3. 信息收集--敏感信息探测

Posted 2023-04-12

参考技术A

1 写出域名、ip敏感信息收集方法
详细方法见: https://www.jianshu.com/p/2499f63794e8

1). 域名探测方法

2).子域名的收集方法：

3).敏感信息收集的方法

2 写出指纹识别、waf、cdn识别方法

指纹识别：

PS：指纹识别：其核心原理是通过正则表达式匹配特征码或匹配文件的md5值等特殊信息，进而识别web应用程序的名称和版本，收集信息。

常见指纹检测的对象

1、CMS信息：比如大汉CMS、织梦、帝国CMS、phpcms、ecshop等；

2、前端技术：比如html5、jquery、bootstrap、pure、ace等；

3、Web服务器：比如Apache、lighttpd, nginx, IIS等；

4、应用服务器：比如Tomcat、Jboss、weblogic、websphere等；

5、开发语言：比如PHP、Java、Ruby、Python、C#等；

6、操作系统信息：比如linux、win2k8、win7、kali、centos等；

7、CDN信息：是否使用CDN，如cloudflare、360cdn、365cyd、yunjiasu等；

8、WAF信息：是否使用waf，如Topsec、Jiasule、Yundun等；

9、IP及域名信息：IP和域名注册信息、服务商信息等；

10、端口信息：有些软件或平台还会探测服务器开放的常见端口。

[1]、在线识纹识别：

http://whatweb.bugscaner.com/look/

http://www.yunsee.cn/finger.html
[2].工具识别
御剑Web指纹识别、

waf(web安全防护系统)： github.com/EnableSecurity/wafw00f

在kali安装waf脚本：
切换到安装目录下使用命令python3.7 setup.py install

使用命令：python3.7 main.py 网址;

3、CDN识别

cdn是内容分发网络。主要是实现负载均衡。实质是一组在不同运营商之间的对接节点的高速缓存服务器。

理解：把用户经常访问的静态数据资源如html,css直接缓存在cdn服务器上，当用户再次请求时，直接分发在离用户近的节点服务器上响应给用户，当用户有实际的数据交互时，才会从远程web服务器上相应。

https://raw.githubusercontent.com/3xp10it/mytools/master/xcdn.py
cdn绕过真实ip
步骤1：判断目标是否使用cdn
方法一：使用网站ping域名。返回多个ip使用cdn
https://www.17ce.com/

方法二：使用nslookup 域名，查看返回的ip地址，返回多个使用cdn

步骤二：绕过cdn寻找真实ip
（1）.扫描子域名寻找真实ip
可能存在主域名使用cdn加速，子域名没有使用。
(2) . 国外网站多地ping https://asm.ca.com/
存在国内使用cdn,国外没有使用，可以通过国外多地请求寻找ip规律
（3）.查询历史域名解析记录
可能存在历史域名没有使用cdn,从而可以找到真实ip
使用网站： https://x.threatbook.cn/ （国内）
https://www.netcraft.com/( 国外)

3.写出渗透测试信息收集详细流程
域名探测---子域名探测----敏感信息收集----指纹识别，waf,cd识别------资产梳理

-e 指定网站语言

-w 可以加上自己的字典（带上路径）

-r 递归跑（查到一个目录后，在目录后在重复跑，很慢，不建议用）

--random-agents 使用代理（使用的代理目录在uesr-agents.txt中，可以自己添加）

Nmap整理收集

Nmap使用
Nmap是主机扫描工具，他的图形化界面是Zenmap，分布式框架为Dnamp。

Nmap可以完成以下任务：

主机探测
端口扫描
版本检测
系统检测
支持探测脚本的编写

Nmap在实际中应用场合如下：
通过对设备或者防火墙的探测来审计它的安全性
探测目标主机所开放的端口
通过识别新的服务器审计网络的安全性
探测网络上的主机

常用端口如下
HTTP 80
HTTPS 443
Telnet 23
FTP 21
SSH 22
SMTP 25
POP3 110
WebLogic 7001
TOMCAT 8080
远程登录 3389
Oracle数据库 1521
MS SQL* SEVER 1433
MySQL 3306

1、nmap简单扫描
nmap 192.168.120.116
2、nmap简单扫描，并对结果返回详细的描述输出
nmap -vv 192.168.120.116
3、nmap自定义端口扫描
nmap -p21,443,22 192.168.120.116 (指定不连续的端口)
nmap -p100-200 192.168.120.116 （指定连续的端口）
4、nmap ping扫描 （可以很方便的找出某个网段存活的主机）
nmap -sP 192.168.120.0/24
5、nmap 路由跟踪
nmap --traceroute 192.168.120.116
6、nmap 操作系统类型的探测
nmap -O 192.168.120.116
7、nmap 综合扫描（包含端口扫描，操作系统扫描，脚本扫描，路由跟踪，服务探测）
nmap -A 192.168.120.116
8、nmap混合扫描
nmap -vv -p1-200 -O 192.168.120.116
9、半开放扫描（执行快，效率高，一般用于ip较多的情况下使用）
nmap -sS 192.168.0.0/16
10、（用于防火墙禁止png的情况下使用）
nmap -P0 192.168.120.116
11、

参数介绍

nmap -e 指定网络接口
nmap -v 详细信息输出
nmap -p 指定端口
nmap -iR 全网扫描
nmap -iL 扫描文件中的ip
nmap -exclude 不扫描某些ip
nmap -PO 有些主机关闭了ping检测所以使用这条命令可以跳过ping的探测加快扫描
nmap -PS 端口（SYN）
nmap -PU 端口（UDP）
nmap -Pn 使用ping扫描，显式地关闭端口扫描，用于主机发现
nmap -sn 使用ping扫描，进行端口扫描，假设主机都是up的,返回主机ip和mac
nmap -sA 向目标主机的端口发送ACK包，如果收到RST包，说明该端口没有被防火墙屏。该方式 只能用于确定防火墙是否屏蔽某个端口
nmap -sS 使用SYN扫描，不需要完成三次握手（隐蔽扫描）
nmap -sT 扫描开放了tcp端口的设备，需要完成三次握手的tcp扫描
nmap -sU 扫描UDP端口
nmap -sF FIN扫描，用于探测防火墙状态，识别端口是否关闭，容易漏扫
nmap -sV 扫描目标主机的端口和软件版本
nmap -sO 探测主机支持那些ip协议
nmap -sW 窗口扫描，得出一些端口信息
nmap -sP 对对应主机端的主机发送ICMP报文，查询哪些主机是存活的
nmap -O 远程检测操作系统和软件
nmap -O --osscan-guess 猜测目标操作系统版本
nmap -traceroute 路由跟踪
nmap -A 综合扫描，包含1-10000的端口ping扫描，操作系统扫描，脚本扫描，路由跟踪，服务探测
nmap -oN result.txt 将标准输出写入到指定文件中
nmap -oX result.xml 将输入写成xml的形式
nmap -oS result.txt 将输出写成特殊符号的形式，内容跟-oN是一样的，只是字体变了而已
nmap -oG result.txt 将输出写成特殊格式
nmap -oA 将输出所有格式，有三种 .xml/ .gnmap/ .nmap
nmap -T[0-5] 时间参数模板
?? -T0 用于躲避IDS，时间很长
??-T1 用于躲避IDS，时间很长
??-T2 降低了扫描速度，使用更小的带宽和目标主机资源对目标靶机进行扫描
??-T3 默认模式，未做优化
??-T4 假设用户具有合适及可靠的网络而加速对目标靶机的扫描
??-T5 假设用户具有更好的网络或者愿意牺牲准确性而加速扫描
nmap -sC 根据端口识别服务自动调用默认脚本
nmap --script

nmap按脚本分类扫描
nmap脚本主要分为以下几类，在扫描时可根据需要设置--script=类别这种方式进行比较笼统的扫描：

auth: 负责处理鉴权证书（绕开鉴权）的脚本
broadcast: 在局域网内探查更多服务开启状况，如dhcp/dns/sqlserver等服务
brute: 提供暴力破解方式，针对常见的应用如http/snmp等
default: 使用-sC或-A选项扫描时候默认的脚本，提供基本脚本扫描能力
discovery: 对网络进行更多的信息，如SMB枚举、SNMP查询等
dos: 用于进行拒绝服务***
exploit: 利用已知的漏洞***系统
external: 利用第三方的数据库或资源，例如进行whois解析
fuzzer: 模糊测试的脚本，发送异常的包到目标机，探测出潜在漏洞 intrusive: ***性的脚本，此类脚本可能引发对方的IDS/IPS的记录或屏蔽
malware: 探测目标机是否感染了病毒、开启了后门等信息
safe: 此类与intrusive相反，属于安全性脚本
version: 负责增强服务与版本扫描（Version Detection）功能的脚本
vuln: 负责检查目标机是否有常见的漏洞（Vulnerability），如是否有MS08_067

nmap --script=broadcast-netbios-master-browser 192.168.137.4 发现网关
nmap -p 873 --script rsync-brute --script-args ‘rsync-brute.module=www‘ 192.168.137.4 破解rsync
nmap --script informix-brute -p 9088 192.168.137.4 informix数据库破解
nmap -p 5432 --script pgsql-brute 192.168.137.4 pgsql破解
nmap -sU --script snmp-brute 192.168.137.4 snmp破解
nmap -sV --script=telnet-brute 192.168.137.4 telnet破解
nmap --script=http-vuln-cve2010-0738 --script-args ‘http-vuln-cve2010-0738.paths={/path1/,/path2/}‘ <target> jboss autopwn
nmap --script=http-methods.nse 192.168.137.4 检查http方法
nmap --script http-slowloris --max-parallelism 400 192.168.137.4 dos***，对于处理能力较小的站点还挺好用的 ‘half-HTTP‘ connections
nmap --script=samba-vuln-cve-2012-1182 -p 139 192.168.137.4

oracle sid扫描
nmap --script=oracle-sid-brute -p 1521-1560 192.168.137.5
oracle弱口令破解
nmap --script oracle-brute -p 1521 --script-args oracle-brute.sid=ORCL,userdb=/var/passwd,passdb=/var/passwd 192.168.137.5
列出所有mysql用户
nmap -p3306 --script=mysql-users.nse --script-args=mysqluser=root 192.168.137.4
nmap --script=mysql-* 192.168.137.4
扫描root空口令
nmap -p3306 --script=mysql-empty-password.nse 192.168.137.4
猜解mssql用户名和密码
nmap -p1433 --script=ms-sql-brute --script-args=userdb=/var/passwd,passdb=/var/passwd 192.168.137.4
系统信息
nmap -n -p445 --script=smb-os-discovery.nse --script-args=smbuser=test,smbpass=test 192.168.137.4
查看会话
nmap -n -p445 --script=smb-enum-sessions.nse --script-args=smbuser=test,smbpass=test 192.168.137.4
查看共享目录
nmap -p 445 --script smb-ls --script-args ‘share=e$,path=,smbuser=test,smbpass=test’ 192.168.137.4
vnc扫描：
nmap --script=realvnc-auth-bypass 192.168.137.4

检查vnc认证方式
nmap --script=vnc-auth 192.168.137.4
获取vnc信息
nmap --script=vnc-info 192.168.137.4
smb破解
nmap --script=smb-brute.nse 192.168.137.4
smb字典破解
nmap --script=smb-brute.nse --script-args=userdb=/var/passwd,passdb=/var/passwd 192.168.137.4