信息收集

签到手Kenoe发现自己很久没有更新博客，于是今天写一下信息收集的思路

信息收集的意义

信息收集是渗透测试的起点，一个良好的信息收集才能保证在攻击的时候找到更多的攻击面，信息收集有各种各样的思路，俺没事的时候就看大佬们挖src的文章，发现了不少骚思路

搜索引擎

• Google hack语法

这个相信每个学渗透测试的最开始都会学的东西，这里就简单记录一些语法

intitle:xxx  //搜索标题中含有xxx关键词的网页
intext:xxx  //搜索正文中含有xxx内容的网页 
inurl:xxx   //搜索url中包含有xxx内容的网页
比如挖sql注入的时候会用 inurl:php?id=
(不过现在应该挖不到这种了吧)    
site:xxx.com  //搜索xxx.com的内容
filetype:file  //搜索指定类型的文件
 比如之前看师傅挖edu src的时候就喜欢用
 filetype:xls intext:学号   

• fofa、Zoomeye、Shodan

这些网站的使用方法都差不多，并且比hack语法更加高效，因为这些网站每天都在爬网页，在上面搜到的网站要更多

fofa上面有提供查询语法的参考，我自己习惯用fofa

有时候发现一些通杀的漏洞想找个站试试手就会用找个

比如我发现了一个泛微oa的通杀

我就直接app=”泛微-EOffice”

搜出来就都是泛微的站了

企业信息

天眼查
ICP备案查询网
国家企业信用信息公示系统

whois

可以查询域名的ip以及注册者的一些信息，可以用这个来进行社工

站长之家

爱站

国外的

https://www.whois365.com/cn/

http://seo.chinaz.com/

这个可以多换几个站试试 可能会出现不一样的结果

子域名收集

有的时候主站打不进去 可以试试挑软柿子捏 有的时候发现旁站是什么cms 说不定有通杀呢（笑

在线工具：

• https://phpinfo.me/domain/
• https://www.virustotal.com/#/home/search
• https://dnsdumpster.com/

工具：

• layer子域名挖掘机 图形化界面非常简单
• subDomainBrute
• OneForAll这个超级好用 功能很全

获取真实ip

有的网站开启了cdn加速，所以为了不打空，要获取真实ip

• 多地ping

https://ping.chinaz.com/

• 只ping域名

有的网站只给www.xxx.com上cdn 所以pingxxx.com可能可以

• 让服务器给你发邮件 查看邮箱头源ip

namp-端口扫描

得到真实ip就开扫 扫描所存在的端口 查看有没有一些端口可能存在漏洞

常见端口漏洞：
端口 服务 说明
21 FTP 主要看是否支持匿名，也可跑弱口令
22 SSH 弱口令爆破
23 telnet 弱口令爆破
80-90 WEB 常见WEB漏洞以及一些为管理后台
161 snmp public弱口令
389 ldap 是否为匿名访问
443 openssl 心脏出血以及一些WEB漏洞测试
445 smb 跑弱口令，检测是否有ms_08067等溢出
873 rsync 是否为匿名访问，也可以跑弱口令
1025 RPC NFS匿名访问
1099 java rmi 远程命令执行漏洞
1433 mssql 弱口令爆破
1521 oracle 弱口令爆破
2082/2083 cpanel主机管理系统登陆 弱口令爆破
2222 DA虚拟主机管理系统登陆 弱口令爆破
2601,2604 zebra路由器 默认密码zebra
3128 squid代理默认端口 如果没设置口令很可能 就直接漫游内网
3306 mysql 弱口令爆破
3312/3311 kangle主机管理系统登陆 说明
3389 RDP 弱口令爆破，SHIFT后门，放大镜，输入法漏洞
4440 rundeck web
4848 GlassFish web中间件 弱口令admin/adminadmin
5432 postgres 弱口令爆破
5560,7778 iSqlPlus
5900,5901,5902 vnc 弱口令爆破
5984 CouchDB http://xxx:5984/_utils/
6082 varnish
6379 redis 一般无验证，直接访问
7001,7002 weblogic 弱口令爆破
7778 Kloxo主机控制面板登录
8080 tomcat\jboss 弱口令爆破，jboss后台可能不验证
8649 ganglia
8080-8090 常见WEB端口
8083 Vestacp主机管理系统 （国外用较多）
8649 ganglia
8888 amh/LuManager 主机管理系统默认端口 说明
9000 fcgi fcgi php命令执行漏洞
9200 elasticsearch 代码执行
9043 websphere 弱口令爆破
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 memcache 内存泄露
27017,28017 mongodb 未授权访问
50000 Upnp SAP命令执行
50060,50030 hadoop WEB 未授权访问

网站指纹识别

在线工具:

潮汐指纹

云悉指纹

whatweb当然这玩意kali自带

wafw00f识别waf （我保证能识别watchbird）

目录扫描

• 御剑

好用 自己多整点字典就好了

• gorailgun

这玩意挺方便 有时候扫端口比namp快

功能也全

• AWVS

敏感文件泄露

git文件

Githack

用这个脚本去重现代码

SVN源码泄露

SVN是一个开放源代码的版本控制系统。在使用SVN管理本地代码过程中，会自动生成一个名为.svn的隐藏文件夹，其中包含重要的源代码信息。网站管理员在发布代码时，没有使用‘导出’功能，而是直接复制代码文件夹到WEB服务器上，这就使.svn隐藏文件夹被暴露于外网环境，可以利用.svn/entries文件，获取到服务器源码。

这里可以用这个

CVS泄露

CVS是一个C/S系统，多个开发人员通过一个中心版本控制系统来记录文件版本，从而达到保证文件同步的目的。主要是针对 CVS/Root以及CVS/Entries目录，直接就可以看到泄露的信息。

可以用dvcs-ripper

rip-cvs.pl -v -u www.xxx.com/cvs/

Bazaar/bzr泄露

bzr也是个版本控制工具, 虽然不是很热门, 但它也是多平台支持, 并且有不错的图形界面

rip-cvs.pl -v -u www.xxx.com/.bzr/

robot.txt

robots协议，在robots.txt中将搜索引擎抓取网站内容的范围做了约定,包括网站是否希望被搜索引擎抓取,哪些内容不允许被抓取,而网络爬虫可以据此自动抓取或者不抓取该网页内容

www.zip

比较常见的备份方式 在url后面加上这个可以下载源码

.swp

在vim编辑文本时会创建一个临时文件，如果程序正常退出，临时文件自动删除，如果意外退出就会保留，当vim异常退出后，因为未处理缓存文件，导致可以通过缓存文件恢复原始文件内容

WEB-INF/web.xml泄露

WEB-INF是Java的WEB应用的安全目录，如果想在页面中直接访问其中的文件，必须通过web.xml文件对要访问的文件进行相应映射才能访问。
WEB-INF 主要包含一下文件或目录：

WEB-INF/web.xml : Web应用程序配置文件, 描述了servlet和其他的应用组件配置及命名规则.
WEB-INF/database.properties : 数据库配置文件
WEB-INF/classes/ : 一般用来存放Java类文件(.class)
WEB-INF/lib/ : 用来存放打包好的库(.jar)
WEB-INF/src/ : 用来放源代码(.asp和.php等)

通过找到 web.xml 文件，推断 class 文件的路径，最后直接 class 文件，再通过反编译 class 文件，得到网站源码。

DS_Store文件泄露

.DS_Store是Mac下Finder用来保存如何展示 文件/文件夹 的数据文件，每个文件夹下对应一个。如果将.DS_Store上传部署到服务器，可能造成文件目录结构泄漏，特别是备份文件、源代码文件。
这里用ds_store_exp

ds_store_exp.py www.xxx.com/.DS_Store

一些集成的工具

gorailgun

goby

AWVS

xrays

nessus

k8

yakit

acunetix