web安全之信息收集篇
阅读原文时间:2023年07月08日阅读:3

信息收集

    网络信息就包括网站的厂商、运营商,网站的外网出口、后台、OA。

    通过域名可以查洵网站的所有人、注册商、邮箱等信息 --->Whois

    第三方查询,查询子域网如 --->DNSdumpster

    不安全因素有:

      网站中有相当多的信息,网站本身、各项安全策略、设置等都可能暴露出一些信息。

      网站本身的交互通常不囿于单个域名,会和其他子域交互。对于这种情况,可以通过爬取网站,收集站点中的其他子域信息。这些信息通常出现在JavaScript文件、资源文件链接等位置。通过域名可以进行子域名爆破,来寻找脆弱的网站来进行下一步计划。

  • *   FTP (21/TCP)

    *   默认用户名密码 `anonymous:anonymous`
    *   暴力破解密码
    *   VSFTP某版本后门
    •   SSH (22/TCP)

      • 部分版本SSH存在漏洞可枚举用户名
      • 暴力破解密码
    •   Telent (23/TCP)

      • 暴力破解密码
      • 嗅探抓取明文密码
    •   SMTP (25/TCP)

      • 无认证时可伪造发件人
    •   DNS (53/UDP)

      • 域传送漏洞

      • DNS劫持

      • DNS缓存投毒

      • DNS欺骗

      • SPF / DMARC Check

      • DDoS

        • DNS Query Flood
        • DNS 反弹
      • DNS 隧道

    •   DHCP 67/68

      • 劫持/欺骗
    •   TFTP (69/TCP)

    •   HTTP (80/TCP)

    •   Kerberos (88/TCP)

      • 主要用于监听KDC的票据请求
      • 用于进行黄金票据和白银票据的伪造
    •   POP3 (110/TCP)

      • 爆破
    •   RPC (135/TCP)

      • wmic 服务利用
    •   NetBIOS (137/UDP & 138/UDP)

      • 未授权访问
      • 弱口令
    •   NetBIOS / Samba (139/TCP)

      • 未授权访问
      • 弱口令
    •   SNMP (161/TCP)

      • Public 弱口令
    •   LDAP (389/TCP)

      • 用于域上的权限验证服务
      • 匿名访问
      • 注入
    •   HTTPS (443/TCP)

    •   SMB (445/TCP)

      • Windows 协议簇,主要功能为文件共享服务
      • net use \\192.168.1.1 /user:xxx\username password
    •   Linux Rexec (512/TCP & 513/TCP & 514/TCP)

      • 弱口令
    •   Rsync (873/TCP)

      • 未授权访问
    •   RPC (1025/TCP)

      • NFS匿名访问
    •   Java RMI (1090/TCP & 1099/TCP)

      • 反序列化远程命令执行漏洞
    •   MSSQL (1433/TCP)

      • 弱密码
      • 差异备份 GetShell
      • SA 提权
    •   Oracle (1521/TCP)

      • 弱密码
    •   NFS (2049/TCP)

      • 权限设置不当
      • showmount&nbsp;<host>
    •   ZooKeeper (2171/TCP & 2375/TCP)

      • 无身份认证
    •   Docker Remote API (2375/TCP)

      • 未限制IP / 未启用TLS身份认证
      • http://docker.addr:2375/version
    •   MySQL (3306/TCP)

      • 弱密码
      • 日志写WebShell
      • UDF提权
      • MOF提权
    •   RDP / Terminal Services (3389/TCP)

      • 弱密码
    •   Postgres (5432/TCP)

      • 弱密码
      • 执行系统命令
    •   VNC (5900/TCP)

      • 弱密码
    •   CouchDB (5984/TCP)

      • 未授权访问
    •   WinRM (5985/TCP)

      • Windows对WS-Management的实现
      • 在Vista上需要手动启动,在Windows Server 2008中服务是默认开启的
    •   Redis (6379/TCP)

      • 无密码或弱密码
      • 绝对路径写 WebShell
      • 计划任务反弹 Shell
      • 写 SSH 公钥
      • 主从复制 RCE
      • Windows 写启动项
    •   Kubernetes API Server (6443/TCP && 10250/TCP)

      • https://Kubernetes:10250/pods
    •   JDWP (8000/TCP)

      • 远程命令执行
    •   ActiveMQ (8061/TCP)

    •   Jenkin (8080/TCP)

      • 未授权访问
    •   Elasticsearch (9200/TCP)

      • 代码执行
      • http://es.addr:9200/_plugin/head/
      • http://es.addr:9200/_nodes
    •   Memcached (11211/TCP)

      • 未授权访问
    •   RabbitMQ (15672/TCP & 15692/TCP & 25672/TCP)

    •   MongoDB (27017/TCP)

      • 无密码或弱密码
    •   Hadoop (50070/TCP & 50075/TCP)

      • 未授权访问

    4.1 判断网站的操作系统

      如果敏感大小写 -->linux

      如果不敏感大小写 -->windows

    4.2 判断网站所用语言

      php/java/python通过后缀php/jsp/asp来判断

    4.3 判断网站框架

      PHP框架:ThinkPHP、Yii、Laravel、CakePHP、ZendFramework

      Python框架:Djiango、Diesel、Flask、Cubes

      java web框架:Spring、STRUCTS、Hibernate

    4.4 判断中间件

      如Apache、Nginx、IIS等,主要从报错和默认界面来判断

    4.5 判断Web容器    

      如Tomcat / Jboss / Weblogic等

    4.6 判断网站后台框架

      例如wp-admin 就是WordPress

    4.7 扫描敏感文件

      通过敏感文件扫描器,发现例如备份、mdb、robots.txt等敏感信息。推荐扫描器 -->Dirsearch

      通过资产收集来寻找更多的目标站点

      搜索引擎有:fofaGoogleshodan钟馗之眼360quake

      通过相关人员信息来生成密码字典进行爆破

      钓鱼来获得账号密码等重要信息