专栏首页山丘安全攻防实验室较详细的阐述漏洞挖掘之信息收集(上篇)

较详细的阐述漏洞挖掘之信息收集(上篇)

文章说明:

文章由攻防实验室新成员P4sschen完成,陈殷进行后续补充

文章仅用于思路方法学习,请勿用于非法用途

漏洞挖掘手段千奇百怪,在挖掘之前进行信息搜集的手段也是花式多样,今天给大家分享一下漏洞挖掘中的信息收集的小tips,文章篇幅较长,可以打开下面的音乐一边食用一边阅读哦。

子域名搜集

关于子域名资产的搜集,我们可以着重关注以下几个地方:

  • 网站的关于页面/网站地图
  • whois反查
  • 一些网站里面的跳转请求(也可以关注一下app)
  • 还有就是百度,有些会在title 和 copyright信息里面出现该公司的信息
  • 网站html源码:主要就是一些图片、js、css等,也会出现一些域名
  • apk反编译源码里面

首先,收集子域名我推荐 subDomainsBrute

(github地址:https://github.com/lijiejie/subDomainsBrute)

这款工具在前面实验室成员也有过专门的文章介绍,大家可以移步到这篇:

工具推荐|目标域名收集之subDomainsBrute

命令如下:

--version版本
--help 帮助
--f选择指定字典(可以不用因为默认有)
--full默认扫描全体
--ignore-intranet  选择忽略采集ip
--threads选择线程
--process选择进程
--output输出文件名称(默认有)

采集qq.com然后

我这直接ctrl+c停止,输出了qq.com.txt

打开看看

Ok这是子域名收集

ip段收集

Kali下有简便收集工具:

命令:

fping -a -g 192.168.0.1/24

可以为了方便fping -a -g 192.168.0.1/24 > ip.txt

不一一收集了。

端口搜集

可以通过nmap扫描,也可以用站长之家

nmap为了方便和漏扫可以使用nmap --script=vuln 192.168.0.1扫描一下存在的漏洞。

但是我还是喜欢自己的扫描器,这款扫描不会被拦截,亲测

ip准确搜集

众所周知cmd可通过ping来连接网站并获取ip地址

但是有时候会由于cdn导致ip不一定准确。

所以kali下可用

1.host www.baidu.com

可查询解析记录~,以及windows下的nslookup解析记录查询

2. nslookup www.baidu.com

可获取解析记录哈~

请求模拟

GET请求

Ctrl + ] 然后回车输入

GET / HTTP/1.1

HOST:

可获取一些内部请求~保存到文本看看一点内容

POST请求:

模拟请求搜索

下面还有更多

类似于接口的东西,可以去慢慢排查出来,就不细截图了~

补充

1.关于子域名搜集

我个人还推荐下面几款子域名搜集工具,关于使用还请大家参考github上的

README.md:

猪猪侠开发的一款域名收集全面、精准的子域名枚举工具:https://github.com/ring04h/wydomain

提供web界面的在线子域名信息收集工具:https://github.com/0xbug/orangescan

高效精准的子域名爆破工具,同时也是扫描器中最常用的子域名API库:https://github.com/TheRook/subbrute

子域名枚举、探测工具。可用于子域名接管漏洞探测:

https://github.com/michenriksen/aquatone

邮箱、服务器信息收集及子域名枚举工具:

https://github.com/laramies/theHarvester

通过域名透明证书记录获取子域名:

https://github.com/UnaPibaGeek/ctfr

2.敏感信息收集

这个在挖洞中也是必不可少的,我这里举一些:

  1. github源代码:https://github.com/repoog/GitPrey
  2. svn信息泄漏:这个只能用扫描器了
  3. 敏感文件:比如数据库配置文件、网站源码啊、数据库备份文件等等
  4. 敏感目录:这个大家都知道
  5. email:邮箱命名规则、公司是否具有邮箱默认密码(这个可以采取社工)
  6. 员工号:很多oa、um、sso系统都是采用员工号登录的,所以知道员工号的规则很多时候能帮助我们进行撞库,进入系统后进行深入渗透。

3.善于利用搜索引擎

  1. 未批恩的可以用谷歌,没有的可以使用必应,百度可以用来搜集子域名,谷歌首推必应次之,百度最后
  2. 善于使用网络空间设备搜索引擎,如fofa,zoomeye,shadon,个人比较推fofa ,综合起来看zoomeye有点x了,shadon不错,但是比较吃钱,土豪请忽略我说的这条 PS:手动@fofa(广告费还没给呐~)

搜索语法:

title="abc" 从标题中搜索abc。例:标题中有北京的网站
header="abc" 从http头中搜索abc。例:jboss服务器
body="abc" 从html正文中搜索abc。例:正文包含Hacked by
domain="qq.com" 搜索根域名带有qq.com的网站。例:根域名是qq.com的网站
host=".gov.cn" 从url中搜索.gov.cn,注意搜索要用host作为名称。例:政府网站, 教育网站
port="443" 查找对应443端口的资产。例:查找对应443端口的资产
ip="1.1.1.1" 从ip中搜索包含1.1.1.1的网站,注意搜索要用ip作为名称。例:查询IP为220.181.111.1的网站; 如果想要查询网段,可以是:ip="220.181.111.1/24",例如查询IP为220.181.111.1的C网段资产
protocol="https" 搜索制定协议类型(在开启端口扫描的情况下有效)。例:查询https协议资产
city="Beijing" 搜索指定城市的资产。例:搜索指定城市的资产
region="Zhejiang" 搜索指定行政区的资产。例:搜索指定行政区的资产
country="CN" 搜索指定国家(编码)的资产。例:搜索指定国家(编码)的资产
cert="google" 搜索证书(https或者imaps等)中带有google的资产。例:搜索证书(https或者imaps等)中带有google的资产
banner=users && protocol=ftp 搜索FTP协议中带有users文本的资产。例:搜索FTP协议中带有users文本的资产
type=service 搜索所有协议资产,支持subdomain和service两种。例:搜索所有协议资产
os=windows 搜索Windows资产。例:搜索Windows资产
server=="Microsoft-IIS/7.5" 搜索IIS 7.5服务器。例:搜索IIS 7.5服务器
app="海康威视-视频监控" 搜索海康威视设备,更多app规则。例:搜索海康威视设备
after="2017" && before="2017-10-01" 时间范围段搜索。例:时间范围段搜索,注意:after是大于并且等于,before是小于,这里 after="2017" 就是日期大于并且等于 2017-01-01 的数据,而 before="2017-10-01" 则是小于 2017-10-01 的数据
asn="19551" 搜索指定asn的资产。例:搜索指定asn的资产
org="Amazon.com, Inc." 搜索指定org(组织)的资产。例:搜索指定org(组织)的资产
base_protocol="udp" 搜索指定udp协议的资产。例:搜索指定udp协议的资产
ip_ports="80,443" 或者 ports="80,443" 搜索同时开放80和443端口的ip资产(以ip为单位的资产数据)。例:搜索同时开放80和443端口的ip
ip_ports=="80,443" 或者 ports=="80,443" 搜索同时开放80和443端口的ip资产(以ip为单位的资产数据)。例:搜索只开放80和443端口的ip
ip_country="CN" 搜索中国的ip资产(以ip为单位的资产数据)。例:搜索中国的ip资产
ip_region="Zhejiang" 搜索指定行政区的ip资产(以ip为单位的资产数据)。例:搜索指定行政区的资产
ip_city="Hangzhou" 搜索指定城市的ip资产(以ip为单位的资产数据)。例:搜索指定城市的资产
ip_after="2019-01-01" 搜索2019-01-01以后的ip资产(以ip为单位的资产数据)。例:搜索2019-01-01以后的ip资产
ip_before="2019-01-01" 搜索2019-01-01以前的ip资产(以ip为单位的资产数据)。例:搜索2019-01-01以前的ip资产
高级搜索:可以使用括号 和 && || !=等符号,如
title="powered by" && title!=discuz
title!="powered by" && body=discuz
( body="content=\"WordPress" || (header="X-Pingback" && header="/xmlrpc.php" && body="/wp-includes/") ) && host="gov.cn" 
新增==完全匹配的符号,可以加快搜索速度,比如查找qq.com所有host,可以是domain=="qq.com"

比如:protocol="ftp"

本文分享自微信公众号 - 山丘安全攻防实验室(hillsec),作者:P4sschen

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-07-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 盘点SoapUI调用Webservice接口踩过的坑

    当然是用于调用Webservice接口的啦,渗透过程中,如果能获取到Webservice开放接口,说不定可以直接getshell哦!

    陈殷
  • 一个HTTP打趴80%面试者

    HTTP(超文本传输协议)是应用层上的一种客户端/服务端模型的通信协议,它由请求和响应构成,且是无状态的。(暂不介绍HTTP2)

    陈殷
  • 工具推荐|GetSploit 搜索和下载漏洞利用

    Getsploit - 受searchsploit启发的Vulners数据库的命令行搜索和下载工具。

    陈殷
  • 神经网络新方向:硅芯片将光学信号精准分布到微型类人脑网格

    美国国家标准与技术研究院(NIST)的研究人员制作了一种硅芯片,可以精确地将光学信号分布在微型类人脑网格上,展示了神经网络的潜在新设计。

    AiTechYun
  • 眼动研究:先验知识对年轻人和老年人主动视觉和记忆的影响

    Jordana S. Wynn等人在Journal of Experimental Psychology:General杂志发文,采用眼动方法研究了先...

    用户1279583
  • 沅有芷兮:类型系统的数学之美

    昨天的文章删了,因为我的 vscode 把 markdown 里的 * 自动替换成了 _,导致一些公式的表述变得异常奇怪。另外,原创忘记打开了。

    tyrchen
  • 干货!神经网络原来是这样和数学挂钩的

    如上所示,深度学习作为人工智能的一种具有代表性的实现方法,取得了很大的成功。那么,深度学习究竟是什么技术呢?深度学习里的“学习”是怎么做到的呢?本文我们就来解答...

    统计学家
  • Python网络连通性检测-样例

    [root@skatedb55 ~]# vi checkping.py #!/usr/bin/env python #-*- coding: utf-8 -...

    py3study
  • 微信正式上线“微信指数”,基于微信大数据分析的移动端指数

      昨日,微信正式上线“微信指数”,这是微信官方提供的基于微信大数据分析的移动端指数。在移动互联网时代,社交数据越来越重要。热点,往往不仅只有一个人群在关注。作...

    ytkah
  • numpy.hstack

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    于小勇

扫码关注云+社区

领取腾讯云代金券