信息收集（持续更新）

2019-06-30

知道目标的域名之后，首先要做的第一个事情就是获取域名的注册信息，包括dns，注册人的联系信息，域名服务商、域名拥有者等。而信息收集分主动收集和被动收集

0x00 域名信息查询

whois 查询

whois 是一个标准的互联网网络协议，用于收集网络注册的信息，注册的域名，ip地址等。在kali中有whois 查询。而在线信息查询的常用网站有：

站长之家 http://tool.chinaz.com/
virtusTotal https://www.virustotal.com

查自己的站，一查就找到了

备案信息查询

网站备案是网站的所有者向国家有关部门申请的备案

常用网站：

ICP备案查询网站

0x01 收集敏感信息

使用 google hack

关键字	描述
Site	指定域名
Inurl	url中存在的关键字
Intext	网页正文中的关键字
Filetype	指定文件类型
Intitle	网页标题中关键字
link
Info	查找指定站点的一些基本信息
cache	搜索google里关于某些内容的缓存

收集邮箱

工具： theharvester

收集敏感路径

不管在ctf还是在实战环境中，如果能快速找到敏感路径对渗透来说，绝对是事半功倍的效果
具体看

0x01 dirBuster

老工具
https://github.com/Xyntax/DirBrute

0x02 7kb webpathbrute

内置非常多的字典，可以加上自己收集的。

0x03 dirsearch

https://github.com/maurosoria/dirsearch

web路径爆破

-w 指定字典路径
-e 文件后缀，适用于以%EXT%结尾的字典，比如字典里有一example.%EXT%，你-e php，扫出来就是example.php
-t 指定线程数量，一般设置50~100
–timeout 超时时间，一般不去管它，要设置可以设成3（单位秒）

推荐的中文字典(github.itzmx.com/juzeon/fire/master/dics_cn.zip)

设置

[general]threads = 50
follow-redirects = False
exclude-status = 400
 
[reports]autosave-report = True
autosave-report-format = plain
 
[dictionary]wordlist = dics_cn/common.txt
 
[connection]timeout = 30
random-user-agents = True
 
#dirsearch config (cn)

0x04 githack

GitHack 是一个 .git 的泄露利用脚本，重建还原工程源代码。渗透测试人员、攻击者，可以进一步审计代码，挖掘：文件上传，SQL 注射等 web 安全漏洞。

可以配合dirsearch 使用

https://github.com/lijiejie/GitHack

收集子域名

收集子域名在渗透测试中相当重要，当主站防御比较全面，难以攻破时，可以通过旁站和c段或子站，从而“曲线救国”。

子域名检测工具

layer子域名

sublist3r
使用方法

进入文件目录下 
python dnsburte.py -d xxx.cn 
-t 线程数 
-d 接url 
-f 字典名称 
-o 最终结果的名字（就在当前目录下，result目录下各个接口结果）

subDomainsBrute （lijijie）
使用方法：

进入文件目录下
python subDomainsBrute.py --full xxx.cn 
-f 添加字典 
--full 全体扫描 
-t 线程 
-o 输出文件

也可以通过google 收集

在线的第三方服务

dnsdumpster.com 在线dns侦察和搜索工具挖掘出指定的子域名
VirusTotal

0x03 收集常用端口信息

通过扫描服务端口来判断该服务器上存在的服务，是渗透测试中非常重要的过程

nmap
masscan
zmap
御剑tcp端口扫描

常见端口以及说明

文件共享服务端口

端口号	端口说明	攻击方向
21/22/69	ftp/tftp文件传输协议	允许匿名上传、下载、爆破和嗅探操作
2049	nfs服务	配置不当
139	samba服务	爆破、未授权访问、远程代码执行
389	ldap 目录访问协议	注入、允许匿名访问、弱口令

远程连接服务端口

端口号	端口说明	攻击方向
22	SSH远程连接	爆破、ssh隧道、内网代理转发、文件传输
23	telnet 远程连接	爆破、嗅探、弱口令
3389	rdp远程连接	shift后门，爆破
5900	vnc	弱口令
5632	pyanywhere	代码执行

web应用服务端口

端口号	端口说明	攻击方向
80/443/8080	常见的web服务端口	web攻击、爆破、对应服务器版本漏洞
7001/7002	weblogic 控制台	java反序列化，弱口令
8080/8089	jboss/resin/jetty/jenkins	反序列化、控制台弱口令
9090	websphere控制台	弱口令、java反序列化
4848	glassfish控制台	弱口令
1352	lotusdomino 邮件服务	弱口令、信息泄露、爆破
10000	webmin-web控制面板	弱口令

数据库服务端口

端口号	端口说明	攻击方向
3306	mysql	注入、提权、爆破
1433	mssql	注入、提权、sa弱口令、爆破
1521	oracle	tns爆破、注入、反弹shell
5432	postgresql	爆破、注入、弱口令
27017/27018	mongodb	爆破、未授权访问
6379	redis	未授权访问、弱口令
5000	sysbase/db2	爆破、注入

邮件服务端口

端口号	端口说明	攻击方向
25	smtp邮件服务	邮件伪造
110	pop3协议	爆破、嗅探
143	imap邮件协议	爆破

网络常见协议端口

端口号	端口说明	攻击方向
53	smtp邮件服务	允许区域传输、dns劫持、缓存投毒、欺骗
110	pop3协议	劫持、欺骗
143	imap协议	爆破、搜集目标内网信息

特殊服务端口

端口号	端口说明	攻击方向
2181	zookeeper 服务	未授权访问
8069	zabbix服务	远程执行、sql注入
9200/9300	elasticsearch	远程执行
11211	memcache	未授权访问
512/513/514	linux Rexec	爆破、rlogin登录
873	Rsync	匿名访问、文件上传
3690	svn 服务	svn泄露、未授权访问
50000	sap management console	远程执行

0x04 指纹识别

在渗透过程中，对目标的指纹是非常关键的，可以通过工具，官网公开的CMS程序的标识获取关于目标的信息，通过这些信息，我们决定渗透的思路和策略，是信息收集阶段的重要步骤

识别对象

1、CMS信息：比如大汉CMS、织梦、帝国CMS、phpcms、ecshop等；
2、前端技术：比如HTML5、jquery、bootstrap、pure、ace等；
3、Web服务器：比如Apache、lighttpd, Nginx, IIS等；
4、应用服务器：比如Tomcat、Jboss、weblogic、websphere等；
5、开发语言：比如PHP、Java、Ruby、Python、C#等；
6、操作系统信息：比如linux、win2k8、win7、kali、centos等；
7、CDN信息：是否使用CDN，如cloudflare、360cdn、365cyd、yunjiasu等；
8、WAF信息：是否使用waf，如Topsec、Jiasule、Yundun等；
9、IP及域名信息：IP和域名注册信息、服务商信息等；
10、端口信息：有些软件或平台还会探测服务器开放的常见端口。

工具：御剑、在线bugscanner、whatweb、Wapplyzer、Whatruns

云悉在线WEB指纹CMS识别平台：http://www.yunsee.cn
在线识别：http://www.iguoli.cn/cms.php
在线识别：http://whatweb.bugscaner.com/look/
whatweb：https://www.morningstarsecurity.com/research/whatweb

0x05 查找真实ip

目标服务器存在cdn

判断目标是否使用cdn：使用全国ping，ip大致一样则很可能没有cdn，若不一样则使用cdn

http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/

绕过cdn获取真实ip

使用国外ip代理。国内cdn不针对国外线路
内部邮箱源
扫描网站测试文件
分站域名

Reference

https://gorgias.me/2017/12/05/子域名收集笔记/
https://www.freebuf.com/articles/web/202560.html