较详细的阐述漏洞挖掘之信息收集(上篇)
文章由攻防实验室新成员P4sschen完成,陈殷进行后续补充
文章仅用于思路方法学习,请勿用于非法用途
漏洞挖掘手段千奇百怪,在挖掘之前进行信息搜集的手段也是花式多样,今天给大家分享一下漏洞挖掘中的信息收集的小tips,文章篇幅较长,可以打开下面的音乐一边食用一边阅读哦。
子域名搜集
关于子域名资产的搜集,我们可以着重关注以下几个地方:
- 网站的关于页面/网站地图
- whois反查
- 一些网站里面的跳转请求(也可以关注一下app)
- 还有就是百度,有些会在title 和 copyright信息里面出现该公司的信息
- 网站html源码:主要就是一些图片、js、css等,也会出现一些域名
- apk反编译源码里面
首先,收集子域名我推荐 subDomainsBrute
(github地址:https://github.com/lijiejie/subDomainsBrute)
这款工具在前面实验室成员也有过专门的文章介绍,大家可以移步到这篇:
工具推荐|目标域名收集之subDomainsBrute
命令如下:
--version版本
--help 帮助
--f选择指定字典(可以不用因为默认有)
--full默认扫描全体
--ignore-intranet 选择忽略采集ip
--threads选择线程
--process选择进程
--output输出文件名称(默认有)采集qq.com然后
我这直接ctrl+c停止,输出了qq.com.txt
打开看看
Ok这是子域名收集
ip段收集
Kali下有简便收集工具:
命令:
fping -a -g 192.168.0.1/24
可以为了方便fping -a -g 192.168.0.1/24 > ip.txt
不一一收集了。
端口搜集
可以通过nmap扫描,也可以用站长之家
nmap为了方便和漏扫可以使用nmap --script=vuln 192.168.0.1扫描一下存在的漏洞。
但是我还是喜欢自己的扫描器,这款扫描不会被拦截,亲测
ip准确搜集
众所周知cmd可通过ping来连接网站并获取ip地址
但是有时候会由于cdn导致ip不一定准确。
所以kali下可用
1.host www.baidu.com
可查询解析记录~,以及windows下的nslookup解析记录查询
2. nslookup www.baidu.com
可获取解析记录哈~
请求模拟
GET请求
Ctrl + ] 然后回车输入
GET / HTTP/1.1
HOST:
可获取一些内部请求~保存到文本看看一点内容
POST请求:
模拟请求搜索
下面还有更多
类似于接口的东西,可以去慢慢排查出来,就不细截图了~
补充
1.关于子域名搜集:
我个人还推荐下面几款子域名搜集工具,关于使用还请大家参考github上的
README.md:
猪猪侠开发的一款域名收集全面、精准的子域名枚举工具:https://github.com/ring04h/wydomain
提供web界面的在线子域名信息收集工具:https://github.com/0xbug/orangescan
高效精准的子域名爆破工具,同时也是扫描器中最常用的子域名API库:https://github.com/TheRook/subbrute
子域名枚举、探测工具。可用于子域名接管漏洞探测:
https://github.com/michenriksen/aquatone
邮箱、服务器信息收集及子域名枚举工具:
https://github.com/laramies/theHarvester
通过域名透明证书记录获取子域名:
https://github.com/UnaPibaGeek/ctfr
2.敏感信息收集
这个在挖洞中也是必不可少的,我这里举一些:
- github源代码:https://github.com/repoog/GitPrey
- svn信息泄漏:这个只能用扫描器了
- 敏感文件:比如数据库配置文件、网站源码啊、数据库备份文件等等
- 敏感目录:这个大家都知道
- email:邮箱命名规则、公司是否具有邮箱默认密码(这个可以采取社工)
- 员工号:很多oa、um、sso系统都是采用员工号登录的,所以知道员工号的规则很多时候能帮助我们进行撞库,进入系统后进行深入渗透。
3.善于利用搜索引擎
- 有未批恩的可以用谷歌,没有的可以使用必应,百度可以用来搜集子域名,谷歌首推,必应次之,百度最后
- 善于使用网络空间设备搜索引擎,如fofa,zoomeye,shadon,个人比较推fofa ,综合起来看zoomeye有点x了,shadon不错,但是比较吃钱,土豪请忽略我说的这条 PS:手动@fofa(广告费还没给呐~)
搜索语法:
title="abc" 从标题中搜索abc。例:标题中有北京的网站
header="abc" 从http头中搜索abc。例:jboss服务器
body="abc" 从html正文中搜索abc。例:正文包含Hacked by
domain="qq.com" 搜索根域名带有qq.com的网站。例:根域名是qq.com的网站
host=".gov.cn" 从url中搜索.gov.cn,注意搜索要用host作为名称。例:政府网站, 教育网站
port="443" 查找对应443端口的资产。例:查找对应443端口的资产
ip="1.1.1.1" 从ip中搜索包含1.1.1.1的网站,注意搜索要用ip作为名称。例:查询IP为220.181.111.1的网站; 如果想要查询网段,可以是:ip="220.181.111.1/24",例如查询IP为220.181.111.1的C网段资产
protocol="https" 搜索制定协议类型(在开启端口扫描的情况下有效)。例:查询https协议资产
city="Beijing" 搜索指定城市的资产。例:搜索指定城市的资产
region="Zhejiang" 搜索指定行政区的资产。例:搜索指定行政区的资产
country="CN" 搜索指定国家(编码)的资产。例:搜索指定国家(编码)的资产
cert="google" 搜索证书(https或者imaps等)中带有google的资产。例:搜索证书(https或者imaps等)中带有google的资产
banner=users && protocol=ftp 搜索FTP协议中带有users文本的资产。例:搜索FTP协议中带有users文本的资产
type=service 搜索所有协议资产,支持subdomain和service两种。例:搜索所有协议资产
os=windows 搜索Windows资产。例:搜索Windows资产
server=="Microsoft-IIS/7.5" 搜索IIS 7.5服务器。例:搜索IIS 7.5服务器
app="海康威视-视频监控" 搜索海康威视设备,更多app规则。例:搜索海康威视设备
after="2017" && before="2017-10-01" 时间范围段搜索。例:时间范围段搜索,注意:after是大于并且等于,before是小于,这里 after="2017" 就是日期大于并且等于 2017-01-01 的数据,而 before="2017-10-01" 则是小于 2017-10-01 的数据
asn="19551" 搜索指定asn的资产。例:搜索指定asn的资产
org="Amazon.com, Inc." 搜索指定org(组织)的资产。例:搜索指定org(组织)的资产
base_protocol="udp" 搜索指定udp协议的资产。例:搜索指定udp协议的资产
ip_ports="80,443" 或者 ports="80,443" 搜索同时开放80和443端口的ip资产(以ip为单位的资产数据)。例:搜索同时开放80和443端口的ip
ip_ports=="80,443" 或者 ports=="80,443" 搜索同时开放80和443端口的ip资产(以ip为单位的资产数据)。例:搜索只开放80和443端口的ip
ip_country="CN" 搜索中国的ip资产(以ip为单位的资产数据)。例:搜索中国的ip资产
ip_region="Zhejiang" 搜索指定行政区的ip资产(以ip为单位的资产数据)。例:搜索指定行政区的资产
ip_city="Hangzhou" 搜索指定城市的ip资产(以ip为单位的资产数据)。例:搜索指定城市的资产
ip_after="2019-01-01" 搜索2019-01-01以后的ip资产(以ip为单位的资产数据)。例:搜索2019-01-01以后的ip资产
ip_before="2019-01-01" 搜索2019-01-01以前的ip资产(以ip为单位的资产数据)。例:搜索2019-01-01以前的ip资产
高级搜索:可以使用括号 和 && || !=等符号,如
title="powered by" && title!=discuz
title!="powered by" && body=discuz
( body="content=\"WordPress" || (header="X-Pingback" && header="/xmlrpc.php" && body="/wp-includes/") ) && host="gov.cn"
新增==完全匹配的符号,可以加快搜索速度,比如查找qq.com所有host,可以是domain=="qq.com"比如:protocol="ftp"
