信息收集(Web篇)
0x00 子域名收集
工具
1、子域名挖掘机、lijiejieSubDomain
需要自己维护一套字典才能有很好的效果,你字典越全爆破效果越好。
2、在线子域名收集
http://z.zcjun.com/ (字典已搞到)
3.test404轻量title获取器
4.SSL证书获取子域名
5.获取到域名时,很多是内网域名,但是通过分析其泛解析的ip段还有孤立ip,绑定hosts访问,往往有意想不到的收获,团队某表哥的骚思路。
0x01 IP收集/端口收集
1、子域名挖掘机layer收集IP
2、其他获取子域名的工具,然后提取IP
3、使用Nmap、Zmap、Masscan进行端口扫描
通过上面的几种方式获取到IP之后,可以把IP提取出来,然后利用Nmap的-iL参数批量扫描
使用Nmap进行可爆破服务扫描
1 | nmap 目标 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute |
使用Nmap对常见的漏洞扫描并判断
1 | nmap 目标 --script=auth,vuln |
Nmap精确判断漏洞并扫描端口
1 | nmap 目标 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version |
0x02 C段信息收集
1、在线c端查询
支持旁站查询等
0x03 搜索语法收集敏感、泄露文件
1、搜索引擎语法搜索文件
搜索引擎:baidu.com、bing.com、google.com
Site:xxx.com filetype:pdf
Site:xxx.com inurl:xxxx
收集一些敏感的文件,类似使用手册、帮助文档。里面可能会有一些路径,偶尔就有未授权访问。特别是帮助文档,有时候目录不会做访问限制,能看到很多东西。
2、查找后台
1 | site:xxx.xxx adminsite:xxx.xxx login site:xxx.xxx systemsite:xxx.xxx 管理site:xxx.xxx 登录 site:xxx.xxx 内部site:xxx.xxx 系统site:xxx.xxx admin site:xxx.xxx login site:xxx.xxx inner site:xxx.xxx 后台 |
3、查找指纹、网上已曝光的漏洞指纹
1 | site:xxxx.com inurl:console |
4、查找技巧
某些站测试越权的时候,可能越权参数比较难构造,可以搜一下
http://xxx.xxx.xxx/userinfo/?uid=55498ad290h0sadalksaf
1 | site:xxx.xxx inurl:uid=5549 |
0x04 云盘搜索工具
1、盘搜搜http://www.pansoso.com/
2、凌风云https://user.lingfengyun.com
3、盘搜http://www.pansou.com/
……
0x05 github等托管平台信息收集
1、有时间自己搞个github监控
2、sourcegraph是非常专业的代码搜索服务商,他们提供的Sourcegraph Server是免费的代码搜索服务器,通过docker的方式部署,支持无限扩展,支持对GitHub, BitBucket, GitLab等仓库的代码搜索。搜索内容包括仓库代码、diff、commit。
0x06 目录收集
1、7kbStorm大佬的目录爆破工具
https://github.com/7kbstorm/7kbscan-WebPathBrute
核心还是自己的字典牛不牛逼。
其实403循环爆破可以爆破到很多未授权访问。
有直接的服务器返回的默认404页面说明能爆破。要是有302跳转的就很难了。
0x07 svn .git 信息泄露
1、Githack等扫描工具
2、svn泄露利用工具
0x08 敏感目录泄露
1、备份文件泄露常用默认名字:
1 | [www.zip](http://www.zip) |
2、WEB-INF/web.xml泄露
WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问:
1 | /WEB-INF/config/jdbc.properties |
通过它我们可以看项目历史:http://xxx.xxx.xxx/.bzr/
3、spring框架信息泄露
一下目录均是默认开启的
1 | ["autoconfig","configprops","beans","dump","env","health","info","mappings","metrics","trace"] |
有的框架还会开启心跳检查(应用监控),访问http://xxx.com/actuator即可
详情学习这篇:https://xz.aliyun.com/t/2233
0x09 shodan、fofa收集信息
0x10 其他方式
1、关注每个业务的公众号,新业务都会在公众号发消息
2、招聘广告,如果某个业务线招人,说明要开始重点发展了
3、多申请非普通用户的账号,可以获得更多信息。如:业务架构、不同业务直接的联系等。
0x11 相关链接
1.浅谈信息收集
https://www.t00ls.net/thread-51445-1-1.html