这是F12sec的第65篇原创
申明:本次测试只作为学习用处,请勿未授权进行渗透测试,切勿用于其它用途!
ps:goddemon的scdn地址:
https://blog.csdn.net/qq_33942040
1.信息收集
信息收集核心内容:域名及其他子信息收集
一,企业相关信息收集
代码语言:javascript复制(搜集用户名信息类)
企查查([https://www.qcc.com
天眼查[(https://www.tianyancha.com/)
启信宝(https://www.qixin.com/)站长之家:http://whois.chinaz.com/
邮箱反查、注册人反查、电话反查。
推荐个项目:https://github.com/code-scan/BroD omain 兄弟域名查询。
https://www.qimai.cn/
查微信相关的资产
可利用
搜狗浏览器,查微信即可打开天眼查,输入公司名称—>进入公司主页—>找到知识产权部分。即可看到很多知识产权信息,点击详情即可看到发明人姓名
二,子域名类域名收集
典型项目收集
代码语言:javascript复制oneforAll
#挂代理和不挂代理时可能跑出的域名区别较大
xray进行收集
goby
端口 指纹识别很nice
一个真实IP获取域名(入其他的域名获取IP的权限状况)
企业c段范围
#在线获取子域名的接口
http://tools.xiu09.cn/zym/
https://api.hackertarget.com/reverseiplookup/?q=www.ccnu.edu.cn//q等于需要挖取的站,一般挖的是盘站三 网址url目录类收集
代码语言:javascript复制#御剑批量版本
#dirseach
#jsfinder四 历史漏洞收集
代码语言:javascript复制https://wooyun.x10sec.org/五 信息泄露
github泄露挖掘
代码语言:javascript复制P牛知识星球里分享的github搜索关键词:https://twitter.com/obheda12/status/1316513838716551169
github子域名监控项目:https://github.com/FeeiCN/GSIL
常见的泄露内容:乌云上有一些案例,可以看一看。
员工内部邮箱、登录账号、密码。
企业的一些内部系统域名、ip泄露。
企业网站的工程代码、网站源码泄露,可以通过员工邮箱关键词查找,要注意日期,好几年的大概率不收
了。在这里插入代码片配置错误导致的信息泄露
代码语言:javascript复制#信息泄露中比较常见的swagger-ui服务泄露,可能直接提交会忽略或者低危,别忘了进一步测试泄露的接口功能
#越权导致的信息泄露
#很多时候越权来来去去都是更改一个参数的问题,更多的时候还是要细心的一个一个测业务功能,注意观察和测试操作参数和对象参数,操作参数一般是增删改查对应特定业务的敏感操作、对象参数一般是用户或者物品等六 威胁情报挖掘
代码语言:javascript复制https://mp.weixin.qq.com/s/v2MRx7qs70lpnW9n-mJ7_Q
https://bbs.ichunqiu.com/article-921-1.html
针对IP通过开源情报 开放端口分析查询
https://x.threatbook.cn/(主要)
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/
https://community.riskiq.com/七 fofa进行搜集
代码语言:javascript复制Welcome to Burp suite #搜集burp的东西
# CVE-2019-17558 Apache Solr Velocity模板远程代码执行
app="Apache-Shiro"
# 搜索湖北地区的资产
&& region="Hubei"
# 医院
"*hospital.*" && region="Hubei"
#教育机构
"*edu.*" && region="Hubei"
#搜索host内所有带有qq.com的域名:
host="qq.com"
1.title="后台管理" 搜索页面标题中含有“后台管理”关键词的网站和IP
2、header="thinkphp" 搜索HTTP响应头中含有“thinkphp”关键词的网站和IP
3、body="管理后台" 搜索html正文中含有“管理后台”关键词的网站和IP
4、body="Welcome to Burp Suite" 搜索公网上的BurpSuite代理
5、domain="itellyou.cn" 搜索根域名中带有“itellyou.cn”的网站
6、host="login" 搜索域名中带有"login"关键词的网站
7、port="3388" && country=CN 搜索开放3388端口并且位于中国的IP
8、ip="120.27.6.1/24" 搜索指定IP或IP段
9、cert="phpinfo.me" 搜索证书(如https证书、imaps证书等)中含有"phpinfo.me"关键词的网站和IP
10、ports="3306,443,22" 搜索同时开启3306端口、443端口和22端口的IP
11、ports=="3306,443,22" 搜索只开启3306端口、443端口和22端口的IP
12.protocol=“https”,搜索指定协议类型
13.app="phpinfo"搜索某些组件相关系统
14.title=“powered by” && os==windows 搜索网页标题中包含有特定字符并且系统是 windows的网页#利用且语句进行连接代
#15.搜索目录遍历的漏洞
body="Directory listing for ”|| ||body=“转到父目录”
#16.找摄像头
title=“~~UI3-Blue Iris~~ ”&&port=“82”或者cc**
#17 找被入侵网址
#Hacked by
#body=“miner.start("&&header!="Mikrotik HttpProxy"&&country=CN
18找配置文件
config.php
#19 cms查找思路
①利用ico的hash值进行查找-->先把
如
http.favicon.hash
思路链接地址
https://blog.csdn.net/weixin_45859734/article/details/111087843
②利用网络安全产品代
https://t.wangan.com/c/products.html
#利用hash值进行搜索
脚本学校的
import mmh3
import requests
response = requests.get(‘https://www.nchu.edu.cn/favicon.ico’,verify=False)
favicon = response.content.encode(‘base64’)
hash = mmh3.hash(favicon)
print hash
org组织的指定组织的
org="China Education and Research Network Center"八 利用google hacking类找
代码语言:javascript复制搜集
①相关邮箱
#邮箱搜集可以利用的很不错的工具
#theHarvester的使用
-d 服务器域名
-l 限制显示数目
-b 调用搜索引擎(baidu,google,bing,bingapi,pgp,linkedin,googleplus,jigsaw,all)
-f 结果保存为HTML和XML文件
-h 使用撒旦数据库查询发现主机信息
#实例1
theHarvester -d sec-redclub.com -l 100 -b baidu
相关公司的名称
公司类的用户名常用-->
首写字母 名@xxx
②搜集相关用户名思路
利用天眼查或者企查查
适用于所有公司(尤其是科技公司),就是爬一下这个公司的专利信息列表。由于专利信息都是公开的,能找到大量人员真实姓名,而且多半是技术人员。
企查查和天眼查都可以做这个事情九 资产收集
shodan–>搜索国外的较优网络资产及设备检索引擎
侧重于主机层次 指纹收集即web层面的一款nice的搜索引擎–>zoomeye
代码语言:javascript复制#基本语法:
#1.)搜索主机名hostname:google.com
#2.)搜索相关服务类,如mysql
#3.)城市类语法如搜索在中国适用Apache的app app:Apache country:CN
#4.)搜索ip 直接ip即可互联网设备信息的搜索引擎,搜索目标的具体配置信息–>Censys
代码语言:javascript复制https://censys.io/ipv4#基本语法
#1.)搜索ip段中的主机 23.0.0.0/8 or 8.8.8.0/24
#2.)查询没有安装受信任证书的流行网站 not 443.https.tls.validation.browser_trusted: true
#3.)查询位于德国开放了Telnet和ftp的主机 location.country_code: DE and protocols: ("23/telnet" or "21/ftp")
#4.)使用Apache并支持HTTPS的流行网站
#80.http.get.headers.server: Apache and protocols: "443/https"绕CDN查真实ip方法
代码语言:javascript复制#常用的几个方法
#没有漏洞的几个方法
①子域名
②hash值
③dns历史查询
#用户角度进行
④国外进行访问
⑤通过目标自身的邮件系统进行获取到真实ip
#存在漏洞的几个方法
①phpinfo这些方法(1)查询子域名:毕竟 CDN 还是不便宜的,所以很多站长可能只会对主站或者流量大的子站点做了 CDN,而很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。传送门——> 子域名信息查询
(2)查询主域名:以前用CDN的时候有个习惯,只让WWW域名使用cdn,秃域名不适用,为的是在维护网站时更方便,不用等cdn缓存。所以试着把目标网站的www去掉,ping一下看ip是不是变了,您别说,这个方法还真是屡用不爽。
(3)邮件服务器:一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP(必须是目标自己的邮件服务器,第三方或者公共邮件服务器是没有用的)。
(4)查看域名历史解析记录:也许目标很久之前没有使用CDN,所以可能会存在使用 CDN 前的记录。所以可以通过网站https://www.netcraft.com 来观察域名的IP历史记录。
(5)国外访问:国内的CDN往往只对国内用户的访问加速,而国外的CDN就不一定了。因此,通过国外在线代理网站https://asm.ca.com/en/ping.php 访问 ,可能会得到真实的ip地址。
(6)Nslookup查询:查询域名的NS记录、MX记录、TXT记录等很有可能指向的是真实ip或同C段服务器。传送门:各种解析记录
(7)网站漏洞:利用网站自身存在的漏洞,很多情况下会泄露服务器的真实IP地址
(8)Censys查询SSL证书找到真实IP:利用“Censys网络空间搜索引擎”搜索网站的SSL证书及HASH,在https://crt.sh上查找目标网站SSL证书的HASH,然后再用Censys搜索该HASH即可得到真实IP地址
443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:***trade.com站库分离
1.)两种入口打站库分离
代码语言:javascript复制web入口渗透
通过网站的各种漏洞来 getshell,比如文件上传、命令执行、代码执行、还有 SQL 注入写入一句话(into outfile、日志备份等)
数据库入口渗透
外网暴露的数据库入口点弱口令;web 网站 SQL 注入。2.)利用sql注入搜集信息 MYSQL
代码语言:javascript复制①通过查询语句直接定位web端ip地址
#定位web端ip地址
select * from information_schema.PROCESSLIST;
②利用load_file获取ip类
#利用load_file读取服务器中的敏感信息
select load_file('C:/test.txt');
# 左斜杠 /
#三个典型文件
/etc/udev/rules.d/70-persistent-net.rules
获取网卡名称
/etc/sysconfig/network-scripts/ifcfg-网卡
静态IP
DHCP的话
/var/lib/dhclient/dhclient--网卡.leaseMSSQL
代码语言:javascript复制1.)利用获取客户端和服务端的主机名进行判断是否属于库站分离
#得到客户端主机名
select host_name();
#得服务端主机名
select @@servername;
进行比较是否相同即可获取是否属于站库分类
2.)利用存储过程执行命令判断是否属于站库分离
XP_CMDSHELL
SP_OACREATE
