设为首页收藏本站
开启辅助访问

外网信息搜集

 您所在的位置:网站首页 rdp密码爆破 外网信息搜集

外网信息搜集

#外网信息搜集| 来源: 网络整理| 查看: 265

快速打点清单

信息收集道道之外网信息收集

一般常用手段

EHole

1、本地识别

bash EHole -l url.txt //需要扫描的URL地址创建为一个txt文档,需带上协议,每行一个

2、Fofa识别

bash EHole -f 192.168.1.1/24 //支持单IP或IP段

3、结果输出:

bash EHole -l url.txt -json export.json //结果输出至export.json文件

4、Fofa批量提取IP

./Ehole-darwin fofaext -l /Users/r1ng/Downloads/ip.txt

5、指纹可自定义添加,如手里有某个系统的 0day 可指定添加指纹进行识别。

./Ehole-darwin finger -l /Users/duanzhang/Downloads/url.txt //指纹收集,输出至url1.txt 水泽 语法 功能 python3 ShuiZe.py -d domain.com 收集单一的根域名资产 python3 ShuiZe.py –domainFile domain.txt 批量跑根域名列表 python3 ShuiZe.py -c 192.168.1.0,192.168.2.0,192.168.3.0 收集C段资产 python3 ShuiZe.py -f url.txt 对url里的网站漏洞检测 python3 ShuiZe.py –fofaTitle XXX大学 从fofa里收集标题为XXX大学的资产,然后漏洞检测 python3 ShuiZe.py -d domain.com –justInfoGather 1 仅信息收集,不检测漏洞 python3 ShuiZe.py -d domain.com –ksubdomain 0 不调用ksubdomain爆破子域名

师傅说EHole+水泽足够了

选用

Eeyes棱眼

扫c段

______ __ ______ / ____/___/ /___ ____/_ __/__ ____ _____ ___ / __/ / __ / __ `/ _ \/ / / _ \/ __ `/ __ `__ \ / /___/ /_/ / /_/ / __/ / / __/ /_/ / / / / / / /_____/\__,_/\__, /\___/_/ \___/\__,_/_/ /_/ /_/ /____/ https://forum.ywhack.com By:shihuang Eeyes version: 0.0.1 Usage: Eeyes [-f|-l] [parameter] Options: -f string Fofa searches for assets , supports domain。(example.com) FOFA搜索资产,支持域。(example.com) -ftime string fofa timeout (default "10") FOFA超时(默认为“ 10”) -h this help -l string Probe based on local file 基于本地文件探测 -log string Log file name (default "server.log") 日志文件名(默认“ server.log”) 常规信息搜集web打点 资产收集

网络引擎平台

fofa https://fofa.info/

quakehttps://quake.360.cn/quake/#/index

鹰图https://hunter.qianxin.com/

shodanhttps://www.shodan.io/

零零信安https://0.zone/

子域名收集

subDomainsBrute --version 显示程序的版本号并退出 -h,--help 显示此帮助信息并退出 -f FILE 指定暴力猜解字典,默认使用subnames.txt.(1.5W字典) --full 全扫描,使用subnames_full.txt(7W多字典) -i,--ignore-intranet 忽略指向私有(内网)ip的域名 -w,--wildcard 通配符测试失败后强制扫描 -t线程 --threads=THREADS 扫描线程数,默认为200 -p进程 --process=PROCESS 扫描进程数,默认为6 -o输出,--output=OUTPUT 输出文件的名字。默认是 {target}.txt python subDomainsBrute.py --full -i -t 10 -p 2 --no-https -o baidu.txt baidu.com #搜集全部子域名,局域网可能无法正常使用

*Oneforall

python oneforall.py --target ichunqiu.com run #搜集子域名 --brute=BRUTE 使用爆破模块(默认False) --verify=VERIFY 验证子域有效性(默认True) --port=PORT 请求验证的端口范围(默认medium) --valid=VALID 导出子域的有效性(默认1) --path=PATH 导出路径(默认None) --format=FORMAT 导出格式(默认xlsx) --show=SHOW 终端显示导出数据(默认False)

*Jsfinder爬虫爬取域名

python JSFinder.py -u http://www.mi.com #简单爬区子域名 python JSFinder.py -u http://www.mi.com -d -ou mi_url.txt -os mi_subdomain.txt #深度爬取子域名,时间更长-ou保存url -os保存子域名

**ksubdomain

//常用命令 ksubdomain -d seebug.org #使用内置字典爆破 ksubdomain -d seebug.org -f subdomains.dict #使用字典爆破域名 ksubdomain -f dns.txt -verify #字典里都是域名,可使用验证模式 ksubdomain -d seebug.org -l 2 #爆破三级域名 echo "seebug.org"|ksubdomain #通过管道爆破 echo "paper.seebug.org"|ksubdomain -verify #通过管道验证域名 ksubdomain -d seebug.org -api #仅使用网络API接口获取域名 ksubdomain -d seebug.org -full #完整模式,先使用网络API,在此基础使用内置字典进行爆破 _ __ _____ _ _ _ | |/ / / ____| | | | | (_) | ' / | (___ _ _| |__ __| | ___ _ __ ___ __ _ _ _ __ | < \___ \| | | | '_ \ / _| |/ _ \| '_ _ \ / _ | | '_ \ | . \ ____) | |_| | |_) | (_| | (_) | | | | | | (_| | | | | | |_|\_\ |_____/ \__,_|_.__/ \__,_|\___/|_| |_| |_|\__,_|_|_| |_| [INFO] Current Version: 0.7 Usage of ./cmd: -api 使用网络接口 -b string 宽带的下行速度,可以5M,5K,5G (default "1M") -check-origin 会从返回包检查DNS是否为设定的,防止其他包的干扰 -csv 输出excel文件 -d string 爆破域名 -dl string 从文件中读取爆破域名 -e int 默认网络设备ID,默认-1,如果有多个网络设备会在命令行中选择 (default -1) -f string 字典路径,-d下文件为子域名字典,-verify下文件为需要验证的域名 -filter-wild 自动分析并过滤泛解析,最终输出文件,需要与'-o'搭配 -full 完整模式,使用网络接口和内置字典 -l int 爆破域名层级,默认爆破一级域名 (default 1) -list-network 列出所有网络设备 -o string 输出文件路径 -s string resolvers文件路径,默认使用内置DNS -sf string 三级域名爆破字典文件(默认内置) -silent 使用后屏幕将仅输出域名 -skip-wild 跳过泛解析的域名 -summary 在扫描完毕后整理域名归属asn以及IP段 -test 测试本地最大发包数 -ttl 导出格式中包含TTL选项 -verify 验证模式

有条件上灯塔https://github.com/TophantTechnology/ARL

逻辑漏洞

挖掘思路

检测站点,正常操作测试一次,开启BurpSuite,让web发送信息经过burp留下足迹。

回头查看,每一个信息包具体工具情况。

检查每一个传参,确定可控制传参

nmap

dirmap 安装 $ git clone https://github.com/H4ckForJob/dirmap.git && cd dirmap && python3 -m pip install -r requirement.txt 单个目标 $ python3 dirmap.py -iU https://site.com -lcf 多个目标 $ python3 dirmap.py -iF urls.txt -lcf 渗透测试的本质就是信息搜集

踩点

了解安全架构

渗透测试最终目的就是扩大攻击面

服务器信息搜集

开放端口信息搜集

工具:Nmap、Masscan(nmap慢但仔细,masscan快,但是扫的不完全)

Nmap端口扫描

-p端口号 IP地址 扫描目标IP开放端口

TCP协议中存在reset重置位(接收到不合规的TCP数据包就返回reset重置连接)

发送端口扫描数据包,返回ack+syn -->open 返回reset --> close 无返回包 --> filtered 目标可能存在防 火墙拦截该端口的数据包

-p端口号 IP地址 扫描目标IP开放端口 nmap -p445 192.168.172.130 Starting Nmap 7.91 ( https://nmap.org ) at 2022-09-21 21:11 EDT Nmap scan report for 192.168.172.130 Host is up (0.00077s latency). PORT STATE SERVICE 445/tcp open microsoft-ds MAC Address: 00:0C:29:0B:4A:F9 (VMware) Nmap done: 1 IP address (1 host up) scanned in 6.76 seconds └─# nmap -p445,80,3306,3389,1433 192.168.172.130 nmap -p1-65535 192.168.172.130 # 全端口扫描 nmap -p- 192.168.172.130 #全端口扫描 nmap -p U:53 192.168.172.130 #扫描udp协议的53端口 nmap 192.168.172.130 #先利用ping检测主机是否存活,利用tcp扫描目标主机的常见端口的top1000。 nmap -F 192.168.172.130 #快速随机提取top1000的100个端口进行扫描

主机存活探测

nmap -iL target.txt #target.txt 存放需扫描的IP地址和域名 nmap -sn 192.168.23.0/24 #扫描存活主机 nmap -Pn 192.168.23.1 -p445 #忽略主机存活直接扫445端口 nmap -PA 192.168.23.0/24 #利用ping tcp ack扫描 nmap -PE 192.168.23.0/24 #利用ping icmp echo扫描,常用于内网主机存活探测

扫描技巧

nmap -sS -p- 192.168.1.1 #半开放式扫描,目标不记录IP地址 仅仅只发送syn+ack,未建立完整的TCP连接,目标机器不记录IP地址。 nmap -sT -p- 192.168.1.1 #完整的TCP连接扫描,速度慢,精度高,目标机器会记录IP地址。 nmap -sA -p- 192.168.1.1 #只发送tcp ack数据包进行扫描,不记录IP地址,速度快。 nmap -sU -p- 192.168.1.1 #利用UDP协议进行扫描,速度快,发包数量少,常用于内网扫描。

服务识别

nmap存在端口对应服务的数据库,根据响应包中banner信息进行识别。

nmap -sV 192.168.172.130 -p3306 #扫描目标3306端口,根据响应包中的banner提取服务的版本信息

脚本扫描

Nmap自带多种脚本,比如常见ssh,ftp,rdp,smb各种扫描脚本。

nmap -sC 192.168.172.130 #根据开放端口的服务进行脚本扫描查看哪些服务存在漏洞 nmap -p445 --script smb-vuln-ms17-010 192.168.179.91 #扫描目标机器是否存在永恒之蓝

操作系统识别

根据端口探测返回的banner信息,开放端口,操作系统数据库匹配操作系统版本来进行识别。

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV #识别目标机器的操作系统版本 Starting Nmap 7.92 ( https://nmap.org ) at 2022-09-22 10:22 中国标准时间 Nmap scan report for 192.168.179.91 Host is up (0.035s latency). PORT STATE SERVICE VERSION 80/tcp open http Microsoft IIS httpd 7.5 445/tcp open microsoft-ds Microsoft Windows Server 2008 R2 - 2012 microsoft-ds 1433/tcp open ms-sql-s Microsoft SQL Server 2008 R2 10.50.1600; RTM 3306/tcp closed mysql Device type: general purpose Running: Microsoft Windows Vista|7|2008 OS CPE: cpe:/o:microsoft:windows_vista::sp1:home_premium cpe:/o:microsoft:windows_7 cpe:/o:microsoft:windows_server_2008 OS details: Microsoft Windows Vista Home Premium SP1, Windows 7, or Windows Server 2008 Network Distance: 3 hops Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows OS and Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 10.68 seconds

绕过防火墙和IDS检测

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -f --mtu=8 #-f -mtu=0-8 数据包分片传输绕过检测 nmap -e eth0 #指定数据包从eth0发送 nmap --proxies http://127.0.0.1:8080 nmap -O 192.168.179.91 -p445,3306,80,1433 -sV --proxies http://127.0.0.1:8080 --data-length #在请求包中数据部分添加随机数据绕过检测 nmap -O 192.168.179.91 -p445,3306,80,1433 -sV --data-length 100 --ttl 1000 #指定数据包发送的ttl值,ttl time to live 生命周期值 每经过一个路由设备-1,当为0时数据包不在转发,防止数据包无限制的在网络中转发。 nmap --spoof-mac ff:ff:ff:ff:ff:ff nmap -O 192.168.179.91 -p445,3306,80,1433 -sV --spoof-mac 0 --badsum 填充错误的checksum数据绕过检测

Nmap输出

nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -oN result.txt #将标准输出保存到文件 nmap -O 192.168.179.91 -p445,3306,80,1433 -sV -oG result.txt #保存为bash等其他语言使用的格式的内容 nmap -O 192.168.179.91 -p1-65535 -sV -oG result.txt --open #仅显示开放端口 nmap -O 192.168.179.91 -p1-65535 -sV --open --resume result.txt #恢复扫描

杂项

nmap 192.168.179.91 -A #包含脚本扫描,路由跟踪,版本探测,系统识别。 -O -sC -sV nmap -sV -sT -Pn --open -v 192.168.1.1 不使用ping对ip进行服务识别 使用tcp发包 返回端口开放的结果 nmap -sT -Pn --open -v banner.nse 192.168.1.1 获取服务器的banner信息 nmap -sP 192.168.0.0/24 判断哪些主机存活 nmap -sT 192.168.0.3 开放了哪些端口 nmap -sS 192.168.0.127 开放了哪些端口(隐蔽扫描) nmap -sU 192.168.0.127 开放了哪些端口(UDP) nmap -sS -O 192.168.0.127 操作系统识别 nmap -sT -p 80 -oG – 192.168.1.* | grep open 列出开放了指定端口的主机列表 nmap -sV -p 80 baidu.com 列出服务器类型(列出操作系统,开发端口,服务器类型,网站脚本类型等) nmap -sT -sV -O -P0 --open -n -oN result.txt -p80-89,8080-8099,8000-8009,7001-7009,9000- 9099,21,443,873,2601,2604,3128,4440,6082,6379,8888,3389,9200,11211,27017,2801 7,389,8443,4848,8649,995,9440,9871,2222,2082,3311,18100,9956,1433,3306,1900,4 9705,50030,7778,5432,7080,5900,50070,5000,5560,10000 -iL ip.txt --open 只输出端口开放的结果 输出到result.txt文件 Goby

扫描目标资产(域名+IP段),服务识别,POC漏洞概念验证,大量插件组合使用。

常用插件:

fofa fofa.info 空间搜索引擎 subdomainbrute 子域名爆破 xray + rad 利用xray漏洞扫描+ rad浏览器爬虫 ExportCsv 导出表格 awvs 在插件中填key awvs 访问地址 Dictionary_config 字典生成 backup_scan 备份文件扫描 vulmap 漏洞扫描和验证 redis-cli 利用redis未授权执行命令 dirsearch 敏感文件目录扫描器 expinfovuln .git/.ds_store/.idea/.svn文件利用 githack https://github.com/lijiejie/GitHack ds_store_exp https://github.com/lijiejie/ds_store_exp idea_exploit https://github.com/lijiejie/idea_exploit SvnExploit https://github.com/admintony/svnExploit springboot_scan java sprintboot框架扫描 图标为小绿叶 常见端口利用 端口 服务 渗透用途 tcp 20,21 FTP 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4) tcp 20,21 SSH 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道 及内网代理转发,文件传输等等 tcp 23 Telnet 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令 tcp 25 SMTP 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-userenum工具来自动跑 tcp/udp 53 DNS 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧 道的远控 tcp/udp 69 TFTP 尝试下载目标及其的各类重要配置文件 tcp 80- 89,443,8440- 8450,8080- 8089 各种常用的 Web服务端口 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控 制台,各类服务器Web管理面板,各类Web中间件漏洞利用, 各类Web框架漏洞利用等等…… tcp 110 POP3 可尝试爆破,嗅探 tcp 111,2049 NFS 权限配置不当 tcp 137,139,445 Samba 可尝试爆破以及smb自身的各种远程执行类漏洞利用, 如,ms08-067,ms17-010,嗅探等…… tcp 143 IMAP 可尝试爆破 udp 161 SNMP 爆破默认团队字符串,搜集目标内网信息 tcp 389 LDAP ldap注入,允许匿名访问,弱口令 tcp 512,513,514 Linux rexec 可爆破,rlogin登陆 tcp 873 Rsync 匿名访问,文件上传 tcp 1194 OpenVPN 想办法钓VPN账号,进内网 tcp 1352 Lotus 弱口令,信息泄漏,爆破 tcp 1433 SQL Server 注入,提权,sa弱口令,爆破 tcp 1521 Oracle tns爆破,注入,弹shell… tcp 1500 ISPmanager 弱口令 tcp 1723 PPTP 爆破,想办法钓VPN账号,进内网 tcp 2082,2083 cPanel 弱口令 tcp 2181 ZooKeeper 未授权访问 tcp 2601,2604 Zebra 默认密码zerbra tcp 3128 Squid 弱口令 tcp 3312,3311 kangle 弱口令 tcp 3306 MySQL 注入,提权,爆破 tcp 3389 Windows RDP shift后门[需要03以下的系统],爆破,ms12-020 tcp 3690 SVN svn泄露,未授权访问 tcp 4848 GlassFish 弱口令 tcp 5000 Sybase/DB2 爆破,注入 tcp 5432 PostgreSQL 爆破,注入,弱口令 tcp 5900,5901,5902 VNC 弱口令爆破 tcp 5984 CouchDB 未授权导致的任意指令执行 tcp 6379 Redis 可尝试未授权访问,弱口令爆破 tcp 7001,7002 WebLogic Java反序列化,弱口令 tcp 7778 Kloxo 主机面板登录 tcp 8000 Ajenti 弱口令 tcp 8443 Plesk 弱口令 tcp 8069 Zabbix 远程执行,SQL注入 tcp 8080-8089 Jenkins,JBoss 反序列化,控制台弱口令 tcp 9080- 9081,9090 WebSphere Java反序列化/弱口令 tcp 9200,9300 ElasticSearch 远程执行 tcp 11211 Memcached 未授权访问 tcp 27017,27018 MongoDB 爆破,未授权访问 tcp 50070,50030 Hadoop 默认端口未授权访问

操作系统识别

端口特征识别 iis80 rdp3389 ssh22 samba 445 系统特征大小写 TTL值特征 TTL=128 Windows TTL=64 Linux 常见网站动态语言 asp aspx php jsp phpinfo信息泄漏 网站信息搜集 CMS指纹识别

识别建站系统(CMS)后定位版本信息,利用nday或代码审计挖掘漏洞。

通过特殊文件或特殊目录识别 (wp-login.php dede ) 通过页面版权信息,poweredby@关键字 前端代码中相关信息(特征js文件+特征html body+特征title) robots.txt文件中的关键字 (作用标记哪些文件目录可以被爬虫访问+哪些不允许) wapplazyer 插件根据响应包内容识别CMS whatweb 通过响应包提取相关信息 whatweb指纹识别 潮汐指纹 云悉指纹 水泽信息收集(信息收集+漏洞扫描) 棱洞信息收集(信息收集+漏洞扫描) 棱角社区漏洞资产 serein 工具包 gui_tools 工具包 CMS漏洞利用 常规搜索引擎,dedecms 漏洞,dedecms exp/poc/exploit/bug/getshell nday 乌云漏洞库 织梦cms dedecms 乌云漏洞库 - Darkyz | 在线武器库 https://wooyun.website/ exploit-db dedecms CNVD搜索dedecms Github 搜索dedecms 源代码审计 挖0day

1、全文通读 —— 漏洞挖掘最全

2、敏感函数回溯 —— 方便快捷挖掘漏洞

eval assert create_function arrat_map 代码执行 system passthru popen shell_exec exec `` 命令执行 select update insert sqli move_uploaded_file upload include require include_once require_once lRI RFI echo print print_r XSS

3、定向功能分析法 —— 定向挖掘某块功能的漏洞

中间件信息收集 IIS Apache httpd Nginx weblogic tomcat jboss jekins websphere

github 搜索相关漏洞利用工具

网站脚本信息收集

我们需要知道网站用的脚本类型:php 、jsp 、asp 、aspx 。

根据网站URL来判断

site:xxx filetype:php

可以根据Firefox的插件来判断 wapplazyer

目录爆破/文件爆破

漏洞扫描器(awvs xray appscan首推Xray)

数据库信息搜集 Access 全名是Microsoft Office Access,是由微软发布的关联式数据库管理系统。小型数据库,当 数据库达到100M左右的时候性能就会下降。数据库后缀名: .mdb 一般是asp的网页文件用 access数据库 SQL Server是由Microsoft开发和推广的关系数据库管理系统(DBMS),是一个比较大型的数据 库。端口号为1433。数据库后缀名 .mdf MySQL 是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,目前属于 Oracle 旗下产品。 MySQL是最流行的关系型数据库管理系统,在 WEB 应用方面MySQL是最好的应用软件之一, MySQL数据库大部分是php的页面。默认端口是3306 Oracle又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。常用于比 较大的网站。默认端口是1521 端口 Access没有端口 mssql 1433 mysql 3306 oracle 1521 脚本类型 常见搭配 ASP 和 ASPX:ACCESS、SQL Server PHP:MySQL、PostgreSQL JSP:Oracle、MySQL 漏洞扫描器 sqlmap 网站目录结构信息收集

常见的敏感文件

.git githack .ds_store ds_store_exp .idea idea_exploit .svn SvnExploit

网站备份压缩文件

dirsearch加后缀扩展们爆破文件和目录 御剑图形化 + 选择字典 7kbwebpathscanner图形化 + 自选字典 dirmap字典齐全 dirb kali自带敏感文件和目录爆破 dirbuster java图形化支持递归爆破文件和目录 WEB-INF文件 java中间件 泄漏配置信息 Web.Config asp|aspx 网站配置文件 config.jsp | config.php config.inc find . -name "config.*"

配置文件泄露

爱站网 搜索whois 备案信息 ip反查 域名 子域名

备案信息查询还有其他的站长之家之类的

真实IP信息搜集

在渗透过程中,目标服务器可能只有一个域名,那么如何通过这个域名来确定目标服务器的真实IP对渗 透测试来说很重要,在探测IP的过程中,分为两种情况存在CDN以及不存在CDN

CDN的介绍

CDN即内容分发网络,主要解决因传输距离和不同的运营商节点造成的网络速度性能低下的问题。简单 来说,就是一组在不同运营商之间的对接节点上的高速缓存服务器,把用户经常访问的静态资源直接缓 存到节点服务器上,当用户再次请求时,会直接分发到在离用户最近的节点服务器上响应给用户。这样 可以大大提高网站的响应速度以及用户体验。

不存在CDN

可以直接获取目标的IP及域名信息

存在CDN

如果渗透目标购买了CDN服务,可以ping通目标的域名,但得到的不是真正的目标Web服务器,这就导 致了我们无法直接得到目标的真实IP段范围。

判断网站是否存在CDN

ping 域名 nslookup 域名 得到IP地址 curl cip.cc/ip + 企业地址

直接nmap全端口扫描 通过IP+端口 访问web https://223.93.162.3/ 跟域名访问网站相同即是真实IP地址

真实IP信息收集方法:

域名历史解析记录(DNS记录)

通过国外vps+国外dns 访问国内域名

通过子域名获取真实IP地址 (挂CDN付费,边缘资产一般都不挂)

网站漏洞+phpinfo信息 获取真实IP地址

网站邮件订阅查找 邮件头中会包含邮箱服务器 真实IP

全网扫描 根据网站banner信息确定IP地址【banner 信息来表示欢迎语,其中会包含一些敏感信息,所以获取 banner 也属于信息搜集的范畴。在渗透测试中,典型的 4xx、5xx 信息泄露就属于 banner 泄露的一种。在 banner 信息中,可以获取到软件开发商、软件名称、服务类型、版本号等。而版本号有时候就会存在公开的 CVE 问题,可以直接进行利用。

banner 信息获取的基础是在和目标建立链接后的,只有建立的链接,才可以获取到相应的 banner 信息,当目标对 banner 信息进行隐藏或者配置了禁止读取时,这时的 banner 则获取不到。】

DNS历史记录

网络空间搜索引擎 搜索筛选

ichunqiu.com #fofa数据中含有ichunqiu.com的网站 body="ichunqiu.com" #直接从网站正文中获取含有ichunqiu.com结果 title="【i春秋】-专注网络安全_信息安全_白帽子的在线学习_教育_培训平台" header="ichunqiu.com" 查看网站https证书 将序列号去除: 16进制转10进制 0C:0E:E0:20:B8:07:D6:3C:48:B3:5D:40:DA:3C:1F:5B 0C0EE020B807D63C48B35D40DA3C1F5B 16027973957445612478614285750581862235 https://tool.lu/ cert=16027973957445612478614285750581862235

fofa语法

FOFA相关语法 title="beijing" 从标题中搜索“北京” header="jboss" 从http头中搜索“jboss” body="Hacked by" 从html正文中搜索abc domain="qq.com" 搜索根域名带有qq.com的网站。 host=".gov.cn" 从url中搜索”.gov.cn” 搜索要用host作为名称 port="443" 查找对应“443”端口的资产 ip="1.1.1.1" 从ip中搜索包含“1.1.1.1”的网站 搜索要用ip作为名称 ip="220.181.111.1/24" 查询IP为“220.181.111.1”的C网段资产。 protocol="https" 查询https协议资产 搜索指定协议类型(在开启端口扫描的情况下有 icon_hash="713581487" 指定网站图标搜索相关网站 city="Hangzhou" 搜索指定城市的资产。 region="Zhejiang" 搜索指定行政区的资产。 country="CN" 搜索指定国家(编码)的资产。 cert="google" 搜索证书(https或者imaps等)中带有google的资产。 server=="Microsoft-IIS/7.5" 搜索IIS 7.5服务器。 app="HIKVISION-视频监控" 搜索海康威视设备。 ip="60.191.116.170/24" && port="3306" #搜索网段开放指定端口的资产 ip="60.191.116.181" #搜索指定IP开放的端口 ip="60.191.116.0/24" #搜索指定c段资产 domain="hzvtc.edu.cn" #搜索域名包含hzvtc.edu.cn的资产 domain="hzvtc.edu.cn" && status_code="200" #搜索指定网站状态码为200的资产 cert="hzvtc.edu.cn" #搜索证书域名包含hzvtc.edu.cn的资产 cert="62915681758986821938903689415000632430" #搜索序列号为62915681758986821938903689415000632430资产,更加准确 server=="Microsoft-IIS/7.5" 搜索指定中间件 app="HIKVISION-视频监控" #搜索指定指纹资产 从https://fofa.info/library提取指纹库 旁站/C段信息收集 查旁站 站长工具查旁站 企业信息搜集 企查查 天眼查 爱企查 小蓝本 员工信息(手机号码、邮箱、姓名等),组织框架、企业法人、企业综合信息等。 其中员工信息收集是信息收集中的一项重要工作,员工信息包括:员工姓名、员工工号、员工家庭及交际信息、上网习惯等。(社会工程学) 员工身份信息:员工简历,员工身份证,手机号,生日,家乡,住址等个人信息。 员工社交账号信息。 生成社工字典 + 利用社工手段利用

敏感文件信息收集

资产包含特征系统名 利用文库搜索敏感平台操作文件 .edu.cn password vpn github搜索语法 选择code 从代码中找关键字 “target.com” send_keys “target.com” password “target.com” api_key “target.com” apikey “target.com” jira_password “target.com” root_password “target.com” access_token “target.com” config “target.com” client_secret “target.com” user auth 云盘分享文件 暴力破解 数据库

账号:root

密码:root、root123、123456

tomcat

账号:admin、tomcat、manager

密码:admin、tomcat、admin123、123456、manager

jboss

账号:admin、jboss、manager

密码:admin、jboss、manager、123456

weblogic

账号:weblogic、admin、manager

密码:weblogic、admin、manager、123456

字典生生成工具:白鹿

爆破工具

Hydra

Hydra也称九头蛇,是支持众多协议的爆破工具,且Windows/Linux环境下都支持,且本软件已经集成 到kali系统中

常用参数:

-l 指定用户名 -L 指定用户名字典 -p 指定密码 -P 指定密码字典 -vV 显示爆破细节 -f 找到正确的账密就停止爆破 -o 保存爆破结果。 -t 线程 默认线程为16 ※注意:如果线程过大,会导致hydra崩溃 -e nsr -e下的三个选项,n是null --空密码试探,s是same --密码与用户名一致,r是反向 --将用户名倒 置。 如:用户名是root 倒置为toor。

常用命令:

hydra -l user -P passlist.txt ftp://192.168.0.1 #指定用户爆密码 hydra -L userlist.txt -p defaultpw imap://192.168.0.1/PLAIN #指定密码爆用户 hydra -C defaults.txt -6 pop3s://[2001:db8::1]:143/TLS:DIGEST-MD5 hydra -l admin -p password ftp://[192.168.0.0/24]/ #指定用户名密码爆破网段 hydra -L logins.txt -P pws.txt -M targets.txt ssh #指定目标用户名密码爆破ssh

超级弱口令检测工具

nmap手册 -sTTCP connect()扫描,这是最基本的TCP扫描方式。这种扫描很容易被检测到,在目标主机的日志中会记录大批的连接请求以及错误信息。 -sSTCP同步扫描(TCP SYN),因为不必全部打开一个TCP连接,所以这项技术通常称为半开扫描(half-open)。这项技术最大的好处是,很少有系统能够把这记入系统日志。不过,你需要root权限来定制SYN数据包。 -sF,-sX,-sN秘密FIN数据包扫描、圣诞树(Xmas Tree)、空(Null)扫描模式。这些扫描方式的理论依据是:关闭的端口需要对你的探测包回应RST包,而打开的端口必需忽略有问题的包(参考RFC 793第64页)。 -sPping扫描,用ping方式检查网络上哪些主机正在运行。当主机阻塞ICMP echo请求包是ping扫描是无效的。nmap在任何情况下都会进行ping扫描,只有目标主机处于运行状态,才会进行后续的扫描。 -sU如果你想知道在某台主机上提供哪些UDP(用户数据报协议,RFC768)服务,可以使用此选项。 -sAACK扫描,这项高级的扫描方法通常可以用来穿过防火墙。 -sW滑动窗口扫描,非常类似于ACK的扫描。 -sRRPC扫描,和其它不同的端口扫描方法结合使用。 -bFTP反弹攻击(bounce attack),连接到防火墙后面的一台FTP服务器做代理,接着进行端口扫描。 -P0在扫描之前,不ping主机。 -PT扫描之前,使用TCP ping确定哪些主机正在运行。 -PS对于root用户,这个选项让nmap使用SYN包而不是ACK包来对目标主机进行扫描。 -PI设置这个选项,让nmap使用真正的ping(ICMP echo请求)来扫描目标主机是否正在运行。 -PB这是默认的ping扫描选项。它使用ACK(-PT)和ICMP(-PI)两种扫描类型并行扫描。如果防火墙能够过滤其中一种包,使用这种方法,你就能够穿过防火墙。 -O这个选项激活对TCP/IP指纹特征(fingerprinting)的扫描,获得远程主机的标志,也就是操作系统类型。 -I打开nmap的反向标志扫描功能。 -f使用碎片IP数据包发送SYN、FIN、XMAS、NULL。包增加包过滤、入侵检测系统的难度,使其无法知道你的企图。 -v冗余模式。强烈推荐使用这个选项,它会给出扫描过程中的详细信息。 -S 在一些情况下,nmap可能无法确定你的源地址(nmap会告诉你)。在这种情况使用这个选项给出你的IP地址。 -g port设置扫描的源端口。一些天真的防火墙和包过滤器的规则集允许源端口为DNS(53)或者FTP-DATA(20)的包通过和实现连接。显然,如果攻击者把源端口修改为20或者53,就可以摧毁防火墙的防护。 -oN把扫描结果重定向到一个可读的文件logfilename中。 -oS扫描结果输出到标准输出。 --host_timeout设置扫描一台主机的时间,以毫秒为单位。默认的情况下,没有超时限制。 --max_rtt_timeout设置对每次探测的等待时间,以毫秒为单位。如果超过这个时间限制就重传或者超时。默认值是大约9000毫秒。 --min_rtt_timeout设置nmap对每次探测至少等待你指定的时间,以毫秒为单位。 -M count置进行TCP connect()扫描时,最多使用多少个套接字进行并行的扫描。目标地址可以为IP地址,CIRD地址等。如192.168.1.2,222.247.54.5/24 -iL filename从filename文件中读取扫描的目标。 -iR让nmap自己随机挑选主机进行扫描。 -p端口 这个选项让你选择要进行扫描的端口号的范围。如:-p 20-30,139,60000。 -exclude排除指定主机。 -excludefile排除指定文件中的主机。


【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3