IP资源
真实IP获取
CDN技术:内容分发网络
为了保证网络的稳定和快速传输,网站服务商会在网络的不同位置设置节点服务器,通过CDN技术,将网络请求分发到最优的节点服务器上面。
判断CDN
- 站长工具: http://ping.chinaz.com/
- 爱站网:https: //ping.aizhan. com/
- 国外ping探测: https://asm.ca.com/en/ping. php
- nslookup域名解析
站长工具对【***.com】多地探测返回的结果,发现有【39.156.xxx.79】和【220.181.xxx.148】两个不同的IP,说明【***.com】可能使用了CDN。
绕过CDN获取真实IP
查询子域名
子域名可能跟主站在同一个服务器或者同一个C段网络中,可以通过子域名探测的方式,收集目标的子域名信息,通过查询子域名的IP信息来辅助判断主站的真实IP信息。
查询历史DNS记录
微步在线查询的【www.***.com】这个域名的历史DNS解析信息,然后分析哪些IP不在现在的CDN解析IP里面,就有可能是之前没有加CDN加速时的真实IP。
使用国外主机解析域名
探测的方式也有两种,一种是利用自己已有的国外的主机直接进行探测,另一种如果没有国外主机可以利用公开的多地ping服务,多地ping服务有国外的探测节点,可以利用国外节点的返回信息来判断真实的IP信息。
网站漏洞
利用网站存在的漏洞,信息泄露的敏感信息、文件,如phpinfo文件、网站源码文件、Github泄露的信息等都可能会将真实的IP信息泄露。
邮件信息
邮件的信息中会记录邮件服务器的IP信息,有些站点有类似于RSS邮件订阅可以发送邮件的功能,可以利用其发送的邮件,通过查看源码的方式查看真实服务器的IP信息。
旁站信息收集
旁站是与攻击目标在同一服务器上的不同网站,当攻击目标没有漏洞的情况下,可以通过查找旁
站的漏洞,通过攻击旁站,然后再通过提权拿到服务器的最高权限。
网络工具Nmap
- 扫描主机端口,嗅探所提供的网络服务
- 探测一组主机是否在线
- 推断主机所用的操作系统
第三方服务获取旁站信息
站长工具可以进行【同IP网站查询】,网址为【http://s.tool.chinaz.com/same】。通过查询
【www.***.net】网站后发现此服务器一共存在3个网站,除目标站点外还有两个旁站。
通过搜索引擎对【x.x.x.x】此IP进行搜索引擎索后,发现此IP服务器一共开启了3个Web网站.
ip:xx.xx.xx.xx
C段主机信息收集
Nmap扫描
使用命令【nmap -sn IP/24
】,对目标IP的C段主机存活扫描,根据扫描的结果可以判断目标IP的C段还有哪些主机活,然后对存活的主机进行渗透,拿到权限后进行内网渗透。
搜索引擎收集C段信息
在Google搜索引擎中输入
【site:61.x.162.*】,对【61.x.162.*】网段的C段进行信息收集,发现【61.x.162.70】、【61.x.162.76】、【61.x.162.147】等多个C段主机存活,并且都运行了Web服务。
web信息收集
指纹识别
指纹是指网站CMS指纹识别、计算机操作系统以及web容器的指纹识别等。
企业或者开发者为了能够提高开发效率,很多都会使用已有的CMS或者在此基础上做二次开发。CMS种类繁多,开发者水平参差不齐,导致CMS漏洞一度成为Web渗透的重灾区。
常见指纹检测对象
特定关键字识别
- 通过meta标签中的content字段识别WordPress
- 访问网站的首页,从返回的信息“Powered byDedeCMS”,可以判断此网站使用的CMS是DedeCMS
- 特定文件及路径识别
- 响应头信息识别
不同的CMS会有不同网站结构及文件名称,可以通过特定文件及路径识别CMS。WordPress会有特定的文件路径【/wp-admin】【/wp-includes】等,WordPress和edeCMS的【robots.txt】文件可能包含了CMS特定的文件路径,与扫描工具数据库存储的指纹信息进行正则匹配判断CMS的类型。
CMS会有一些JS、CSS、图片等静态文件,这些文件一般不会变化
可以利用这些特定文
件的MD5值作为指纹信息来判断CMS的类型。
应用程序会在响应头Server、X-Powered-By、Set-Cookie等字段中返回Banner信息或者自定义的数据字段,通过响应头返回的信息,可以对应用进行识别,有些WAF设备也可以通过响应头信息进行识别判断。当然Banner信息并一定是完全准确的,应用程序可以自定义Banner信息。
指纹识别工具
WhatWeb
Wappalyzer
Wappalyzer是一个开源的跨平台实用程序,可发现网站指纹,能够识别1200多种不同的Web技术。它可以检测CMS系统、Web框架、服务器软件等。
云悉指纹识别
敏感路径探测
敏感路径探测
通过敏感路径探测可以获取很多由于错误配置泄露的文件、默认文测试文件、备份文件等,这些文件里面可能存在数据库配置、应用程序配置等敏感信息。
- phpinfo文件
- DS文件
- 默认文件
- 测试文件
- 上传页面
- 后台登录页面
Burpsuit工具扫描
将抓到的数据包的路径设置为变量使用BurpSuite可以扫描目录,BurpSuite有Intruder模块,将抓到的数据包的路径设置为变量,将目录文件的字典添加为Payload,然后不断遍历,达到目录暴力破解的目的。
遍历完成字典中的路径后,对状态进行排序,状态码是200和301都是真实存在的路径
互联网信息收集
- 历史漏洞信息
- GitHub源代码信息泄漏
- SVN源代码信息泄漏
- 网盘文件信息
服务器信息收集
服务和端口
- 在网络中,服务是指某主机按预定的协议和一些国际标准,行业标准,向其他主机提供某种数居的支持,并且称服务的提供者为服务器(Server),称服务请求者为客户端(Client)。与生活中的服务相比,网络上的服务更强调的是协议,即双方必须具有相同的协议,才能进行交流。
- 一台主机可以安装多个服务,这些服务可以是相同的服务,也可以是不同的服务。为了区分这些服务,引入端口(Port)这个概念,即每个服务对应于一个或多个端口。端口具有独占性,一旦有服务占用了某个端口,则通常情况下,另外的服务不能在占用这个端口。
- 端口有开、关两个状态
NMAP介绍
Nmap(网络映射器)是由Gordon Lyon设计,用来探测计算机网络上的主机和服务的一种安全扫描器。为了绘制网络拓扑图,Nmap的发送特制的数据包到目标主机,然后对返回数据包进行分析。Nmap是一款枚举和测试网络的强大工具。
- 端口扫描
- 版本侦测
- OS侦测
- 高级功能
扫描结果
- open(开放的) 应用程序正在该端口接收TCP连接或者UDP报文。
- closed(关闭的) 关闭的端口对于Nmap也是可访问的,没有应用程序在其上监听。
- filtered(被过滤的) 由于包过滤阻止探测报文到达端口,Nmap无法确定该端口是否开放。
- unfiltered(未被过滤的) 未被过滤状态意味着端口可访问,但Nmap不能确定它是开放还是关闭。
- open|filtered(开放或者被过滤的) 当无法确定端口是开放还是被过滤的,Nmap就把该端口划分成这种状态。
- closed/friitered(关闭或者被过滤的) 该状态用于Nmap不能确定端口是关闭的还是被过滤的。
NMAP端口扫描
- 基本扫描
- nmap host
- nmap -T4 -A -v host
- -T 0-5(级别越搞,速度越快,越被容易发现)
- -A (Aggressive进攻性扫描出的结果比较详细
- -v (verbosity冗余)显示扫描过程中的细节
- -sT TCP connect扫描 使用TCP三次握手连接进行扫描
- – sS TCPSYN扫描(半开扫描) 特点:_一般不会在目标计算机上留下记录
- -sU 使用UDP扫描方式确定目标的UDP端口状态
- -iL target.txt扫描文件内的IP地址
- -sA TCP ACK扫描
- -sN TCP NULL扫描
- -sF TCP FIN扫描
- -F(Fast mode)快速模式,仅扫描top100端口
- -sn(Ping Scan)只进行主机发现,不进行端口扫描
- -n/-R -n表示不进行DNS解析,-R表示总是进行DNS解析
NMAP-版本侦测
- -sV开启版本侦测
- –version-intensity(O-9)默认为7,数值越高,探测出的服务越准确,越慢。
- –version-light(相当于intensity 2)
- 7–version-all(相当于intensity 9)
操作系统信息识别
Nmap使用【-O】参数来启动操作系统检测
Nmap在指纹识别时,会分别挑选一个open和closed的端口,向其发送经过精心设计的TCP/UDP/ICMP数据包,根据返回的数据包生成一份系统指纹。再将生成的指纹与nmap-os-db中的指纹进行对比,查找匹配的系统,如果无法匹配,则以概率形式列举出可能的系统。
- -O使用OS侦测–osscan-limit
- 只对确定的主机进行OS侦测(至少有一个open和一个closed端口)–osscan-guess
- 猜测被侦测主机的系统类型,准确性会下降,但会尽可能多地提供潜在的操作系统。
AWVS扫描器
Nessus系统漏洞扫描与分析软件
Hydra暴力破解
FTP通用/默认弱口令
用户名: anonymous、user、ftp、root密码: anonymous、user、 ftp、root
Tomcat
用户名:admin、manager、rolel、tomcat、both
密码: admin、manager、role1、tomcat、both
weblogic
用户名: weblogic、system、admin、WebLogic
密码: weblogic、weblogic123、WebLogic
MySQL
用户名/密码:root/root、root/123456
Hydra常用参数
- -l 登录名
- -L 登录名字典
- -p 密码破解
- -P 密码字典爆破
- -C 用户名密码字典 格式: “用户名:密码”
- -M 目标列表文件
- -s 指定非默认端口
- -t 指定爆破时的任务数量 默认为16
hydra -l root -P /usr/share/mima.txt ssh://192.168.1.2
Metasplot.
世界上最常用的渗透测试框架
Metasploit是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。
暂无评论内容