信息搜集
绕过CDN查找真实IP
- 查询历史DNS记录:SecurityTrails,viewdns
- 查询子域名:Dnsdb,crtsh,spyse,
Google site:target.com -www
- 利用SSL证书:原理:通过IP直连443端口,会暴露SSL证书,遍历0.0.0.0/0,即整个互联网,一旦找到相同的SSL证书,即找到隐藏在CDN后的IP。Censys实现对整个互联网的扫描,搜索参数:
parsed.names: target.com and tags.raw: trusted
,然后查找使用这些证书的IP:Explore -> What’s using this certificate? -> IPv4 Hosts。对于暗网网站,只需将SHA1 fingerprint
(签名证书的sha1值)粘贴到Censys IPv4主机搜索中,即可找到证书,然后同理查找使用这个证书的IP。 - 利用特征HTTP标头:Censys搜索参数:
80.http.get.headers.server:cloudflare
- 利用特征HTTP内容:Censys搜索参数:
80.http.get.body:参数
;Shadon搜索参数:https://www.shodan.io/search?query=http.html%3AUA-32023260-1
- 利用iconhash,计算favicon.ico的hash值,然后通过fofa、shadon查找
- RSS邮件订阅,网站如果自带sendmail,通过其发送的邮件源码中查找IP
- Zmap扫描:首先从APNIC(Asia-Pacific Network Information Center,亚太互联网络信息中心)获取IP段,然后使用Zmap的banner-grab扫描出来80端口开放的主机进行banner抓取,最后在http-req文件中的 Host写target.com。
- F5 LTM:服务器如果使用F5 LTM,通过
Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000
,第一小节的十进制数487098378
转为十六进制数1d08880a
,从后往前解析即为IP:0a.88.08.1d(10.136.8.29)
- 利用报错信息或其他访问功能,如上传头像是提供一个url供目标网站下载,则放置头像的访问记录中会记录目标网站的真实IP
- 针对cloudflare:crimeflare,
ping direct-target.com
基本信息搜集
1 |
|
后台查询
Breacher:python breacher.py -u example.com --type php
cangibrina:python cangibrina.py -u facebook.com --ext php
dirsearch:python3 dirsearch.py -e php -u example.com --exclude-status 403,401
旁站查询
DNS查询
godaddy.com
1 |
|
子域名扫描
subDomainsBrute
1 |
|
目录扫描
dirb
dirsearch
FUZZ扫描器
wfuzz
1 |
|
1 |
|
密码字典
社工密码字典生成工具Cupp
爬行网站获取关键信息创建密码字典工具cewl
Web环境识别
1 |
|
设备/服务组件搜索
国外:撒旦
源码泄露
1 |
|
漏洞扫描
1 |
|
WordPress漏洞扫描
1 |
|
Structs2漏洞扫描
1 |
|
Weblogic
1 |
|
内网渗透
域信息搜集
1 |
|
提取系统信息
1 |
|
用户凭据收集
1 |
|
特权提升
Linux ssid,sudo提权
Windows Potato提权
服务账户(service)默认拥有SeImpersonatePrivilege或SeAssignPrimaryTokenPrivilege特权,“Potato”家族:PetitPotato
横向移动
1 |
|
impacket
smbrelayx
1 |
|