -u http://www.mi.compython3 JSFinder.py -u http://www.mi.com -d
工具:LinkFinder该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息,可最大化地提高URL发现效率安装:git clone https://github.com/GerbenJavado/LinkFinder.gitcd LinkFinderpython2 setup.py install
使用:在线JavaScript文件中查找端点的最基本用法,并将结果输出到results.html:python linkfinder.py -i https://example.com/1.js -o results.html
CLI输出(不使用jsbeautifier,这使得它非常快):pyhon linkfinder.py -i https://example.com/1.js -o cli分析整个域及其JS文件:python linkfinder.py -i https://example.com -d
Burp输入(在目标中选择要保存的文件,右键单击,Save selected items将该文件作为输入):python linkfinder.py -i burpfile -b
枚举JavaScript文件的整个文件夹,同时查找以/ api /开头的终结点,并最终将结果保存到results.html:python linkfinder.py -i 'Desktop/.js' -r ^/api/ -o results.html
目录扫描常用工具:7kbscan-WebPathBrute:https://github.com/7kbstorm/7kbscan-WebPathBruteDirMap:https://github.com/H4ckForJob/dirmapdirsearch: https://github.com/maurosoria/dirsearchFuzz-gobuster:https://github.com/OJ/gobusterFuzz-dirbuster OWASP (kali自带)Fuzz-wfuzzhttps://github.com/xmendez/wfuzz御剑获取公开文件工具snitch:Snitch可以针对指定域自动执行信息收集过程此工具可帮助收集可通过Web搜索引擎找到的指定信息在渗透测试的早期阶段,它可能非常有用安装:git clone https://github.com/Smaash/snitch.git
使用:python2.7 snitch.py -C "site:whitehouse.gov filetype:pdf" -P 100
Google Hackingsite:域名 filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv邮箱信息收集工具Infoga:Infoga可从不同的公共源网络(搜索引擎,pgp密钥服务器和shodan)收集电子邮件帐户信息(ip,主机名,国家/地区…)是一个用法非常简单的工具,但是,对于渗透测试的早期阶段,或者只是为了了解自己公司在互联网上的可见性是非常有效的安装:git clone https://github.com/m4ll0k/Infoga.git /data/infogacd /data/infogapip3 install requestspython3 infoga.py
使用:python3 infoga.py --domain site.com --source all -v 3 | grep Email | cut -d ' ' -f 3 | uniq | sed -n '/-/!p'python3 infoga.py --info emailtest@site.compython3 infoga.py --info emailtest@site.com -b
Online Search Email:通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况https://monitor.firefox.com/https://haveibeenpwned.com/https://ghostproject.fr/社工工程学社工库:https://dehashed.com/https://aleph.occrp.org/https://www.blackbookonline.info/注册信息通过用户的一些信息(Mail、Name、ID、Tel)查询用户注册过哪些应用https://www.reg007.com/https://checkusernames.com/https://knowem.com/https://namechk.com/IP定位https://chaipip.com/ip.phphttps://www.opengps.cn/Data/IP/LocHighAcc.aspxhttps://www.ipip.net/ip.htmlhttps://www.ip2location.com/demo/https://www.maxmind.com/en/geoip2-precision-demohttps://www.ip138.com/社会工程学工具包地址:https://github.com/trustedsec/social-engineer-toolkit工具的使用教程我并没有发全,建议大家可以自己去多研究研究(图片来源网络,侵删)
0 评论