信息收集学习笔记
信息收集
注 : 筆記中拓撲圖 xmind 源文件在其圖片目錄下
免責聲明
本文檔僅供學習和研究使用,請勿使用文中的技術源碼用于非法用途,任何人造成的任何負面影響,與本人無關.
大綱
-
漏洞信息
- DAST
- web漏掃
- 主動漏掃
- 被動漏掃
- 綜合漏掃
- web漏掃
- IAST
- SAST
- SRC歷史漏洞)
- 服務-組件-協議
- DAST
-
空間測繪
-
網絡
- IP掃描
- MAC掃描
- 端口掃描
- 域信息
- 域環境
- SPN掃描
- 域控
- 域環境
- 工控資產
- 網絡層指紋
-
網站
- 真實IP
- 子域
- 目錄掃描
- 參數枚舉
- web指紋
- 旁站 & 反查
- 歷史快照
- whois與備案
- 截圖
-
主機
-
OSINT
- 業務信息
- 員工信息
-
APIkey/密鑰信息
- 通用關鍵詞
- 正則規則
相關文章
- 我的信息收集之道
- 【原創】CDN 2021 完全攻擊指南(一)
資產過濾/整理
- mstxq17/MoreFind - 一款用于快速導出 URL、Domain 和 IP 的小工具
- tomnomnom/waybackurls - 提取 Wayback Machine 已知的域下所有 URLcat domains.txt | waybackurls > urls
- lc/gau - 從 AlienVault 的 Open Threat Exchange,Wayback Machine 和 Common Crawl 中獲取已知的 URL。
漏洞信息
相關文章
- 一文洞悉DAST、SAST、IAST ——Web應用安全測試技術對比淺談
- 小議 Dashboard
DAST
動態應用測試
動態應用程序安全測試(Dynamic Application Security Testing)技術在測試或運行階段分析應用程序的動態運行狀態。它模擬黑客行為對應用程序進行動態攻擊,分析應用程序的反應,從而確定該 Web 應用是否易受攻擊。
web漏掃
漏洞掃描器就是掃描漏洞的工具,它能夠及早暴露網絡上潛在的威脅,有助于加強系統的安全性。漏洞掃描除了能掃描端口,還能夠發現系統存活情況,以及哪些服務在運行。
漏洞掃描器本質上是一類自動檢測本地或遠程主機安全弱點的程序,能夠快速的準確的發現掃描目標存在的漏洞,例如,SQL 注入,XSS 攻擊,CSRF 攻擊等,并提供給使用者掃描結果,提前探知到漏洞,預先修復。
在滲透過程中,一個好的漏掃工具在滲透測試中是至關重要的,可以說是滲透成功或者失敗的關鍵點。一款優秀的掃描器會使滲透更加輕松,但不是掃描漏洞都能用漏掃掃出來的,比如:邏輯漏洞、一些較隱蔽的 XSS 和 SQL 注入。所以,滲透的時候,漏掃都是需要人員來配合使用的。
漏掃靶機
- http://testphp.vulnweb.com/ - AWVS PHP+Ajax 漏洞掃描器測試平臺
- http://testphp.vulnweb.com/AJAX/ - AWVS Ajax 漏洞掃描器測試平臺
- http://testfire.net/ - IBM Appscan 測試平臺
- http://demo.aisec.cn/demo/aisec/ - Sec 漏洞掃描器測試平臺
- http://testaspnet.vulnweb.com/ - AWVS .Net 漏洞掃描器測試平臺
- http://testasp.vulnweb.com/ - AWVS ASP 漏洞掃描器測試平臺
- http://zero.webappsecurity.com/
主動漏掃
相關文章
- 掃描POC的收納之道
相關工具
- projectdiscovery/nuclei - 一款基于 Go 語言開發的運行速度非常快且易于使用的開源安全漏洞掃描工具
- knownsec/pocsuite3
- jaeles-project/jaeles
- AWVS-acunetix
- 相關文章
- 編寫 AWVS 腳本探測web services
- 論如何反擊用 AWVS 的黑客
- 了解AWVS的漏洞貪心設計,一個默認靜態頁竟然掃了3000+HTTP請求
- 解密腳本
- fnmsd/awvs_script_decode - 解密好的AWVS10.5 data/script/目錄下的腳本
- gatlindada/awvs-decode - AWVS 解碼/解密方法,僅15行代碼!!無須任何依賴任何工具
- awvs13 docker 部署
- 來自 [國光博客]docker pull secfa/docker-awvs # pull 拉取下載鏡像 docker run -it -d -p 13443:3443 secfa/docker-awvs # 將Docker的3443端口映射到物理機的 13443端口# 容器的相關信息 # awvs13 username: admin@admin.com # awvs13 password: Admin123 # AWVS版本:13.0.200217097 # 瀏覽器訪問:https://127.0.0.1:13443/ 即可
- https://hub.docker.com/r/raul17/awvs13_crackdocker run -tid -p 13443:3443 --name awvs_13_ubuntu --privileged=true images_id "/sbin/init"# awvs用戶名密碼見:/opt/awvs13/README.MD # awvs頁面:https://x.x.x.x:13443/ 若訪問awvs頁面,發現沒被破解,可進入容器,手動破解。 cd /opt/awvs13 cp wvsc /home/acunetix/.acunetix/v_200807155/scanner/ chmod +x /home/acunetix/.acunetix/v_200807155/scanner/wvsc cp license_info.json /home/acunetix/.acunetix/data/license/
- 輔助工具
- test502git/awvs13_batch_py3 - 針對 AWVS 掃描器開發的批量掃描腳本,支持聯動 xray、burp、w13scan 等被動批量
- 相關文章
- al0ne/Vxscan - python3 寫的綜合掃描工具,主要用來敏感文件探測 - 指紋+端口+目錄結合,偏向信息泄露,漏洞掃描結果較少
- nikto - 效果一般nikto -host http://xxx.xxx.xxx.xx:8080/
- Xyntax/POC-T - 適合批量任務,速度可以
- 刷 SRC 經驗之批量化掃描實踐
- netsparker
- woodpecker-framework/woodpecker-framwork-release
- hktalent/scan4all
被動漏掃
相關文章
- HTTP被動掃描代理的那些事
相關工具
- chaitin/xray - 長亭的洞鑒漏掃社區版
- xray
- w-digital-scanner/w13scan - 一款插件化基于流量分析的掃描器,通過編寫插件它會從訪問流量中自動掃描,基于 Python3。python3 w13scan.py -s 127.0.0.1:7777 --html # 端口可省略,默認為7778,開啟--html即實時生成html報告
綜合漏掃
相關工具
- Nessus
- 報告翻譯
- FunnyKun/NessusReportInChinese
- Bypass007/Nessus_to_report
- 輸出渲染
- Ebryx/Nessus_Map - 渲染 .nessus 文件
- 0bs1d1an/sr2t - 將掃描報告轉換為表格格式
- Hypdncy/NessusToReport - nessus掃描報告自動化生成工具
- 報告翻譯
- ysrc/xunfeng - 巡風是一款適用于企業內網的漏洞快速應急,巡航掃描系統。
- Goby - 內網掃描, 速度挺快, 打 C 段很好用
- 閑來無事,反制GOBY
IAST
交互式應用測試
交互式應用程序安全測試(Interactive Application Security Testing)是2012年 Gartner 公司提出的一種新的應用程序安全測試方案,通過代理、VPN 或者在服務端部署 Agent 程序,收集、監控 Web 應用程序運行時函數執行、數據傳輸,并與掃描器端進行實時交互,高效、準確的識別安全缺陷及漏洞,同時可準確確定漏洞所在的代碼文件、行數、函數及參數。IAST 相當于是 DAST 和 SAST 結合的一種互相關聯運行時安全檢測技術。
相關文章
- 淺談被動式IAST產品與技術實現
- IAST交互式應用安全測試建設實錄(一)
- DongTai 被動型IAST工具
相關工具
- https://github.com/btraceio/btrace
- https://newrelic.com/
- https://github.com/HXSecurity/DongTai
SAST
靜態應用測試
靜態應用程序安全測試(Static Application Security Testing)技術通常在編碼階段分析應用程序的源代碼或二進制文件的語法、結構、過程、接口等來發現程序代碼存在的安全漏洞。
相關資源
- analysis-tools-dev/static-analysis - A curated list of static analysis (SAST) tools for all programming languages, config files, build tools, and more.
相關工具
- Fortify Sca
- 規則解密
- 相關文章
- fortify規則庫解密之旅
- fortify SCA內置規則破解到簡單工具開發使用
- 解密工具
- liweibin123/fortify
- 相關文章
- 規則解密
- Checkmarx CxSAST
- Synopsys Static Analysis (Coverity)
- ajinabraham/nodejsscan - nodejsscan is a static security code scanner for Node.js applications.
更多 SAST 工具請參考 語言安全
空間測繪
- 空間測繪筆記
網絡
相關文章
- 內外網資產對應關系定位 [ 補 ]
- 基于service的遠程主機os識別之抄個痛快
- 使用 DNS-SD 和 SSDP 掃描內網主機
TTL 來判斷目的主機的操作系統類型
下面是默認操作系統的 TTL:
1、WINDOWS NT/2000 TTL:128 2、WINDOWS 95/98 TTL:32 3、UNIX TTL:255 4、LINUX TTL:64 5、WIN7 TTL:64修改本機電腦上面的默認 TTL 值
通過修改本機上的 TTL 值可以混淆攻擊者的判斷 (當然, 很少有用戶會這么做).TTL 值在注冊表的位置是: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters 其中有個 DefaultTTL 的 DWORD 值, 其數據就是默認的 TTL 值了, 我們可以修改 DefaultTTL 里面的 TTL 默認值, 但不能大于十進制的 255.
資產掃描工具
- JE2Se/AssetScan - 資產探測工具,檢測存活,檢測風險端口,常規端口,全端口探測等等,對探測的端口的脆弱面進行安全分析進行 - 調用 masscan 端口掃 + 簡易漏掃 + 報表生成
- LangziFun/LangNetworkTopology3 - IP/IP 段資產掃描 --> 掃描開放端口識別運行服務部署網站 --> 自動化整理掃描結果 --> 輸出可視化報表 + 整理結果 - 本質還是調用 masscan + 生成報表 實際使用效果不佳
- Router Scan - 路由器掃描軟件, 但掃 C 段也很有用
- dilap54/RouterScan-console - Router Scan 命令行版
- TophantTechnology/ARL - ARL 資產偵察燈塔系統旨在快速偵察與目標關聯的互聯網資產,構建基礎資產信息庫。 協助甲方安全團隊或者滲透測試人員有效偵察和檢索資產,發現存在的薄弱點和攻擊面。
- loecho-sec/ARL-Finger-ADD - 燈塔指紋添加腳本
- er10yi/MagiCude - 分布式端口(漏洞)掃描、資產安全管理、實時威脅監控與通知、高效漏洞閉環、漏洞 wiki、郵件報告通知、poc 框架
- shadow1ng/fscan - 支持主機存活探測、端口掃描、常見服務的爆破、ms17010、redis批量寫私鑰、計劃任務反彈shell、讀取win網卡信息、web漏洞掃描等。
IP掃描
當設備連接網絡,設備將被分配一個 IP 地址,用作標識。通過 IP 地址,設備間可以互相通訊,如果沒有 IP 地址,我們將無法知道哪個設備是發送方,無法知道哪個是接收方。IP 地址有兩個主要功能:標識設備或網絡和尋址。
常見的 IP 位址分為 IPv4 與 IPv6 兩大類,IP 地址由一串數字組成。IPv4 由十進制數字組成,并以點分隔,如:172.16.254.1 ;IPv6 由十六進制數字組成,以冒號分割,如:2001:db8:0🔢0:567:8:1
CIDR處理
- projectdiscovery/mapcidr - Small utility program to perform multiple operations for a given subnet/CIDR ranges.
- zhanhb/cidr-merger - A simple command line tool to merge ip/ip cidr/ip range, support IPv4/IPv6
- ffffffff0x/iprange - 計算 ip 范圍,支持 cidr,ip-range 格式的輸入
ip信息查詢
- zu1k/nali
- lionsoul2014/ip2region - 一個離線IP地址定位庫和IP定位數據管理框架
ipv4
IPv4 地址是類似 A.B.C.D 的格式, 它是 32 位, 用 . 分成四段, 用 10 進制表示; 而 IPv6 地址類似 X:X:X:X:X:X:X:X 的格式, 它是 128 位的, 用 : 分成 8 段, 用 16 進制表示;
-
LOL
# windows for /l %i in (1,1,255) do @ ping 192.168.1.%i -w 1 -n 1 | find /i "ttl="# windows # 把前期在外網搜集到的目標子域列表整理好,拿到內網循環ping,然后把解析到的ip截下來 for /f "delims=" %i in (host.txt) do @ping -w 1 -n 1 %i | findstr /c:"[10." /c:"[192." /c:"[172." >> C:/users/public/out.txt -
探測工具
- alexxy/netdiscover: netdiscover - 內網中實測效果不好,不建議使用
- nbtscan - NETBIOS nameserver scanner - 內網中實測效果不好
- nmapnmap -sP <網段>/24
- shmilylty/netspy - netspy是一款快速探測內網可達網段工具netspy -h # 查看幫助信息 netspy icmpspy # 使用icmpspy模塊進行探測 netspy arpspy -i eth0 # 指定使用eth0網絡接口進行arp協議探測 netspy tcpspy -p 22 -p 3389 # 使用tcpspy模塊進行探測 netspy udpspy -p 53 -p 137 # 使用udpspy模塊進行探測
ipv6
從 IPv4 到 IPv6 最顯著的變化就是網絡地址的長度,有 128 位長;
MAC掃描
MAC 位址,以太網地址或物理地址,它是一個用來確認網絡設備位置的位址。
MAC 地址的長度為 48 位 (6 個字節),通常表示為 12 個 16 進制數,如:00-16-EA-AE-3C-40 就是一個 MAC 地址,其中前 6 位 16 進制數 00-16-EA 代表網絡硬件制造商的編號,它由 IEEE(電氣與電子工程師協會) 分配,而后 6 位 16 進制數 AE-3C-40 代表該制造商所制造的某個網絡產品 (如網卡) 的系列號。只要不更改自己的 MAC 地址,MAC 地址在世界是惟一的。形象地說,MAC 地址就如同身份證上的身份證號碼,具有唯一性.
探測工具
- 科來 MAC 地址掃描器
- arp-scanarp-scan -l
端口掃描
通過對目標地址的 TCP/UDP 端口掃描,確定其開放的服務數量和類型。通過端口掃描,可以基本確定一個系統的基本信息,并且結合測試人員的經驗可以確定其可能存在,以及被利用的安全弱點,為進行深層次的滲透提供依據.
相關文章
- Port Scanner Shootout
- Nmap抓包分析與繞過Windows防火墻掃內網存活主機
Tips
LOL
# Linux scanning the 65535 ports for port in {1..65535};do curl -s http://host:$port;done for port in {1..65535};do wget -nv http://host:$port;done# Linux scanning the 65535 ports with raw http request for port in {1..65535}; doecho >/dev/tcp/host/$port &&echo "port $port is open" ||echo "port $port is closed" done# Linux scanning ports curl http://host:[1-100] 1> 1.txt 2>/dev/null curl http://host:[8000-9999] 1>> 1.txt 2>/dev/null端口安全
- 端口安全 - 記錄一些端口滲透時的方法和思路
端口信息
- Service Name and Transport Protocol Port Number Registry
服務器端口的分類
- 公認端口/特權端口 : 0~1023,它們綁定特定的服務,端口的通信明確表明了某種服務的協議。例如:80端口是HTTP服務端口。
- 注冊端口 : 1024~49151,它們松散地綁定一些服務,就是說有許多服務綁定于這些端口,這些端口同樣用于許多其它的目的
- 動態/私有端口 : 49152~65535,這些端口一般不分配服務,有些較為特殊的程序,特別是木馬程序非常喜歡使用這些端口,容易隱蔽。
當然,現實環境中什么端口都有可能承載正常的服務,就比如有人在 8 端口上承載網站
掃描工具
- nmap
- nmap 筆記
- masscan# 常用 masscan 127.0.0.0/24 -p80,161,443,873,2181,3389,6379,7001,8000,8009,8080,9000,9009,9090,9200,9300,10000,50070 > results.txt# 遠程登錄 masscan 127.0.0.0/24 -p22,23,3389,5632,5800,5900,5901 > results.txt# 文件服務 masscan 127.0.0.0/24 -p20,21,445,873,2049 > results.txt# 數據庫 masscan 127.0.0.0/24 -p1433,1521,3306,4100,5000,5432,5984,6379,11211,27017,27018 > results.txt# 單端口掃描 masscan 127.0.0.0/24 -p443# 多端口掃描 掃描 80 或 443 端口的 B 類子網 masscan 127.0.0.0/24 -p80,443# 掃描一系列端口 掃描 22 到 25 端口的 B 類子網 masscan 127.0.0.0/24 -p22-25# 快速掃描 masscan 127.0.0.0/24 -p80,8000-9000 --rate 100000# 排除目標 masscan 127.0.0.0/24 -p80,8000-9000 --excludefile exclude.txt# 結果保存 masscan 127.0.0.0/24 -p80,8000-9000 > results.txt
- msfset scanner/portscan/tcp set rhosts <ip/CIDR> set ports <port> set THREADS <s> set TIMEOUT <s> run
- gnebbia/halive - 快速對 URL 探活,可以配合端口掃描工具批量檢測.
- hdm/nextnet - 通過掃描 137 端口獲得目標路由信息用于擴大網絡拓撲的探測
- hellogoldsnakeman/masnmapscan-V1.0 - 一款端口掃描器。整合了 masscan 和 nmap 兩款掃描器. - 實際使用效果一般
- RustScan/RustScan -rust 寫的用于代替 nmap 的端口掃描器
- 不是很推薦
- projectdiscovery/naabu - A fast port scanner written in go with a focus on reliability and simplicity. Designed to be used in combination with other tools for attack surface discovery in bug bounties and pentests
- naabu 是非常好用的掃描器,只不過需要調整使用的參數,默認使用效果并不很好,個人建議是,rate 4000,retries 3,運行多次來掃描不同端口,這樣結果又快又準
- L-codes/MX1014 - 靈活、輕便和快速端口掃描器
- redtoolskobe/scaninfo
- zyylhn/zscan
第三方
- https://internetdb.shodan.io/
域信息
相關文章
- 域滲透-域內信息收集
- 淺談內網信息收集之定位域管理員
- 內網基礎-定位域管理員
- 內網滲透之域內信息收集
- 內網信息收集二
域信息收集相關工具/腳本
- PowerSploit
- BloodHound - 域環境分析工具
- 參考文章 : 域滲透分析工具BloodHound 1.5.2入門實戰
- impacket - 一個網絡協議工具包git clone https://github.com/CoreSecurity/impacket.git
cd impacket/
python setup.py install
cd impacket/examples
-
Ping.py
一個簡單的 ICMP ping 腳本,使用 ICMP echo 和 echo-reply 數據包檢查主機狀態。
./ping.py [Source IP] [Destination IP] -
Lookupsid.py
通過 [MS-LSAT] MSRPC 接口的 Windows SID bruteforcer 示例,旨在查找遠程用戶/組。
./lookupsid.py test/Administrator:Abcd1234@192.168.1.100 -
Rpcdump.py
該腳本將轉儲在目標上注冊的 RPC 端點和字符串 bindings 列表。它也會嘗試將它們與一些知名的端點進行匹配。
./rpcdump.py test/Administrator:Abcd1234@192.168.1.100 -
Samrdump.py
與 MSRPC 套件中的安全帳戶管理器遠程接口通信的應用程序。它將為我們列出目標系統上的用戶帳戶,可用資源共享以及通過此服務導出的其他敏感信息
./samrdump.py test/Administrator:Abcd1234@192.168.1.100 -
Wmiquery.py
它允許發出 WQL 查詢并獲取目標系統 WMI 對象的描述信息。
./wmiquery.py test/Administrator:Abcd1234@192.168.1.100 -
getArch.py
該腳本將連接目標(或目標列表上的)計算機,并使用已記錄的 MSRPC 特征收集由(ab)安裝的操作系統架構類型。
./getArch.py -target 192.168.1.100
-
- shadow1ng/fscan - 支持主機存活探測、端口掃描、常見服務的爆破、ms17010、redis批量寫私鑰、計劃任務反彈shell、讀取win網卡信息、web漏洞掃描等。
- shmilylty/SharpHostInfo - SharpHostInfo是一款快速探測內網主機信息工具
- lzzbb/Adinfo - 域信息收集工具
域環境
查詢所有域主機名
dsquery computer查看所有域
net view /domain查看域中的用戶名
net user /domain dsquery user獲取域內用戶詳細信息
wmic useraccount get /all查詢域內所有用戶組列表
net group /domain查看域密碼信息
net accounts /domain獲取域信任信息
nltest /domian_trusts查詢域聯系人
dsquery contact查詢域中所有的組
dsquery group查詢域中所有的組織單元
dsquery ou查詢域中所有的站點
dsquery site查詢指定域主機名
dsquery computer -name win* -desc desktop -limit 0查詢 n 周未活動的域主機名
dsquery computer -inactive n -limit 0查詢 n 天內未更改密碼的域主機名
dsquery computer -stalepwd n查詢指定域的域主機名
dsquery computer -s ip -u username -p password -limit 0查詢域中的配額規范
dsquery quota查詢域中的分區對象
dsquery partition查看域時間
net time /domainSPN掃描
SPN 掃描的主要好處是,SPN 掃描不需要連接到網絡上的每個 IP 來檢查服務端口, SPN 通過 LDAP 查詢向域控執行服務發現,spn 查詢是 kerberos 票據行為一部分,,域內的主機都能查詢 SPN,因此比較難檢測 SPN 掃描。所以在域內不用做端口掃描也可以隱蔽地探測域內的服務。當利用 SPN 掃描找到域管登錄過的系統,對滲透權限擴展有很大的幫助。
spn 介紹
- spn
一些注意的服務
- AGPMServer:通常具有所有 GPO 的完全控制權。
- MSSQL/MSSQLSvc:具有管理員權限的 SQL 服務器通常會有一些有趣的數據。
- FIMService:通常對多個 AD 林具有管理權限。
- STS:VMWare SSO 服務,可以提供訪問 VMWare 的后門。
對于 RC4 加密的使用 tgsrepcrack 解密
對于 AES 加密的使用 Kirbi2john 轉換為 hash,通過 hashcat 爆破
SPN 掃描相關工具
-
setspn
setspn 是 Windows 內置工具,可以檢索用戶賬戶和服務之間的映射,此工具可以添加、刪除、查看 SPN 的注冊情況。
為賬戶 test.com/dbadmin 注冊 SPNMSSQLSvc/SqlServer.test.com:
setspn -A MSSQLSvc/SqlServer.test.com dbadmin查看 SPN:
// 查看當前域內的所有 SPN setspn.exe -q */*// 查看 test 域內的所有 SPN setspn.exe -T test -q */*// 查看 dbadmin 賬戶的 SPN setspn -l dbadmin以 CN 開頭的每一行代表一個賬戶,緊跟下面的信息是與該賬戶有關的 SPN。
-
GetUserSPNs
- https://github.com/nidem/kerberoast.\GetUserSPNs.ps1 cscript.exe GetUserSPNs.vbs 利用 GetUserSPNs.vbs 進行 SPN 信息查詢
-
PowerView
- https://github.com/PowerShellMafia/PowerSploit/tree/master/ReconPS C:\Users\Administrator\Desktop\Recon> Import-Module .\PowerView.ps1 PS C:\Users\Administrator\Desktop\Recon> Get-NetUser -SPN
-
Powershell AD Recon
- https://github.com/PyroTek3/PowerShell-AD-Recon//如查看MSSQL(其他的同理)://導入腳本 Import-Module .\Discover-PSMSSQLServers.ps1 //查找MSSQL所有實例 Discover-PSMSSQLServers
-
PowerShellery
- https://github.com/nullbind/PowershelleryPS C:\Users\dbadmin\Desktop\Get-SPN> Import-Module .\Get-SPN.psm1 PS C:\Users\dbadmin\Desktop\Get-SPN> Get-SPN -type service -search "*"//查找所有的SPN服務 Get-SPN -type service -search "*" -List yes | Format-Table //查找MSSQL服務 Get-SPN -type service -search "MSSQLSvc*" -List yes //若在一個非域系統上,可以使用以下命令執行 Get-SPN -type service -search "*" -List yes -DomainController 域控IP -Credential domainuser| Format-Table -Autosize
-
RiskySPN
- https://github.com/cyberark/RiskySPNImport-Module .\RiskySPNs.psm1 Find-PotentiallyCrackableAccounts
-
Adfind
- http://www.joeware.net/freetools/tools/adfind/Adfind -f "ServicePrincipalName=MSSQLSvc*" Adfind -h 域控地址 -sc spn:*
相關文章
- Locate and Attack Domain SQL Servers without Scanning - 通過 SPN 掃描域內 MSSQL 服務
- SPN Scanning - Service Discovery without Network Port Scanning
域控
查詢域管理員用戶
net group "Domain Admins" /domain查找域控
ping test.com # ping 域名,解析到域控服務器IP地址 net time /domain # 查看當前時間,因為時間服務器也是主域服務器,可以看到域服務器的機器名 nltest /DCLIST:test.com # 查看域控制器機器名 net group "Domain Controllers" /domain # 查看域控制器組,因為可能有不止一臺域控,有主備之分 nslookup -type=all _ldap._tcp.dc._msdcs.test.com # 若當前主機的dns為域內dns,可通過查詢dns解析記錄定位域控。 dsquery server-
BloodHound
-
端口探測
通過端口探測方式定位域控, 掃描內網中同時開放 389,636 與 53 的機器,389 默認是 LDAP 協議端口,636 端口是 LDAPS,53 端口默認是 DNS 端口,主要用于域名解析,通過 DNS 服務器可以實現域名與 ip 地址之間轉換,他們都是域控機器開放的端口。
-
SPN 掃描定位
由于 SPN 本身就是正常的 kerberos 請求,所以掃描隱蔽,它不同于 TCP 與 UDP 常規端口掃描。大部分 windows 已經自帶 setspn.exe,且此操作無需管理權限。
setspn -T test.com -Q /在掃描出的結果中就可以根據
CN=AD-SERVER,OU=Domain Controllers,DC=test,DC=com 來進行域控的定位。此時已經查詢出域控機器。
定位域管理員
-
為什么要定位域管理員
在一個域中,當計算機加入域后,會默認給域管理員組賦予本地系統管理員權限。也就是說,當計算機被添加到域中,成為域的成員主機時,系統會自動將域管理員組添加到本地系統管理員組中。因此,域管理員組的成員均可訪問本地計算機,且具備完全控制權限。
定位,查看有哪些賬號登錄了哪些機器,如果我們可以找到域管理員登錄了哪些服務器,就可以通過攻擊這些服務器并進行嘗試利用,以獲得域管理員權限。
定位域管理員的常規渠道,一是日志,二是會話。日志是指本地機器的管理員日志,可以使用腳本或wevtutil工具導出并查看。會話是指域內每臺機器的登陸會話,可以使用netsess.exe或powerview等工具查詢
-
psloggedon.exe - pstools 中自帶, 其原理為檢查注冊表 HKey_USER 項的 key 來查詢,會調用 NetSession api, 所以有些功能需要管理員權限。
# 此工具用于查看本地登錄的用戶和通過本地計算機或遠程計算機資源登錄的用戶psloggedon.exe [-] [-l] [-x] [\\computername或username] # - 顯示支持的選項和用于輸出值的度量單位 # -l 僅顯示本地登錄,而不顯示本地和網絡資源登錄 # -x 不顯示登錄時間 # \computername 指定要為其列出登錄信息的計算機的名稱 # username 指定用戶名,在網絡中搜索該用戶登陸的計算機# \\后面接的是域控機器名,看一下登錄過域控的用戶名 # \\接的是用戶名,那就會搜索網上鄰居的計算機,并顯示當前用戶是否已經登錄 -
PVEFindADUser.exe - 查找域用戶位置、某計算機上登錄用戶。運行需要計算機支持framework2.0 且以管理員權限運行
pvefinaduser.exe -current # #將獲取域內所有計算機上當前登陸的所有用戶, 結果保存到 report.csv 文件 # -last 將獲取目標計算機的最后一個登陸用戶 # -target 指定要查詢的計算機。 # -current [“username”] -current 參數顯示每臺 PC 上當前登錄的用戶在域中。如果指定用戶名(在引號之間),則僅將顯示該特定用戶登錄的 PC # -noping 阻止嘗試枚舉用戶登錄名之前對目標計算機執行 ping 命令 -
netview.exe - netview.exe 是一個枚舉工具,使用 WinAPI 枚舉系統,利用 NetSessionEnum 找尋登錄會話,利用 NetShareEnum 找尋共享,利用 NetWkstaUserEnum 枚舉登錄的用戶,netview.exe 還可以查詢共享入口和有價值的用戶。
netview.exe [參數] # -f filename.txt: 指定要提取主機列表的文件 # -e filename.txt: 指定要排除的主機名的文件 # -o filename.txt: 將所有輸出重定向到指定的文件 # -d filename.txt: 指定要提取主機列表的域。如果沒有指定,則從當前域中提取主機列表 # -g group: 指定搜索的組名。如果沒有指定,則在 Domain Admins 組中搜索 # -c 對已找到的共享目錄 / 文件的訪問權限進行檢查 -
nmap 腳本
smb-enum-domains.nse: 對域控制器進行信息收集,可以獲取主機信息、用戶、可使用密碼策略的用戶等 smb-enum-users.nse: 在進行域滲透時,如獲取了域內某臺主機權限,但權限有限,無法獲取更多的域用戶信息,可借助此腳本對域控制器進行掃描 smb-enum-shares.nse: 遍歷遠程主機的共享目錄 smb-enum-processes.nse: 對主機的系統進程進行遍歷,通過此信息,可知道目標主機運行著哪些軟件 smb-enum-sessions.nse: 獲取域內主機的用戶登陸會話,查看當前是否有用戶登陸 smb-enum-discovery.nse: 收集目標主機的操作系統、計算機名、域名、域林名稱、NetBIOS 機器名、NetBIOS 域名、工作組、系統時間等信息 -
PowerSploit
Set-ExecutionPolicy -ExecutionPolicy Bypass import-module .\Recon.psd1 # Invoke-UserHunter: 找到域內特定的用戶群,接受用戶名、用戶了表和域組查詢,接收一個主機列表或查詢可用的主機域名。可以使用 Get-NetSession 和 Get-NetLoggedon(調用 NetSessionEnum 和 NetWkstaUserEnumAPI) 掃描每臺服務器并對掃描結果進行比較,從而找出目標用戶集,在使用時不需要管理員權限,在本地執行該腳本# Invoke-StealthUserHunter: 只需要進行一次查詢,就可以獲取域里面的所有用戶,使用方法為,從 user.HomeDirectories 中提取所有用戶,并對沒太服務器進行 Get-NetSession 獲取。因不需要使用 Invoke-UserHunter 對沒太機器進行操作,所以這個方法的隱蔽性相對較高(但涉及的機器不一定全面)。PowerView 默認使用 Invoke-StealthUserHunter 如果找不到需要的信息,就使用 Invoke-UserHunterGet-NetLocalGroupMember -ComputerName 主機名 -GroupName administrators # 指定遠程計算機,指定枚舉管理員組 -
Netsess.exe - 收集所有活動域的會話列表
-
BloodHound
工控資產
相關文章
- 工控資產嗅探與分析實踐
相關工具
- nmap
- nmap工控探測腳本
- ISFscanners/s7comm_scan # 選擇 S7 掃描插件 scanners/vxworks_6_scan # 選擇 vxworks 掃描插件 scanners/cip_scan # 選擇 cip_scan 掃描插件
- plcscan - 通過 s7comm 或 modbus 協議掃描 PLC 設備的工具。
- msfuse auxiliary/scanner/scada/modbusdetect
網絡層指紋
相關工具
- nmap
- praetorian-inc/fingerprintx - Standalone utility for service discovery on open ports!go install github.com/praetorian-inc/fingerprintx/cmd/fingerprintx@latestfingerprintx -h
fingerprintx -t praetorian.com:80
fingerprintx -l input-file.txt
fingerprintx --json -t praetorian.com:80,127.0.0.1:8000
- https://www.praetorian.com/blog/fingerprintx/
網站
教程/案例
- web滲透第一步之信息搜集[子域,旁站,C段,AS號...]
- WEB安全入門系列之信息收集
- 【轉】淺析前期信息收集方法
- [原創]安全攻城師系列文章-信息收集工具篇-『WEB安全』-看雪安全論壇
- 滲透測試--01信息搜集
- ”安全線“大型目標滲透
- 微服務滲透之信息搜集
- 新時代的滲透思路!微服務下的信息搜集(II)
- 攻防演練模式下的信息收集--Fofa工程師
資產掃描工具
- smicallef/spiderfoot - SpiderFoot 是一個 Python 編寫的免費開源的網站信息收集類工具,并且支持跨平臺運行,適用于 Linux、*BSD 和 Windows 系統。提供了 GUI 界面。可以獲取網站子域、電子郵件地址、web 服務器版本等等信息。
- broken5/WebAliveScan - 對目標域名進行快速的存活掃描、簡單的指紋識別、目錄掃描pip3 install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/ python3 webscan.py --target target.txt --port 80 python3 webscan.py --target target.txt --port small python3 webscan.py --target target.txt --port large
- projectdiscovery/httpx
- tomnomnom/httprobe
真實IP
為什么要尋找真實 IP?,當某個企業使用了 CDN/云防線/反向代理等方式對服務進行架構設計時,我們通過 ping 命令等并不能直接將請求傳遞到真實的服務器上,而是經過一層設置對該請求進行轉向,導致到我們不能獲取到真實服務器的開放端口等信息進行收集。
相關文章
- 繞過 CDN 查找網站真實 IP
- 繞過 cdn,查找真實 IP | 冰羽の博客
- 聊聊 CDN 的誤區 - r34l!ty - 不負勇往
- 網站真實 IP 發現手段淺談 - 安全客,安全資訊平臺
- 如何尋找隱藏在 CloudFlare 或 TOR 背后的真實原始 IP - 嘶吼 RoarTalk
- CloudFlair: Bypassing Cloudflare using Internet-wide scan data
- Bypassing CDN WAF’s with Alternate Domain Routing - 通過 severless 服務繞過 cdn 的訪問限制
- CDN繞過技術總匯
相關工具
- pielco11/fav-up - 從 favicon 圖標查真實 IP 的工具,需要 Shodan API(付費的)
- christophetd/CloudFlair - 通過使用 Censys 的數據查找真實 IP 的工具,需要 Censys API
- 3xp10it/xcdn - 嘗試找出 cdn 背后的真實 ip 的工具
- greycatz/CloudUnflare - 用于繞過 Cloudflare 偵查真實 IP 地址.
- boy-hack/w8fuckcdn - 通過掃描全網繞過 CDN 獲取網站 IP 地址,建議參考思路,不建議實戰實用
tips
-
Nslookup
nslookup + 域名
-
phpinfo
-
利用郵件服務器找到真實 IP
Web 跟 Email 服務屬同服務器的情況下可以通過 Email 來查詢目標真實 IP 地址,但如果 Web 跟 Email 屬不同服務器,那么我們通過 Email 得到的可能只是郵件服務器的 IP 地址。
-
多地 ping 域名
利用在線網站服務多地 ping 測試
- CDN Finder tool - CDN Planet
- CDN檢測
- 多個地點Ping服務器,網站測速 - 站長工具
- 網站測速工具_超級ping _多地點ping檢測 - 愛站網
- DNSMap - 檢查來自世界各地的多個DNS名稱服務器和解析器的域名或主機名的當前IP
- Ping.cn:網站測速-ping檢測-dns查詢-ipv6網站測試-路由跟蹤查詢
-
"常識"判斷
在反查網站 ip 時,如果此網站有 1000 多個不同域名,那么這個 ip 多半不是真實 ip.
如果一個 asp 或者 asp.net 網站返回的頭字段的 server 不是 IIS、而是 Nginx,那么多半是用了 nginx 反向代理,而不是真實 ip.
如果 ip 定位是在常見 cdn 服務商的服務器上,那么是真實 ip 的可能性就微乎其微了.
-
子域名查找
利用一些在線查詢的網站,例如 https://dnsdb.io/zh-cn/ 只需輸入 baidu.com type:A 就能收集百度的子域名和 ip
Google 搜索 Google site:baidu.com -www 就能查看除 www 外的子域名
總結:收集子域名后嘗試以解析 ip 不在 CDN 上的 ip 解析主站,真實 ip 成功被獲取到.
-
歷史 DNS 解析記錄
上面下面這么多方法里,這個應該是成功率較高的了
通過查詢歷史的 DNS 解析 IP,有可能得到真實 IP
- https://x.threatbook.cn/nodev4/vb4/list
- https://viewdns.info/iphistory/
- https://securitytrails.com/
-
SSL 證書
- CloudFlair: Bypassing Cloudflare using Internet-wide scan data
- https://www.censys.io
-
查詢網站標題找到真實 IP
有提議通過遍歷全球 IP 端口匹配標題來找源 IP 的方法,太不切實際了,與其這樣不如直接到 shodan 搜索網站標題 Title,這樣說不定還更快.
-
F5 LTM 解碼法
當服務器使用 F5 LTM 做負載均衡時,通過對 set-cookie 關鍵字的解碼真實 ip 也可被獲取,例如:Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小節的十進制數即 487098378 取出來,然后將其轉為十六進制數 1d08880a,接著從后至前,以此取四位數出來,也就是 0a.88.08.1d,最后依次把他們轉為十進制數 10.136.8.29,也就是最后的真實 ip.
其實我就像問一句,你家祖傳的 F5 設備不更新的嗎?
-
DDOS 消耗
我看過不少文章將通過 DDOS 來消耗對方流量,只要把流量打光,就會回滾到原始 IP,還特別拿 cloudflare 舉例,但是目前, cf 免費版就提供 ddos 無限量防護.
-
拿下 CDN 節點服務器的權限
離譜,你還不如社工管理員服務器 IP 地址來得快呢
子域
子域名(或子域;英語:Subdomain)是在域名系統等級中,屬于更高一層域的域。比如,mail.example.com 和 calendar.example.com 是 example.com 的兩個子域,而 example.com 則是頂級域 .com 的子域。
在滲透測試的時候,往往主站的防御會很強,常常無從下手,那么子站就是一個重要的突破口,因此子域名是滲透測試的主要關注對象.
域名級別
-
頂級域名
頂級域名又分為兩類:
-
國家頂級域名(national top-level domainnames,簡稱 nTLDs),200 多個國家都按照 ISO3166 國家代碼分配了頂級域名,例如中國是 .cn,美國是 .us,日本是 .jp 等;
-
國際頂級域名(international top-level domain names,簡稱iTDs),例如表示工商企業的 .com,表示網絡提供商的 .net,表示頂級標桿、個人的 .top,表示非盈利組織的 .org 等。
-
-
二級域名
二級域名是互聯網 DNS 等級之中,處于頂級域名之下的域。 二級域名是域名的倒數第二個部份,例如在域名 example.com 中,二級域名是 example 。
-
三級域名
三級域名用字母(a~z)、數字(0~9)和連接符(-)組成, 各級域名之間用實點(.)連接,三級域名的長度不能超過20個字符。 如無特殊原因,采用申請人的英文名(或者縮寫)或者漢語拼音名 (或者縮寫) 作為三級域名,以保持域名的清晰性和簡潔性。
Public Suffix List
- 域名小知識:Public Suffix List
- publicsuffix/list
相關文章
- Subdomain Recon
- 從代碼角度看各類子域名收集工具
- 子域名發現的20種方法
學習資料
- appsecco/bugcrowd-levelup-subdomain-enumeration - 此資料庫包含了在 Bugcrowd LevelUp 2017 虛擬會議上進行的演講 “神秘的子域枚舉技術” 中的所有演講材料,視頻和腳本。
相關工具
-
shmilylty/OneForAll - 非常優秀的子域名爆破工具,推薦
# config/setting.py 配置代理 # config/api.py 配置 API 信息 python3 oneforall.py --target ffffffff0x.com run python3 oneforall.py --targets ./example.txt run -
boy-hack/ksubdomain
- knownsec/ksubdomain - 無狀態子域名爆破工具,推薦
- ksubdomain 無狀態域名爆破工具
-
blechschmidt/massdns - 一個高性能的DNS存根解析器,用于批量查找和偵察(子域枚舉)。
-
Threezh1/JSFinder - 通過在 js 文件中提取 URL,子域名
-
LangziFun/LangSrcCurise - 持續性的子域名監控
-
tomnomnom/assetfinder - GO語言編寫,從社交網站、威脅搜索引擎獲取子域的工具
-
infosec-au/altdns - 生成大量的子域列表,配合爆破工具使用
-
Edu4rdSHL/findomain - Rust語言編寫的子域枚舉工具
-
OWASP/Amass - 多功能信息收集工具
-
lijiejie/subDomainsBrute - 本工具用于滲透測試目標域名收集。高并發DNS暴力枚舉
-
bit4woo/teemo - 域名收集及枚舉工具
-
ring04h/wydomain - python語言編寫的子域枚舉工具
-
fwaeytens/dnsenum - 一個枚舉DNS信息的 perl 腳本
-
mschwager/fierce - 一個 DNS 偵查工具,用于查找非連續 IP 空間。
-
OJ/gobuster - go 寫的枚舉工具可爆破目錄、DNS、虛擬主機名,速度極快
-
esecuritylab/kostebek - 一種使用公司商標信息來發現其域名的偵察工具
-
MilindPurswani/Syborg - 一個遞歸 DNS 域枚舉器,它既不是主動的也不是完全被動的。該工具僅構造一個域名,然后使用指定的DNS服務器查詢該域名。
-
guelfoweb/knock - python 編寫的 DNS 枚舉工具,支持對 VirusTotal 子域的查詢
-
tismayil/rsdl - go語言編寫,采用 ping 方式的子域掃描工具
-
joinsec/BadDNS - BadDNS 是一款使用 Rust 開發的使用公共 DNS 服務器進行多層子域名探測的極速工具。
./baddns -t target.txt -s domaindict-170W.txt -d depthdict.txt -
projectdiscovery/subfinder - Fast passive subdomain enumeration tool.
- api 配置文件位于 $HOME/.config/subfinder/provider-config.yaml
-
yunxu1/dnsub - 通過字典枚舉、API查詢、爬蟲的方式用于掃描探測子域名
-
projectdiscovery/dnsx - dnsx is a fast and multi-purpose DNS toolkit allow to run multiple DNS queries of your choice with a list of user-supplied resolvers.
host 碰撞
- fofapro/Hosts_scan - 一個用于 IP 和域名碰撞匹配訪問的小工具,旨意用來匹配出滲透過程中需要綁定 hosts 才能訪問的弱主機或內部系統。
- pmiaowu/HostCollision
Tips
- 子域名掃描盡量通過第三方平臺進行收集。# 從 rapid7 sonar項目下載公共數據集,解壓縮進行匹配 wget https://opendata.rapid7.com/sonar.fdns_v2/2020-09-25-1600992617-fdns_any.json.gz # 23G,謹慎下載 cat 2020-09-25-1600992617-fdns_any.json.gz | pigz -dc | grep ".target.org" | jq
- 通過 HTTPS 證書查詢
- 見 Censys
- 從代碼托管網站或在線服務商查詢
- 見 Github
- 第三方網站接口查詢
- https://x.threatbook.cn/nodev4/vb4/list - 內容需注冊可見
- https://www.riskiq.com/ - 內容需注冊可見
- https://www.shodan.io/ - 無需注冊
- https://findsubdomains.com - 內容需注冊可見
- censys.io - 無需注冊
- https://www.zoomeye.org/ - 無需注冊
- https://fofa.so/ - 無需注冊
- https://www.threatcrowd.org/ - 無需注冊
- https://dnsdumpster.com/ - 無需注冊
- https://securitytrails.com/ - 無需注冊
- https://viewdns.info/ - 無需注冊
- https://www.dnsdb.io/zh-cn/ - 部分內容需注冊可見
- 在線 apihttps://dns.bufferover.run/dns?q=baidu.com # 調用的 Rapid7 數據
https://rapiddns.io/subdomain
- 更多開放 api 參考 : https://opendata.rapid7.com/apihelp/
- 開放數據下載 : https://opendata.rapid7.com/
目錄掃描
在滲透測試中,在對目標網站進行滲透時,對網站的下級目錄進行目錄掃描,用以發現目標網站是否存在 OA,網站后臺,敏感目錄或者任意文件下載等信息.
字典
字典資源見 Power-PenTest Web 字典 部分
相關文章
- 熟練使用各類敏感目錄文件掃描工具
目錄掃描工具
- ffuf/ffuf - go 寫的 web fuzz 工具,很好用,推薦ffuf -c -mc 200,301,302,403 -t 50 -u http://testphp.vulnweb.com/FUZZ -w dic.txt
ffuf -c -mc 200,301,302,403 -t 50 -u http://testphp.vulnweb.com/FUZZ -b "NAME1=VALUE1; NAME2=VALUE2" -w dic.txt # Cookie
- ffuf/ffuf-scripts
- wfuzz
- OJ/gobuster - go 寫的枚舉工具可爆破目錄、DNS、虛擬主機名,報錯較多./gobuster dir -u http://testphp.vulnweb.com/ -w dic.txt
- nccgroup/dirble - rust 寫的目錄掃描工具,效果一般./dirble http://testphp.vulnweb.com/ -w dic.txt
- maurosoria/dirsearch - python 寫的目錄掃描工具,效果一般
- Nekmo/dirhunt - python 寫的目錄掃描工具,效果一般
- Xyntax/DirBrute - python 寫的目錄掃描工具,效果一般,且長期未更新
- H4ckForJob/dirmap - python 寫的 web 目錄、文件掃描工具
瀏覽器爬蟲工具
- 0Kee-Team/crawlergo# 假設你的 chromium 安裝在 /tmp/chromium/ ,開啟最大10標簽頁,爬取 AWVS 靶場
./crawlergo -c /tmp/chromium/chrome -t 10 http://testphp.vulnweb.com/# 使用代理
./crawlergo -c /tmp/chromium/chrome -t 10 --request-proxy socks5://127.0.0.1:7891 http://testphp.vulnweb.com/# json 輸出
./crawlergo --output-json out.json -c /tmp/chromium/chrome -t 10 http://testphp.vulnweb.com/
cat out.json | jq '.req_list' > out2.json
cat out2.json | jq '.[].url' > url.txt
sed -i 's/.//' url.txt && sed -i 's/.$//g' url.txt
- timwhitez/crawlergo_x_XRAY - crawlergo 動態爬蟲結合長亭 XRAY 掃描器的被動掃描功能
- ox01024/Xray_and_crwlergo_in_server - xray 與 crwlergo 聯動+server 醬推送
- jaeles-project/gospider
- chaitin/rad
js收集
- lc/subjs - Fetches javascript file from a list of URLS or subdomains.
Tips
- 使用 burp 的 Intruder 爆破模塊掃描目錄也是以一種很好的選擇,當其他掃描器沒有結果時不妨嘗試一下。
參數fuzz
相關工具
- s0md3v/Arjun - HTTP parameter discovery suite.pip3 install arjun
- tomnomnom/unfurl - Pull out bits of URLs provided on stdin
- tomnomnom/qsreplace - Accept URLs on stdin, replace all query string values with a user-supplied value
web指紋
指紋是指網站 CMS 指紋識別、計算機操作系統以及 web 容器的指紋識別等。
應用程序一般在 html、js、css 等文件中包含一些特征碼,這些特征碼就是所謂的指紋。當碰到其他網站也存在次特征時,就可以快速識別出該程序,所以叫做指紋識別。
在線工具
- 云悉 WEB 資產梳理|在線 CMS 指紋識別平臺 - 云悉安全
- Sucuri SiteCheck - Free Website Security Check & Malware Scanner
- Bad site specified
- Site Info Tool - Website Information Lookup Tool
- 在線指紋識別,在線 cms 識別小插件--BugScaner
- YFCMF 內容管理框架 YFCMF 內容管理框架
- BuiltWith Technology Lookup - 找出網站使用什么搭建的
相關文章
- WAF 指紋探測及識別技術
- 阻礙獲取真實網絡指紋
- Web指紋識別技術研究與優化實現
- Web應用組件自動化發現的探索
相關工具
- wappalyzer/wappalyzer
- firefox 擴展
- chrome 擴展
- zhzyker/dismapdismap -ip 192.168.1.1/24 dismap -file xxx.txt
- 0x727/ObserverWard - 命令行Web指紋識別工具
- https://github.com/0x727/FingerprintHub - 偵查守衛(ObserverWard)的指紋庫
- urbanadventurer/WhatWeb - Next generation web scanner
- winezer0/whatweb-plus - 指紋擴展版
- tanjiti/FingerPrint - web 應用指紋識別
- webanalyzer/rules - 通用的指紋識別規則
- TideSec/TideFinger - 指紋識別小工具
- Shodan
- firefox 擴展
- chrome 擴展
- EnableSecurity/wafw00f: WAFW00F allows one to identify and fingerprint Web Application Firewall (WAF) products protecting a website. - 識別 waf 指紋的工具
旁站 & 反查
旁站是和目標網站在同一臺服務器上的其它的網站;如果從目標站本身找不到好的入手點,這時候,如果想快速拿下目標的話,一般都會先找個目標站點所在服務器上其他的比較好搞的站下手,然后再想辦法跨到真正目標的站點目錄中。C 段是和目標機器 ip 處在同一個 C 段的其它機器;通過目標所在 C 段的其他任一臺機器,想辦法跨到我們的目標機器上。
相關工具
- Sma11New/ip2domain - 批量查詢ip對應域名及百度權重、備案信息;ip反查域名;ip查備案信息;資產歸屬查詢;百度權重查詢
在線工具
- https://x.threatbook.cn/nodev4/vb4/list
- https://dns.aizhan.com/
- https://www.robtex.com/
- http://www.webscan.cc/
- http://www.114best.com/ip/
- http://www.5kik.com/c/
- https://phpinfo.me/bing.php
- https://dnsdumpster.com/
- https://viewdns.info/iphistory/
- https://securitytrails.com/
- https://rapiddns.io/sameip
- http://stool.chinaz.com/same
- https://www.virustotal.com/gui/home/search
歷史快照
大部分網站都存在歷史快照,往往這些快照都有存在些敏感信息或者曾經被掛過暗鏈。
在線工具
- 網頁快照網 - 搜索引擎網頁快照查詢,支持手機移動端
- Internet Archive: Digital Library of Free & Borrowable Books, Movies, Music & Wayback Machine - 互聯網檔案館是一個非營利性的數字圖書館組織。提供數字數據如網站、音樂、動態圖像、和數百萬書籍的永久性免費存儲及獲取。
例子
https://webcache.googleusercontent.com/search?q=cache:www.baidu.comwhois與備案
什么是 whois
whois(讀作“Who is”,非縮寫)是用來查詢域名的 IP 以及所有者等信息的傳輸協議。簡單說,whois 就是一個用來查詢域名是否已經被注冊,以及注冊域名的詳細信息的數據庫(如域名所有人、域名注冊商)。
命令行下使用
-
windows
下載 https://docs.microsoft.com/en-us/sysinternals/downloads/whois
-
linux
yum install -y whoiswhois ffffffff0x.com
在線 whois 查詢
- http://wq.apnic.net/apnic-bin/whois.pl
- https://centralops.net/co/
- https://www.register.com/whois.rcmx
- https://www1.domain.com/whois/whois.bml
- https://whois.domaintools.com/
- https://who.is/
- https://www.t00ls.net/domain.html
- https://www.whois.com.au/whois/abn.html
- http://whois.webmasterhome.cn/
- https://whois.aliyun.com/
- https://whois.icann.org/zh/lookup
- http://whoissoft.com/
- http://whois.chinaz.com/
- https://www.whois.com/
- http://whois.domaintools.com/
- https://whois.icann.org/en
- https://www.whoxy.com/reverse-whois/
- https://domainbigdata.com/
- https://viewdns.info/whois/
- https://www.reversewhois.io/
在線備案查詢
- http://www.beianbeian.com/
- http://beian.gov.cn/portal/recordQuery
- http://www.miitbeian.gov.cn/publish/query/indexFirst.action
截圖
相關工具
- FortyNorthSecurity/EyeWitness - 獲取網站的屏幕截圖,提供一些服務器標頭信息,并在可能的情況下識別默認憑據.(要下的依賴挺多的,比較費功夫)
- michenriksen/aquatone - 用于對大量主機上的網站進行可視化檢查的工具
- Nmap-Tools/NSE/http-screenshot.nse - 可以截圖的 Nmap 腳本
- TheKingOfDuck/domain_screen - 批量采集站點基礎信息&截圖。
主機
linux
- Linux主機信息收集
- Linux日志
windows
- Windows主機信息收集
- Windows日志
- Windows取證
相關工具
- i11us0ry/winlog
應用程序
- 應用程序取證
OSINT
- Digital-Privacy - 一個關于數字隱私搜集、保護、清理集一體的方案,外加開源信息收集(OSINT)對抗
業務信息
公司信息
- 企查查 - 工商信息查詢_公司企業注冊信息查詢_全國企業信用信息公示系統
- 天眼查 - 企業信息調查工具_企業信息查詢_公司查詢_工商查詢_信用查詢平臺
- 小藍本-商業信息搜索
移動應用
- APP商店
- (華為/小米/OPPO/三星/...)應用商店
- App Store
- 微信/支付寶小程序
相關工具
- ouxinLou/company-crawler - 天眼查爬蟲&企查查爬蟲,指定關鍵字爬取公司信息
- wgpsec/ENScan_GO - 一款基于各大企業信息 API 的工具,解決在遇到的各種針對國內企業信息收集難題。一鍵收集控股公司 ICP 備案、APP、小程序、微信公眾號等信息聚合導出。
員工信息
收集渠道
- qq群
- 微信群
- 釘釘群
- 線上/下活動
企業郵箱的郵箱后綴名一般為企業的域名,為便于員工可以方便的進行工作通信,企業會對外網開放郵箱登錄地址。因此在前期的信息收集中掌握大量的郵箱賬號對于破解企業郵箱非常有幫助。
相關工具
- laramies/theHarvester - E-mails, subdomains and names
- nettitude/Prowl - 一個電子郵件收集工具,它可以搜索與用戶搜索術語相關聯的個人資料,并識別職位。還確定指定組織的當前工作列表。
- 按域名搜索
- Taonn/EmailAll - 一款強大的郵箱收集工具git clone https://github.com/Taonn/EmailAll.git cd EmailAll pip3 install -r requirements.txtpython3 emailall.py --domain example.com run
- MSF Module - 這個模塊比較拉胯,不建議使用use auxiliary/gather/search_email_collector show options set domain ffffffff0x.com run
APIkey/密鑰信息
相關文章
- Unauthorized Google Maps API Key Usage Cases, and Why You Need to Care
- 一些提取api key的正則表達式
- 企業微信Secret Token利用思路
- 企業微信Token-Secret利用思路
- 企業微信+騰訊IM密鑰泄漏利用
- https://mp.weixin.qq.com/debug/cgi-bin/apiinfo?t=index&type=基礎支持&form=獲取access_token接口 /token
相關案例
- WooYun-2015-141929 - 神器之奇虎360某命令執行導致網站衛士等多個重要業務官網可getshell(可能影響接入站長)
- Flickr Account Takeover using AWS Cognito API
- Flickr Account Takeover
- 記一次SRC信息泄漏利用
相關資源
- daffainfo/all-about-apikey
- https://github.com/databricks/security-bucket-brigade/blob/3f25fe0908a3969b325542906bae5290beca6d2f/Tools/s3-secrets-scanner/rules.json
通用關鍵詞
password= $passwd key= Realm accessId accessKey APPID APPSECRET正則規則
以下正則來自 [一些提取api key的正則表達式]
'aliyun_oss_url': '[\\w-.]\\.oss.aliyuncs.com', 'azure_storage': 'https?://[\\w-\.]\\.file.core.windows.net', 'access_key': '[Aa](ccess|CCESS)_?[Kk](ey|EY)|[Aa](ccess|CCESS)_?[sS](ecret|ECRET)|[Aa](ccess|CCESS)_?(id|ID|Id)', 'secret_key': '[Ss](ecret|ECRET)_?[Kk](ey|EY)', 'slack_token': '(xox[p|b|o|a]-[0-9]{12}-[0-9]{12}-[0-9]{12}-[a-z0-9]{32})', 'slack_webhook': 'https://hooks.slack.com/services/T[a-zA-Z0-9_]{8}/B[a-zA-Z0-9_]{8}/[a-zA-Z0-9_]{24}', 'facebook_oauth': '[f|F][a|A][c|C][e|E][b|B][o|O][o|O][k|K].{0,30}['\'\\s][0-9a-f]{32}['\'\\s]', 'twitter_oauth': '[t|T][w|W][i|I][t|T][t|T][e|E][r|R].{0,30}['\'\\s][0-9a-zA-Z]{35,44}['\'\\s]', 'heroku_api': '[h|H][e|E][r|R][o|O][k|K][u|U].{0,30}[0-9A-F]{8}-[0-9A-F]{4}-[0-9A-F]{4}-[0-9A-F]{4}-[0-9A-F]{12}', 'mailgun_api': 'key-[0-9a-zA-Z]{32}', 'mailchamp_api': '[0-9a-f]{32}-us[0-9]{1,2}', 'picatic_api': 'sk_live_[0-9a-z]{32}', 'google_api': 'AIza[0-9A-Za-z-_]{35}', 'google_captcha': '6L[0-9A-Za-z-_]{38}', 'google_oauth': 'ya29\\.[0-9A-Za-z\\-_]+', 'amazon_aws_access_key_id': 'AKIA[0-9A-Z]{16}', 'amazon_mws_auth_token': 'amzn\\.mws\\.[0-9a-f]{8}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{4}-[0-9a-f]{12}', 'amazonaws_url': 's3\\.amazonaws.com[/]+|[a-zA-Z0-9_-]*\\.s3\\.amazonaws.com', 'facebook_access_token': 'EAACEdEose0cBA[0-9A-Za-z]+', 'mailgun_api_key': 'key-[0-9a-zA-Z]{32}', 'twilio_api_key': 'SK[0-9a-fA-F]{32}', 'twilio_account_sid': 'AC[a-zA-Z0-9_\\-]{32}', 'twilio_app_sid': 'AP[a-zA-Z0-9_\\-]{32}', 'paypal_braintree_access_token': 'access_token\\$production\\$[0-9a-z]{16}\\$[0-9a-f]{32}', 'square_oauth_secret': 'sq0csp-[ 0-9A-Za-z\\-_]{43}', 'square_access_token': 'sqOatp-[0-9A-Za-z\\-_]{22}', 'stripe_standard_api': 'sk_live_[0-9a-zA-Z]{24}', 'stripe_restricted_api': 'rk_live_[0-9a-zA-Z]{24}', 'github_access_token': '[a-zA-Z0-9_-]*:[a-zA-Z0-9_\\-]+@github\\.com*', 'rsa_private_key' : '-----BEGIN RSA PRIVATE KEY-----', 'ssh_dsa_private_key' : '-----BEGIN DSA PRIVATE KEY-----', 'ssh_dc_private_key' : '-----BEGIN EC PRIVATE KEY-----', 'pgp_private_block' : '-----BEGIN PGP PRIVATE KEY BLOCK-----', 'json_web_token' : 'ey[A-Za-z0-9-_=]+\.[A-Za-z0-9-_=]+\.?[A-Za-z0-9-_.+/=]*$', 'JWT':'[= ]ey[A-Za-z0-9_-]*\.[A-Za-z0-9._-]*', 'ALL_JWT':'[= ]ey[A-Za-z0-9_\/+-]*\.[A-Za-z0-9._\/+-]*',Google Maps API
- Unauthorized Google Maps API Key Usage Cases, and Why You Need to Care
- 谷歌地圖API密鑰未授權利用造成的危害
- Google Maps API (Not the Key) Bugs That I Found Over the Years
- ozguralp/gmapsapiscanner - Used for determining whether a leaked/found Google Maps API Key is vulnerable to unauthorized access by other applications or not.python3 maps_api_scanner_python3.py python3 maps_api_scanner_python3.py --api-key API_KEY# Staticmap、Streetview、Embed API's 有可能會誤報
- Google API key leaked to Public
點擊關注,共同學習!安全狗的自我修養
github haidragon
https://github.com/haidragon
總結
- 上一篇: java 汉字区位码表,中文汉字编码知识
- 下一篇: 时速云CEO:相对于IaaS和PaaS,