信息安全工程实践笔记--Day1 信息收集&漏洞扫描

Posted 国际知名观众

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了信息安全工程实践笔记--Day1 信息收集&漏洞扫描相关的知识,希望对你有一定的参考价值。

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

文章目录


实验目标

①操作 Nmap、AWVS、Nessus 等工具进行漏洞扫描;
②通过whois 查询、Layer 子域名挖掘机等工具等查询关键信息,生成暴力破解字典;
③如何绕过 CDN 找 DNS历史记录、邮件原文、子域名等信息;
④旁站和C段的信息。

(一)信息收集

一、搜索引擎

利用google hacking可以快速的对目标进行信息收集。

1. Intext:
查找网页中含有x关键字的网站
例: Intext:管理 员登录
2. Intitle:
查找某个标题
例: intitle:后台登录
3. Filetype:查找某个文件类型的文件
例: filetype:doc
4. Inurl:
查找ur中带有某字段的网站
例: inurl:php?id=
5. Site:
在某域名中查找信息
例: Site:目标站点
例: site:baidu.com -www就能查看除www外的子域名
6.查找后台地址: site:域名
inur:loginladminlmanagelmember|adminloginlloginadminlsystemlloginluserlmain|cms
7.查找文本内容: site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号
|adminlogin|syslmanagetem|passwordlusemname
8.查找可注入点: site:域名 inurl:aspxljsplphplasp
9.查找上传漏洞: site:域名 nflfielloadleditorlFiles找eweb
10.编辑器: site:域名 inurl:ewebeditorleditorluploadflelewebledit
11.存在的数据库: site:域名 filetype:mdb|asp|#
12.查看脚本类型: site:域名 filetype:asp/aspx/php/jsp

还有,常见的Sadan(被阉割), fofa,zoomeye搜索。 以fofa为例,只需输入: title: "网站的ile关键字"或者body:"网站的Dody特征"就可以找出fofa收录的有这些关键字的ip域名,有时能获取网站的真实ip。
例如:https://www.zoomeye.org/(缺点是 限制很多 很麻烦

二、域名

1.whois 查询

https://whois.chinaz.com/: 获取邮箱姓名电话地址,生成字典进行暴力破解

2.子域名查询

3.真实ip

有时服务器挂载cdn会导致无法找到真实ip

(1)什么是cdn?

CDN(Content Delivery Network),即内容分发网络。其基本思路是:在各地放置节点服务器,实时地将用户的请求导向离用户最近的服务节点上,优势是隐藏源主机ip,降低延迟,提高服务响应速度,增加网络冗余,减小主机服务器压力。
具体的实现方法可以参考:你知道CDN是什么吗?本文带你搞明白CDN

(2) 如何验证目标服务器是否挂载cdn?

通过每个地区ping服务器的结果得到IP,看这些IP是否一致,如果都是一样的,极大可能不存在cdn。如果IP大多都不太一样或者规律性很强基本就是挂载CDN。比如:ping 百度
再比如,用windows的cmd的nslookup进行检测,出现了多个ip

(3) 绕过cdn获取真实ip

①与服务器数据库交互
比如获取注册邮件,点击“显示邮件原文”查看邮件全文源代码或者邮件标头可以获取服务器ip

②网站漏洞查找
1)目标敏感文件泄露,例如: phpinfo之类的探针、GitHub信息泄露等。
2) XSS盲打,命令执行反弹shell, SSRF等。(网址:xss8.cc/)
3)社工或者其他手段,拿到了目标网站管理员在CDN的账号从CDN的配置中找到网站的真实IP。

③子域名
由于目标服务可能在主站上做好了相应的CDN,但是由于种种原因二级域名没有做,这时可以从这个方面入手进行查询。

C:\\Windows\\System32\\drivers\\etc\\hosts 格式=[IP] [域名]

④App
如果目标网络站有自己的App,可以尝试通过利用fiddler或Burp Suite抓取App的请求,从里面找到目标的真实ip。
(分析请求行和响应数据)

⑤查询历史DNS记录: .
通过查看IP与域名绑定的历史记录,可能因为网站之前没有使用CDN,历史IP地址的解析记录(A记录)存在真实服务器的IP。
相关查询网站.:

https://dnsdb.io/zh-cn/
https://x.threatbook.cn/
http://toolbar.netcraft.com/site_ report?url=
http://iewdns .info/

三、网站

1.服务器

(1)端口服务(nmap和awvs一定要多练习)

通过端口扫描可以判断出网站开启的服务。端口号对应的服务一定要记住,形成肌肉记忆
21,22,23, 80-90,443,445, 1433,1521 ,3306, 3389, 5432, 6379,7001-7010,7778,8080-8090
如果开放了端口,就可以用相应的办法暴破(也就是说要有威胁建模的意识),这些有名的漏洞都需要重点看
①21端口
(1)基础爆破: ftp爆破工具很多,推hydra以及msf中的tp爆破模块。
(2) ftp匿名访问:用户名: anonymous密码:为空或者任意邮箱
(3)后门vsftpd : version 2到2.3.4存在后门漏洞,攻击者可以通过该漏洞获取root权限。
(4)嗅探: ftp使用明文传输技术,使用Cain进行渗透。
(5) ftp远程代码溢出。(ProFTPD1 .3.3c)
②22端口
(1)弱口令,可使用工具hydra, msf中的ssh爆破模块。
(2) bpenssh 用户枚举CVE-2018-15473。
(3) SSH隧道及内网代理转发
③23端口
(1)暴力破解技术是常用的技术.使用hydra, msf中爆破模块。
(2)嗅探
④139/445端口(很常用 可以偷偷乐呵哈哈哈哈)
(1) MS17010永恒之蓝。 虽然是07年曝出来,但目前仍有很多单位没有修复,自己做着试一试
(2) MS06040或MS08067
(3)内网IPC$进行渗透。
⑤3306/1 433/1 521/5432/6379
(1)注入、提权、弱口令、反弹shell、 未授权
(2) CVE-2014-2669 postgresql
⑥3389端口
(1)查看前人shif后门(需要windows sever 2003以吓的系统)
(2)爆破
(3) MS12_ 020蓝屏
⑦7001/7002端口
(1)弱口令爆破,weblogic/Oracle@123 or weblogic
(2) CVE-2014- 4210/ CVE-2017-10271/CVE-2018-2628/CVE-2019-2725等些列CVE
⑧8080端口
(1) Tomcat任意文件上传CVE-2017-12615
(2) Tomcat远程代码执行&信息泄露CVE-2017-12615&CVE-2017-12616
(3) Tomcat幽灵猫
(4) Jboss远程代码执行&反序列化漏洞CVE- 2017-12149&CVE-2017-7504
(5) JBoss远程部署漏洞
(6) Struts2- 系列

(2)操作系统

通过修改将首页或者其他页面输入框的大小写,辨别网站所使用的系统:
区分大小写(页面报错) -Linux
不区分大小写(页面正常) --Windows

2.网站架构

(1)网站容器、数据库

Apache、nginx、 Tomcat 还是IIS。知道了web服务器是哪种类型后,我们还要探测web服务器具体的版本。比如Ngnix版本<0. 88会有解析漏洞,II6.0会有文件名解析漏洞、IIS7.0会有畸形解析漏洞等。不同的web服务器版本, 存在着不同漏洞。
用kali的whatweb工具(whatweb +网址)可以查到服务器版本、数据库(access、sqlsever、mysql、oracle)

(2)编程语言

通过查看首页文件后缀、通过爬虫工具爬取网站目录判断网站脚本类型

3.网站敏感信息

(1)cms指纹信息

(2)探测软件级WAF

(绕waf 不太好绕 需要很长时间

(3)旁站查询

旁站:同服务器其他站点;
C段:同一网段其他服务器
http://www.webscan.cc/ 都可以
http://s.tool.chinaz.com/same 旁站
htp://ww.114best.comlip/114.aspx?w= 旁站

(4)敏感目录(御剑)、文件

后台目录:弱口令,万能密码,爆破;
数据库配置文件:获取数据库IP、用户以及密码;
安装文件:可以二次安装进而绕过;
phpinfo文件:配置信息暴露出来;
编辑器目录: fck、 kind、robots.txt 文件

以上是关于信息安全工程实践笔记--Day1 信息收集&漏洞扫描的主要内容,如果未能解决你的问题,请参考以下文章

计实求知·In+丨机器学习工程师&信息安全工程师介绍

安全牛学习笔记DNS信息收集-DIG

安全牛学习笔记主动信息收集-发现

安全牛学习笔记主动信息收集 - 发现

安全牛学习笔记DNS信息收集

安全牛学习笔记主动信息收集-发现