滲透測試信息收集之域名信息、子域名信息、IP信息、端口信息

時間：2023-02-23 03:33:01 | 來源：建站知識

時間：2023-02-23 03:33:01 來源：建站知識

滲透測試信息收集之域名信息、子域名信息、IP信息、端口信息：滲透測試路線圖-滲透測試基礎(chǔ)-信息收集-域名信息收集/IP信息收集/端口信息收集

域名信息收集

什么是信息收集

信息收集是指通過各種方式獲取所需要的信息，以便我們在后續(xù)的滲透過程更好的進(jìn)行

比如目標(biāo)站點IP、中間件、腳本語言、端口、郵箱等等。信息收集包含資產(chǎn)收集但不限于資產(chǎn)收集

信息收集的意義

• 信息收集是滲透測試成功的保障
• 更多的暴露面
• 更大的可能性

信息收集的分類

• 主動信息收集

通過直接訪問網(wǎng)站在網(wǎng)站上進(jìn)行操作、對網(wǎng)站進(jìn)行掃描等，這種是有網(wǎng)絡(luò)流量經(jīng)過目標(biāo)服務(wù)器的信息收集方式

• 被動信息收集

基于公開的渠道，比如搜索引擎等，在不與目標(biāo)系統(tǒng)直接交互的情況下獲取信息，并且盡量避免留下痕跡

收集哪些信息

• 服務(wù)器信息（端口、服務(wù)、真實IP)
• 網(wǎng)站信息（網(wǎng)站架構(gòu)（操作系統(tǒng)、中間件、數(shù)據(jù)庫、編程語言)、指紋信息、WAF、敏感目錄、敏感文件、源碼泄露、旁站查詢、C段查詢)
• 域名信息(whois、備案信息、子域名)
• 人員信息（姓名、職務(wù)、生日、聯(lián)系電話、郵件地址)

域名介紹

域名(Domain Name)，簡稱域名、網(wǎng)域，是由一串用點分隔的名字組成的Internet上某一臺計算機或計算機組的名稱，用于在數(shù)據(jù)傳輸時標(biāo)識計算機的電子方位（有時也指地理位置)

DNS(域名系統(tǒng)，Domain Name System)是互聯(lián)網(wǎng)的一項服務(wù)

它作為將域名和IP地址相互映射的一個分布式數(shù)據(jù)庫，能夠使人更方便地訪問互聯(lián)網(wǎng)

頂尖域名	二級域名	三級域名
.com	http://baidu.com	www.baidu,com
政府域名	商業(yè)域名	教育域名
.gov	.com	.edu

Whois

whois是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議。就是一個用來查詢域名是否被注冊，以及注冊域名的詳細(xì)信息的數(shù)據(jù)庫(如域名所有人，域名注冊商)

Whois查詢

whois查詢的重要性:通過whois查詢可以獲得域名注冊者郵箱地址等信息

一般情況下對于中小型網(wǎng)站域名注冊者就是網(wǎng)站管理員

利用搜索引擎對whois查詢到的信息進(jìn)行搜索，獲取更多域名注冊者的個人信息

查詢方法

Web接口查詢力

https://whois.aliyun.com/ whois查詢-中國萬網(wǎng)

全球whois查詢 https://www.whois365.com/cn/

站長之家 http://whois.chinaz.com/

whois命令行查詢

Whois http://baidu.com

web接口查詢

備案信息查詢：

http://www.beianbeian.com/

http://www.beian.gov.cn/portal/registerSys

http://icp.chinaz.com

注冊人/郵箱反查

先通過whois獲取注冊人和郵箱，再通過注冊人和郵箱反查域名

缺點是很多公司都是DNS解析的運營商注冊的,查到的是運營商代替?zhèn)€人和公司注冊的網(wǎng)站信息

https://whois.chinaz.com/reverse?ddlSearchMode=1

http://whois.4.cn/reverse

https://whois.aizhan.com/

子域名信息收集

子域名介紹

子域名指二級域名,二級域名是頂級域名(一級域名)的下一級

比如http://mail.heetian.com和http://bbs.heetian.com是http://heetian.com的子域，而http://heetian.com則是頂級域名.com的子域

谷歌搜索引擎

site:http://hetianlab.com

還有更多使用方法，可以到CSDN看這篇帖子

第三方網(wǎng)站查詢

https://dnsdumpster.com

http://tool.chinaz.com/subdomain

網(wǎng)絡(luò)空間安全搜索引擎

https://fofa.so/

ssl證書查詢

https://crt.sh/

Js文件發(fā)現(xiàn)子域名

查看網(wǎng)頁源代碼從主域名里找子域名

https://github.com/Threezh1/JSFinder

kali克?。?br>
# git clone https://github.com/Threezh1/JSFinder

子域名挖掘機

layer

原理是通過字典跑，太慢了就沒演示了

OneForAll

優(yōu)點:功能強大

缺點:需要api

IP信息收集

IP反查域名

http:/http://lstool.chinaz.com/same

https://tools.ipip.net/ipdomain.php

如果滲透目標(biāo)為虛擬主機，那么通過IP反查到的域名信息很有價值，因為一臺物理服務(wù)器上面可能運行多個虛擬主機

這些虛擬主機有不同的域名，但通常共用一個IP地址

如果你知道有哪些網(wǎng)站共用這臺服務(wù)器，就有可能通過此臺服務(wù)器上其他網(wǎng)站的漏洞獲取服務(wù)器控制權(quán)，進(jìn)而迂回獲取滲透目標(biāo)的權(quán)限，這種技術(shù)也稱為旁注

域名查詢IP

IP/IPv6查詢，服務(wù)器地址查詢 - 站長工具

ping一下需要查詢的IP或者用站長之家IP查詢接口進(jìn)行查詢

CDN

CDN即內(nèi)容分發(fā)網(wǎng)絡(luò)

CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò)，依靠部署在各地的邊緣服務(wù)器，通過中心平臺的負(fù)載均衡、內(nèi)容分發(fā)、調(diào)度等功能模塊，使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡(luò)擁塞，提高用戶訪問響應(yīng)速度和命中率

判斷CDN

多地ping，看延遲和IP端口

http://ping.chinaz.com/

http://www.webkaka.com/Ping.aspx

繞過CDN

1.國外訪問

https://asm.ca.com/en/ping.php

2.查詢子域名的IP

3.收集phpinfo文件

4.Mx記錄郵件服務(wù)

5.查詢歷史DNS記錄

查看IP與域名綁定的歷史記錄，可能會存在使用CDN 前的記錄

域名注冊完成后首先需要做域名解析，域名解祈就是把域名指向網(wǎng)站所在服務(wù)器的IP，讓人們通過注冊的域名可以訪問到網(wǎng)站

IP地址是網(wǎng)絡(luò)上標(biāo)識服務(wù)器的數(shù)字地址，為了方便記憶，使用域名來代替IP地址

域名解析就是域名到P地址的轉(zhuǎn)換過程，域名的解析工作由DNS服務(wù)器完成

DNS服務(wù)器會把域名解祈到一個P地址然后在此/P地址的主機上將一個子目錄與域名綁定

域名解析時會添加解析記錄，這些記錄有:A記錄、AAAA記錄,CNAME記錄、MX記錄、NS記錄、TXT記錄SRV記錄、URL轉(zhuǎn)發(fā)。

https://dnsdb.io/zh-cn/

https://securitytrails.com/

https://http://x.threatbook.cn/

• A記錄:將域名指向一個IPv4地址（例如:∶100.100.100.100)，需要增加A記錄
• NS記錄:域名解析服務(wù)器記錄，如果要將子域名指定某個域名服務(wù)器來解析，需要設(shè)置NS記錄
• SOA記錄:SOA叫做起始授權(quán)機構(gòu)記錄，NS用于標(biāo)識多臺域名解析服務(wù)器，SOA記錄用于在眾多NS記錄中標(biāo)記哪一臺是主服務(wù)器
• MX記錄:建立電子郵箱服務(wù)，將指向郵件服務(wù)器地址，需要設(shè)置MX記錄。建立郵箱時，一般會根據(jù)郵箱服務(wù)商提供的MX記錄填寫此記錄
• TXT記錄:可任意填寫，可為空。一般做一些驗證記錄時會使用此項，如:做SPF(反垃圾郵件）記錄

C端存活主機探測

Nmap

nmap -sP http://www.XXX.com/24 ll nmap -sP 192.168.1.*

Cwebscanner

快速掃描C段web應(yīng)用，獲取請求狀態(tài)code、server、title信息

支持域名或ip地址形式，默認(rèn)掃描80端口

支持自定義端口掃描

端口信息

端口簡介

在Internet上，各主機間通過TCP/IP協(xié)議發(fā)送和接受數(shù)據(jù)包，各個數(shù)據(jù)包根據(jù)其目的主機的IP地址來進(jìn)行互聯(lián)網(wǎng)絡(luò)中的路由選擇，從而順利的將數(shù)據(jù)包順利的傳送給目標(biāo)主機

協(xié)議端口

根據(jù)提供服務(wù)類型的不同，端口可分為以下兩種:

TCP端口:TCP是一種面向連接的可靠的傳輸層通信協(xié)議

UDP端口:UDP是一種無連接的不可靠的傳輸層協(xié)議

TCP協(xié)議和UDP協(xié)議是獨立的，因此各自的端口號也互相獨立

端口類型

周知端口:眾所周知的端口號，范圍:O-1023，如80端口是WWW服務(wù)

動態(tài)端口:一般不固定分配某種服務(wù)，范圍:49152-65535

注冊端口:范圍:1024-49151，用于分配給用戶進(jìn)程或程序

端口作用

把服務(wù)器比作房子，而端口可比作門

竊賊想要在沒經(jīng)過房子主人允許進(jìn)入房子，就需要破門而入

竊賊在破門之前，得先了解到房子開了幾扇門，門后是什么東西，也就是踩點;踩點得到的信息越多對于竊賊順利的竊取有價值的東西至關(guān)重要

滲透端口

• 端口：21 服務(wù)：ftp/tftp/vsftpd文件傳輸協(xié)議 入侵方式：爆破/嗅探/溢出/后門
• 端口：22 服務(wù)：SSH遠(yuǎn)程連接 入侵方式：爆破/openssh漏洞
• 端口：23 服務(wù)：telnet遠(yuǎn)程連接 入侵方式：爆破/嗅探/弱口令
• 端口：25 服務(wù)：SMTP郵件服務(wù) 入侵方式：郵件偽造
• 端口：53 服務(wù)：DNS域名解析系統(tǒng) 入侵方式：域傳送/劫持/緩存設(shè)備/欺騙
• 端口：67/68 服務(wù)：dhcp服務(wù) 入侵方式：劫持/欺騙
• 端口：110 服務(wù)：pop3 入侵方式：爆破/嗅探
• 端口：139 服務(wù)：Samba服務(wù) 入侵方式：爆破/未授權(quán)訪問/遠(yuǎn)程命令執(zhí)行
• 端口：143 服務(wù)：Imap協(xié)議 入侵方式：爆破
• 端口：161 服務(wù)：SNMP協(xié)議 入侵方式：爆破/搜集目標(biāo)內(nèi)網(wǎng)信息
• 端口：389 服務(wù)：Ldap目錄訪問協(xié)議 入侵方式：注入/未授權(quán)訪問/弱口令
• 端口：445 服務(wù)：smb 入侵方式：ms17-010/端口溢出
• 端口：512/513/514 服務(wù)：Linux Rexec服務(wù) 入侵方式：爆破/Rlogin登錄
• 端口：873 服務(wù)Rsync服務(wù) 入侵方式：文件上傳/未授權(quán)訪問
• 端口：1080 服務(wù)：socket 入侵方式：爆破
• 端口：1352 服務(wù)：Lotus domino郵件服務(wù) 入侵方式：爆破/信息泄露
• 端口：1433 服務(wù)：mssql 入侵方式：爆破/注入/SA弱口令
• 端口：1521 服務(wù)：oracle 入侵方式：爆破/注入/TNS爆破/反彈shell
• 端口：2049 服務(wù)：Nfs服務(wù) 入侵方式：配置不當(dāng)
• 端口：2181 服務(wù)：zookeeper服務(wù) 入侵方式：未授權(quán)訪問
• 端口：2375 服務(wù)：docket remote api 入侵方式：未授權(quán)訪問
• 端口：3306 服務(wù)：mysql 入侵方式：爆破/注入
• 端口：3389 服務(wù)：Rdp遠(yuǎn)程桌面鏈接 入侵方式：爆破/shift后門
• 端口：4848 服務(wù)：GlassFish控制臺 入侵方式：爆破/認(rèn)證繞過
• 端口：5000 服務(wù)：sybase/DB2數(shù)據(jù)庫 入侵方式：爆破/注入/提權(quán)
• 端口：5432 服務(wù)：postgresql 入侵方式：爆破/注入/緩沖區(qū)溢出
• 端口：5632 服務(wù)：pcanywhere服務(wù) 入侵方式：抓密碼/代碼執(zhí)行
• 端口：5900 服務(wù)：vnc 入侵方式：爆破/認(rèn)證繞過
• 端口：6379 服務(wù)：redis數(shù)據(jù)庫 入侵方式：未授權(quán)訪問/爆破
• 端口：7001/7002 服務(wù)：weblogic 入侵方式：java反序列化/控制臺弱口令
• 端口：8069 服務(wù)：zabbix服務(wù) 入侵方式：遠(yuǎn)程命令執(zhí)行/注入
• 端口：8161 服務(wù)：activemq 入侵方式：弱口令/寫文件
• 端口：8080/8089 服務(wù)：Jboss/Tomcat/Resin 入侵方式：爆破/PUT文件上傳/反序列化
• 端口：8083/8086 服務(wù)：influxDB 入侵方式：未授權(quán)訪問
• 端口：9000 服務(wù)：fastcgi 入侵方式：遠(yuǎn)程命令執(zhí)行
• 端口：9090 服務(wù)：websphere控制臺 入侵方式：爆破/反序列化/弱口令
• 端口：9200/9300 服務(wù)：elasticsearch 入侵方式：遠(yuǎn)程代碼執(zhí)行
• 端口：11211 服務(wù)：memcached 入侵方式：未授權(quán)訪問
• 端口：27017/27018 服務(wù)：mongodb 入侵方式：未授權(quán)訪問/爆破

端口介紹

FTP-21

FTP:文件傳輸協(xié)議，使用TCP端口20、21，20用于傳輸數(shù)據(jù)，21用于傳輸控制信息

• ftp基礎(chǔ)爆破: owasp的Bruter,hydra以及msf中的ftp爆破模塊
• ftp匿名訪問:用戶名: anonymous密碼:為空或者任意郵箱
• vsftpd后門: vsftpd 2到2.3.4版本存在后門漏洞，通過該漏洞獲取root權(quán)限
• 嗅探: ftp使用明文傳輸，使用Cain進(jìn)行滲透(但是嗅探需要在局域網(wǎng)并需要欺騙或監(jiān)聽網(wǎng)關(guān))
• ftp遠(yuǎn)程代碼溢出
• ftp跳轉(zhuǎn)攻擊

SSH-22

SSH: (secure shell)是目前較可靠，專為遠(yuǎn)程登錄會話和其他網(wǎng)絡(luò)服務(wù)提供安全性的協(xié)議

• 弱口令，可使用工具h(yuǎn)ydra,msf中的ssh爆破模塊
• SSH后門
• openssh 用戶枚舉CVE-2018-15473

Telnet-23

Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登錄服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式

• 暴力破解，使用hydra,或者msf中telnet模塊對其進(jìn)行破解。
• 在linux系統(tǒng)中一般采用SSH進(jìn)行遠(yuǎn)程訪問，傳輸?shù)拿舾袛?shù)據(jù)都是經(jīng)過加密的。而對于windows下的telnet來說是脆弱的，因為默認(rèn)沒有經(jīng)過任何加密就在網(wǎng)絡(luò)中進(jìn)行傳輸。使用cain等嗅探工具可輕松截獲遠(yuǎn)程登錄密碼

SMTP-25/465

smtp:郵件協(xié)議，在linux中默認(rèn)開啟這個服務(wù)，可發(fā)送釣魚郵件默認(rèn)端口:25 (smtp)、 465 (smtps)

• 爆破:弱口令，使用hydra
• SMTP無認(rèn)證偽造發(fā)件人

www-80

為超文本傳輸協(xié)議(HTTP）開放的端口，主要用于萬維網(wǎng)傳輸信息的協(xié)議

• 中間件漏洞，如llS、apache、nginx等
• 80端口一般通過web應(yīng)用程序的常見漏洞進(jìn)行攻擊

NetBIOS SessionService-139/445

139用于提供windows文件和打印機共享及UNIX中的Samba服務(wù)

445用于提供windows文件和打印機共享

• 對于開放139/445端口，嘗試?yán)肕S17010溢出漏洞進(jìn)行攻擊
• 對于只開放445端口，嘗試?yán)肕SO6040、MSO8067溢出漏洞攻擊
• 利用IPC$連接進(jìn)行滲透

MySQL-3306

3306是MYSQL數(shù)據(jù)庫默認(rèn)的監(jiān)聽端口

• mysql弱口令破解
• 弱口令登錄mysql，上傳構(gòu)造的惡意UDF自定義函數(shù)代碼，通過調(diào)用注冊的惡意函數(shù)執(zhí)行系統(tǒng)命令
• SQL注入獲取數(shù)據(jù)庫敏感信息，load_file()函數(shù)讀取系統(tǒng)文件，導(dǎo)出惡意代碼到指定路徑

NetBIOS SessionService-139/445

139用于提供windows文件和打印機共享及UNIX中的Samba服務(wù)

445用于提供windows文件和打印機共享

• 對于開放139/445端口，嘗試?yán)肕S17010溢出漏洞進(jìn)行攻擊
• 對于只開放445端口，嘗試?yán)肕S06040、MS08067溢出漏洞攻擊
• 利用IPC$連接進(jìn)行滲透

RDP-3389

3389是windows遠(yuǎn)程桌面服務(wù)默認(rèn)監(jiān)聽的端口

• RDP暴力破解攻擊
• MS12_020死亡藍(lán)屏攻擊
• RDP遠(yuǎn)程桌面漏洞(CVE-2019-0708)
• MSF開啟RDP、注冊表開啟RDP

Redis-6379

開源的可基于內(nèi)存的可持久化的日志型數(shù)據(jù)庫

• 爆破弱口令
• redis未授權(quán)訪問結(jié)合ssh key提權(quán)
• 主從復(fù)制rce

Weblogic-7001

• 弱口令、爆破，弱密碼一般為weblogic/Oracle@123 or weblogic
• 管理后臺部署war包后門
• weblogic sSRF
• 反序列化漏洞

Tomcat-8080

• Tomcat遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2019-0232)
• Tomcat任意文件上傳(CVE-2017-12615)
• tomcat管理頁面弱口令getshell

端口掃描

Nmap介紹

Network Mapper，是一款開放源代碼的網(wǎng)絡(luò)探測和安全審核的工具

nmap參考指南(中文版) https://nmap.org/man/zh/

NMAP功能介紹

1. 檢測網(wǎng)絡(luò)存活主機(主機發(fā)現(xiàn))
2. 檢測主機開放端口(端口發(fā)現(xiàn)或枚舉)
3. 檢測相應(yīng)端口軟件（服務(wù)發(fā)現(xiàn))版本
4. 檢測操作系統(tǒng)，硬件地址，以及軟件版本
5. 檢測脆弱性的漏洞(nmap的腳本)

端口狀態(tài)

Open：端口開啟，數(shù)據(jù)有到達(dá)主機，有程序在端口上監(jiān)控

Closed：端口關(guān)閉，數(shù)據(jù)有到達(dá)主機，沒有程序在端口上監(jiān)控

Filtered：數(shù)據(jù)沒有到達(dá)主機，返回的結(jié)果為空，數(shù)據(jù)被防火墻或IDS過濾

UnFiltered：數(shù)據(jù)有到達(dá)主機，但是不能識別端口的當(dāng)前狀態(tài)

Open|Filtered：端口沒有返回值，主要發(fā)生在UDP、IP、FIN、NULL和Xmas掃描中

Closed|Filtered：只發(fā)生在IP ID idle掃描

基礎(chǔ)用法

nmap -A -T4 192.168.1.1

Nmap使用-T(0-5)可以啟用時序選項)對于時序想選這里有0~5不同的選項.

-TO(偏執(zhí)的):非常慢的掃描,用于IDS逃避.

-T1(鬼崇的):緩慢的掃描,用于IDS逃避.

-T2(文雅的):降低速度以降低對帶寬的消耗,此選項一般不常用.

-T3(普通的):默認(rèn),根據(jù)目標(biāo)的反應(yīng)自動調(diào)整時間.

-T4(野蠻的):快速掃描,常用掃描方式,需要在很好的網(wǎng)絡(luò)環(huán)境下進(jìn)行掃描,請求可能會淹沒目標(biāo).

-T5(瘋狂的):急速掃描,這種掃描方式以犧牲準(zhǔn)確度來提升掃描速度.

用法指令

• 單一主機掃描:namp 192.168.1.2
• 子網(wǎng)掃描: namp 192.168.1.1/24
• 多主機掃描: nmap 192.168.1.1 192.168.1.10
• 主機范圍掃描: namp 192.168.1.1-100
• IP地址列表掃描: nmap -il target.txt
• 掃描除指定IP外的所有子網(wǎng)主機：nmap 192.168.1.1/24 --exclude 192.168.1.1
• 掃描除文件中IP外的子網(wǎng)主機:nmap 192.168.1.1/24 --excludefile xxx.txt
• 掃描特定主機上的80,21,23端口:nmap -p 80,21,23 192.168.1.1
• 探測存活主機

nmap -sn -v -T4 -oG Discovery.gnmap 172.26.1.0/24

grep "Status: Up" Discovery.gnnirap | cut -f 2 -d ' '> liveHosts.txt

• 掃描全部端口：nmap -sS -v -T4 -Pn -p 0-65535 -oN FullTCP -iL liveHosts.txt

掃描全部端口的各個要素解釋：

-sS:SYN掃描,又稱為半開放掃描，它不打開一個完全的TCP連接，執(zhí)行得很快，效率高（一個完整的tcp連接需要3次握手，而-S選項不需要3次握手)

優(yōu)點: Nmap發(fā)送SYN包到遠(yuǎn)程主機，但是它不會產(chǎn)生任何會話，目標(biāo)主機幾乎不會把連接記入系統(tǒng)日志。(防止對方判斷為掃描攻擊)，掃描速度快，效率高,在工作中使用頻率最高

缺點:它需要root/administrator權(quán)限執(zhí)行

-Pn:掃描之前不需要用ping命令，有些防火墻禁止ping命令?？梢允褂么诉x項進(jìn)行掃描

-iL:導(dǎo)入需要掃描的列表

nmap漏洞掃描

• nmap.exe -p445 -v --script smb-ghost 192.168.1.0/24

歷史漏洞信息

http://wy.zone.ci

https://wooyun.kieran.top/#!/

https://www.exploit-db.com/

https://wiki.O-sec.org/#/md

https://www.seebug.org