声明:
由于笔者能力有限,难免出现各种错误和漏洞。全文仅作为个人笔记,仅供参考。
笔记内容来源于各类网课、书籍。
本章节内容来源:《Web安全攻防渗透测试实战指南》
四、收集常用端口信息
目标:
- 扫描端口,判断服务器存在的服务
1. 工具扫描
Nmap,Masscan,ZMap,御剑高速TCP端口扫描工具。
1.1?御剑高速TCP端口扫描工具
扫描的是本地搭建的服务器。
1.2 Nmap
1.3 Masscan
2. 在线工具扫描
五、指纹识别
以https://cn.wordpress.org/(WordPress中文官网)为目标测试。
目标:
- 收集 CMS指纹,OS指纹,Web容器指纹
指纹识别:
应用程序一般在html,js,css等文件中会包含一些特征码,比如wordpress在robots.txt中包含wp-admin,index.php包含generator=worpress 3.xxx,这个就是cms的指纹。
CMS:
内容管理系统、文章系统。常见的有Dedecm(织梦),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,Dvbbs,SiteWeaer,ASPCMS,帝国,Z-Blog,WordPress。
1. 工具识别
御剑Web指纹识别系统,WhatWeb,wpscan,椰树。
1.1?WhatwWeb
1.2 wpscan
1.3?御剑Web指纹识别系统
2. 在线工具识别
六、查找真实IP
目标:
- 查找到域名真实的IP
CDN:
内容分发网络,如果目标使用了CDN,我们ping目标得到的是最近的CDN服务器。
没有使用CDN,直接解析
- https://site.ip138.com/
- ping命令
1. 判断是否使用CDN
查看各个地方解析结果是否一样。
- 如果一致:极大可能没有使用CDN;
- 如果不太一样或规律性很强:查询IP的归属地,判断是否存在CDN
例如百度,使用了CDN。不同的地方请求到的IP不一样。
例如下面的某个网站,各个地方请求到IP一样。
2. 绕过CDN
- 内部邮箱源。邮件系统一般在内部,不经CDN解析,通过查看邮件中的信息(邮件服务器域名ip)
- 扫描网站测试文件。 入如phpinfo,test等,从而找到目标真实的ip
- 分站域名。 分站可能没有使用CDN,通过对二级域名进行ping,可能出现分站和主站不是同一个IP但在同一个C段的情况
- 国外访问。 国内的CDN对国内用户加速,而国外的CDN不一定。
- 查询域名解析记录。 目标也许很久之前没有使用CDN,查询域名历史的IP解析。https://www.netcraft.com/
- 如果网站有自己的APP,使用抓包软件拦截APP请求,找到IP
- 绕过CloudFlare CDN查找真实IP。 使用在线网站Cloud FlareWatch对CloudFlare客户网站进行真实IP查询。http://www.crimeflare.org:82/cfs.html
3. 验证获取的IP
- 如果是Web,直接使用浏览器访问,查看页面返回的信息是否同域名访问的一致
- 如果目标段比较大,使用Masscan扫描该段中开了:80,443,8080端口的ip,依次尝试
七、收集敏感目录文件
目标:
- 探测Web目录结构和敏感文件
1. 工具
DirBuster,御剑后台扫描珍藏版,wwwscan,Spinder.py,SensitiveFileScan,WeakFileScan
1.1?御剑后台扫描珍藏版
1.2?DirBuster
1.3 wwwscan
2. 在线扫描
略...
八、社会工程学
目标:
- 对目标内成员进行社工
- 利用社工库进行信息收集
主要对某些人员进行社工,获取有价值的信息。如果有可以利用的社工库,能大大降低难度。
附(常见端口和攻击方式):
来源:《Web安全攻防渗透测试实战指南》第一章
1、文件共享服务端口
| 端口号 | 端口说明 | 攻击方向 |
| 21/22/69 | ftp/tftp文件传输协议 | 允许匿名上传、下载、爆破和嗅探操作 |
| 2049 | Nfs服务 | 配置不当 |
| 139 | Samba服务 | 爆破、文授权方文、远程代码和执行 |
| 389 | Ldap目录访问协议 | 注入、允许匿名访问、弱口令 |
2、远程连接服务端口
| 端口号 | 端口说明 | 攻击方向 |
| 22 | SSH远程连接 | 爆破、SSH隧道及内网代理转发、文件传输 |
| 23 | Telnet远程连接 | 爆破、嗅探、弱口令 |
| 3389 | Rdp远程桌面连接 | Shift后门(需要Windows server2003以下的系统)、爆破 |
| 5900 | VNC | 弱口令爆破 |
| 5632 | Pyanywhere服务 | 抓密码、代码执行 |
3、Web应用服务端口
| 端口号 | 端口说明 | 攻击方向 |
| 80/443/8080 | 常见的web服务端口 | Web攻击、爆破、对应服务器版本漏洞 |
| 7001/7002 | Weblogic控制台 | Java反序列化、弱口令 |
| 8080/8089 | Jboss/resin/jetty/Jenkins | 反序列化、控制台弱口令 |
| 9090 | Websphere控制台 | Java反序列化、弱口令 |
| 4848 | Glassfish控制台 | 弱口令 |
| 1352 | Lotus domino邮件服务 | 弱口令、信息泄露、爆破 |
| 10000 | Webmin-web控制面板 | 弱口令 |
4、数据库服务端口
| 端口号 | 端口说明 | 攻击方向 |
| 3306 | MySQL | 注入、提权、爆破 |
| 1433 | MSSQL数据库 | 注入、提权、SA弱口令 |
| 1521 | Oracle数据库 | TNS爆破、注入、反弹shell |
| 5432 | PostgreSQL数据库 | 爆破、注入、弱口令 |
| 27017/27018 | MongoDB | 爆破、未授权访问 |
| 6379 | Redis数据库 | 可尝试未授权访问、弱口令爆破 |
| 5000 | Sysbase/DB2数据库 | 爆破、注入 |
5、邮件服务端口
| 端口号 | 端口说明 | 攻击方向 |
| 25 | SMTP邮件服务 | 邮件伪造 |
| 110 | Pop3协议 | 爆破、嗅探 |
| 143 | IMAP协议 | 爆破 |
6、网络常见协议端口
| 端口号 | 端口说明 | 攻击方向 |
| 53 | DNS域名系统 | 允许区域传送、DNS劫持、缓存投毒、欺骗 |
| 67/68 | DHCP服务 | 劫持、欺骗 |
| 161 | SNMP协议 | 爆破、搜集目标内网信息 |
7、特殊服务端口
| 端口号 | 端口说明 | 攻击方向 |
| 2181 | Zookeeper服务 | 未授权访问 |
| 8069 | Zabbix服务 | 远程执行、SQL注入 |
| 9200/9300 | Elasticsearch服务 | 远程执行 |
| 11211 | Memcache服务 | 未授权访问 |
| 512/513/514 | Linux rexee服务 | 爆破、rlogin登录 |
| 873 | Rsync服务 | 匿名访问、文件上传 |
| 3690 | SVN服务 | SVN泄露、未授权访问 |
| 50000 | SAP Management Console | 远程执行 |