目录导航
测试 Web 应用程序/网络,在我们测试目标上的漏洞之前,渗透测试中信息收集是否重要?
我们将收集什么样的信息来进行渗透测试?
- whois 查找[收集有关注册公司的信息及其用于资产查找的电子邮件]
- 横向领域相关性[为公司寻找更多横向领域/寻找收购信息]
- 子域枚举/垂直域关联[查找漏洞/安全问题并收集目标资产]
- ASN查找【使用asn号码发现公司更多资产】
- 目标可视化/网络屏幕截图[也称为视觉侦察,以查看目标的外观是否可视化,是否有可测试的功能]
- 爬取和收集页面链接 [爬取子域以获取域的链接和 url]
- Javascript Files Crawling [以查找敏感信息,如 api 密钥 auth 密钥、普通信息等]
- 参数发现[扫描注入类型漏洞或其他安全问题]
- 子域Cname提取[检查是否有任何域指向第三方服务,我们可以使用这些信息进行子域接管]
- 域/子域版本和技术检测[映射下一个漏洞扫描步骤]
- 敏感信息发现【利用搜索引擎查找目标敏感信息】
Whois 查询
检查本站注册人注册的其他网站(反查注册人、邮箱、电话),深入调查目标网站。
whois ddosi.org
此命令将向您显示 ddosi.org 的 whois 结果,whois 扫描结果的输出将包含名称服务器注册人电子邮件、组织名称等信息,我们可以使用这些信息反向 whois 查找以查找目标公司的更多资产。
我们只需使用 grep 和 regex 就可以从这里过滤出电子邮件。
whois $domain | grep "Registrant Email" | egrep -ho "[[:graph:]]+@[[:graph:]]+"
水平域相关/收购
大多数时候我们关注子域,但他们忽略了另一半,即水平域相关。水平域相关是查找其他域名的过程,这些域名具有不同的二级域名但与同一实体相关。[ 0xpatrik ]
首先,让我们考虑一下。我们不能像上一步那样依赖句法匹配。潜在的,abcabcabc.com和cbacbacba.com可以由同一实体所拥有。但是,它们在语法上并不匹配。为此,我们可以使用之前从 whois 结果中收集电子邮件的 whois 结果进行反向 whois 搜索。有很多网站可以做反向whois查询。现在让我们使用我们使用此 oneliner 收集的电子邮件进行反向 whois 查找。
whois $domain | grep "Registrant Email" | egrep -ho "[[:graph:]]+@[[:graph:]]+"
---------------------------------------------------------
https://viewdns.info/reversewhois/
https://domaineye.com/reverse-whois
https://www.reversewhois.io/
多次访问网站和查找是浪费时间,因此我创建了一个 bash 脚本来使用 cli 中的 bash 进行此搜索操作。
#!/usr/bin/bash
domain=$1
email=$(whois $domain | grep "Registrant Email" | egrep -ho "[[:graph:]]+@[[:graph:]]+")
curl -s -A "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36" "https://viewdns.info/reversewhois/?q=$email" | html2text | grep -Po "[-a-zA-Z0-9@:%._\+~#=]{1,256}\.[a-zA-Z0-9()]{1,6}\b([-a-zA-Z0-9()@:%_\+.~#?&//=]*)" | tail -n +4 | head -n -1
子域枚举
在为我们的目标公司收集相关域名信息后,我们的第一步是为这些收集的域枚举子域。我们可以将枚举过程分为一种是被动枚举一种是主动枚举。在被动枚举过程中,我们将使用工具从网站的不同来源收集子域,这些工具在主动枚举过程中从 [hackertarget 、virustotal、threakcrowd、cert.sh 等] 等来源收集子域,我们将对所有目标使用单词列表域以生成排列列表并解析它们以检查目标的哪些是活动的和有效的子域。
被动枚举
互联网上有很多工具可以被动地收集子域。
我们还可以使用 dorks 示例使用谷歌搜索找到子域:
site:ddosi.org
从 google 收集子域看起来很复杂,我们可以使用 bash 使其成为基于 cli 的脚本,
#!/usr/bin/bash
domain=$1
agent="Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36"
curl -s -A $agent "https://www.google.com/search?q=site%3A*.$domain&start=10" | grep -Po '((http|https):\/\/)?(([\w.-]*)\.([\w]*)\.([A-z]))\w+' | grep $domain | sort -u curl -s -A $agent "https://www.google.com/search?q=site%3A*.$domain&start=20" | grep -Po '((http|https):\/\/)?(([\w.-]*)\.([\w]*)\.([A-z]))\w+' | grep $domain | sort -u curl -s -A $agent "https://www.google.com/search?q=site%3A*.$domain&start=30" | grep -Po '((http|https):\/\/)?(([\w.-]*)\.([\w]*)\.([A-z]))\w+' | grep $domain | sort -u curl -s -A $agent "https://www.google.com/search?q=site%3A*.$domain&start=40" | grep -Po '((http|https):\/\/)?(([\w.-]*)\.([\w]*)\.([A-z]))\w+' | grep $domain | sort -u或者你可以使用来自darklotuskdb的这个很棒的工具
结果将是这样的
或者我们也可以使用 shodan 查找目标域的子域。 shodan 查询将类似于。
hostname:"ddosi.org"
或者我们可以从 cli 做同样的事情
shodan init your_api_key #设置你的api key
shodan domain domain.tld
让我们看看一些在线用户,它们将帮助我们枚举来自不同来源的子域
证书文件
curl -s "https://crt.sh/?q=%25.target.tld&output=json" | jq -r '.[].name_value' | sed 's/\*\.//g' | sort -ucurl -s "https://riddler.io/search/exportcsv?q=pld:domain.com" | grep -Po "(([\w.-]*)\.([\w]*)\.([A-z]))\w+" | sort -u
curl "https://subbuster.cyberxplore.com/api/find?domain=domain.tld" -s | grep -Po "(([\w.-]*)\.([\w]*)\.([A-z]))\w+"
certspotter
curl -s "https://certspotter.com/api/v1/issuances?domain=domain.com&include_subdomains=true&expand=dns_names" | jq .[].dns_names | tr -d '[]"\n ' | tr ',' '\n'
SAN [主题备用名称] 域提取
这些是收集子域的源的小样本,现在让我们了解基于 SAN 的子域枚举 SAN 代表主题备用名称,主题备用名称 (SAN) 是 X.509 规范的扩展,允许为单个 SSL 证书。
让我们编写一个 Bash 脚本来使用 openssl 从 ssl 证书中提取域名。
sed -ne 's/^\( *\)Subject:/\1/p;/X509v3 Subject Alternative Name/{
N;s/^.*\n//;:a;s/^\( *\)\(.*\), /\1\2\n\1/;ta;p;q; }' < <(
openssl x509 -noout -text -in <(
openssl s_client -ign_eof 2>/dev/null <<<$'HEAD / HTTP/1.0\r\n\r' \
-connect sony.com:443 ) ) | grep -Po '((http|https):\/\/)?(([\w.-]*)\.([\w]*)\.([A-z]))\w+'使用 cloudflare 的 Dns 枚举
wget https://raw.githubusercontent.com/appsecco/bugcrowd-levelup-subdomain-enumeration/master/cloudflare_enum.py
#登录到cloudflare网站: https://www.cloudflare.com/login
#添加网站到你的账户中: https://www.cloudflare.com/a/add-site
# 将目标域作为要添加的站点提供
#等待cloudflare挖掘DNS数据并显示结果
python cloudflare_enum.py [email protected] target.tld一直以来,我都在谈论和展示 oneliner 关于被动收集子域的单一来源,但是这些工具有很多工具使用所有这些来源来收集子域并过滤独特的,这就是我们获得如此多子域的方式。
资产查找器|Assetfinder
go get -u github.com/tomnomnom/assetfinder #下载资产查找器
assetfinder --subs-only domain.tld # 枚举子域
子域查找器|Subfinder
下载 https://github.com/projectdiscovery/subfinder/releases/tag/v2.4.8subfinder -d domain.tld --silent
findomain
findomain 因其速度和准确的结果而广为人知,大多数情况下,这些工具如 subfinder、findomain、assetfinder [passive subdomain enumerators] 使用相同的过程相同的 api,使用所有这些工具的优点是不会错过被动收集的子域。
下载
https://github.com/Findomain/Findomain/releases/tag/5.0.0
findomain -t target.tld -q
我们可以使用更多的替代方法来被动地收集子域,大多数时候这些工具使用相同的 api 相同的源来收集子域。
主动枚举
在主动枚举过程中,首先我们将使用我们的词表置换我们收集的域,您可以使用sec-lists 中的任何词表,jhaddix-all.txt。要获得大部分子域,我建议您使用包含更多单词的大词表来排列更多子域。有可用的工具可以像amass一样同时进行排列和解析。但是这个集合有一些问题,我们要跳过它。我将向您展示我用来生成 dns 词表的工具。
GoAltdns 是一种排列生成工具,可以获取子域列表,使用单词列表排列它们,插入索引、数字、破折号,并增加您找到在漏洞赏金或渗透测试期间没有人发现的神秘子域的机会。它使用多种技术来实现这一点。
您可以使用Gotator作为它的替代品。
在生成排列之后,我们的第一个任务是解析它们以过滤此技术的活动子域,我们将使用massdns,您也可以使用puredns。我们可以使用这个resolvers.txt。现在我们的第一个任务是混合我们使用被动扫描和排列收集的所有子域。
cat passive-subs.txt perm.txt | sort -u | tee -a all-sub.txt
Massdns
massdns -r resolvers.txt -t AAAA -w result.txt all-sub.txt
现在让我们合并两个工具goaltdns和massdns
goaltdns -h site.com -w all.txt | massdns -r resolvers.txt -t A -w results.txt -它将直接从goaltdns 获取输出并解析它。
这个是我最喜欢的,它可以同时置换和解析。
或者我们可以使用 nmap 对子域进行暴力破解
Nmap
nmap --script dns-brute --script-args dns-brute.domain=uber.com,dns-brute.threads=6
并且有中文网站为我们做子域的暴力破解工具
在主动和被动收集所有子域后,我们的第一个任务是探测它们以检测这些域是否使用 http 或 https。我们可以使用httprobe。
ASN 查询
有很多方法可以找到公司的asn号码,asn号码将帮助我们检索目标互联网资产。我们可以使用 dig 和 whois 找到一家公司的 asn 号码,但大多数情况下,它们会给你一个托管服务提供商的 asn 号码。
但是你可以找到一家云公司,因为他们托管在他们的服务器上。
示例:google.com
现在让我们跳过那些无用的谈话,我们可以使用名为 asnlookup.com 的免费 api 提取目标公司的 asn ipdata。
http://asnlookup.com/api/lookup?org=starlink
提取其 ip 范围后,只需从中选择一个不带子网的 ip 并将其粘贴
whois -h whois.cymru.com 1.1.1.1
它会给你目标公司的asn号码。
您可以使用 curl 或我的 python3 脚本来使用 api
import requests
import json
def asn_lookup(company):
headers = {
'User-Agent': 'ASNLookup PY/Client'
}
asn_db=requests.get(f'http://asnlookup.com/api/lookup?org={company}',headers).text
print(f'{Fore.GREEN}[+] {Fore.WHITE}ASN Lookup Result For {company}')
print('')
asndb_load=json.loads(asn_db)
for iprange in asndb_load:
print(iprange)
asn_lookup('company_name')那么我们在哪里可以使用这个asn号码?
我们可以在 shodan 等黑客搜索引擎上使用这个 asn 号来获取更多关于目标公司内部网络的提取信息。
Shodan
asn:AS50494
Censys
autonomous_system.asn:394161
目标可视化/网络截图
在枚举子域/域之后,我们需要可视化这些目标以查看使用界面的样子,主要是子域是否泄漏了任何重要信息或数据库。有时在域/子域枚举中,我们得到了 2k-10k 子域,要访问所有这些域名这是不可能的,需要 30-40 多个小时,有许多工具可以从子域列表中截取这些子域的图片。
它非常快,不需要任何外部依赖。
备选方案:-
Eyewitness
[下载eyewitness] https://github.com/FortyNorthSecurity/EyeWitness ./EyeWitness -f subdomains.txt --web
Webscreenshot
[下载webscreenshot] pip3 install webscreenshot webscreenshot -i subdomains.txt
抓取和收集页面链接
一个 url 或 pagelinks 包含许多信息。有时这些页面链接包含一些敏感信息披露的参数、端点等。有很多工具可用于抓取或收集页面链接。
它是一个基于 golang 的爬虫,以其速度而闻名。它还可以从页面中收集子域,这就是我最喜欢它的原因。URL 是通过抓取应用程序、解析 robots.txt 文件和解析 sitemap.xml 文件来提取的。
现在让我们看看那些被动链接提取器,这些提取器使用alien-vault、waybackurls 等来收集页面链接。
这个使用archive.org 的回溯引擎来收集页面链接。
Javascript 文件抓取/从js中提取敏感数据
它与网站抓取没有什么不同,我们可以从这些抓取工具中收集 javascript 文件。
我们可以使用之前讨论过的gospider从网页中抓取 javascript 文件
gospider -s http://www.ddosi.org --js --quiet
或者我们可以使用 Waybackurls/gau 来收集 javascript 文件。
echo starlink.com | gau | grep '\.js$' | httpx -status-code -mc 200 -content-type | grep 'application/javascript' or gau target.tld | grep "\\.js" | uniq | sort -u waybackurls targets.tld | grep "\\.js" | uniq | sort
或者我们可以使用众所周知的流行工具来收集js文件
cat subdomains | getJS --complete
或使用我的 Python3 脚本从网页中收集 js
#!/bin/bash
import requests
from bs4 import BeautifulSoup as bs
from urllib.parse import urljoin
def js(domain):
session = requests.Session()
session.headers["User-Agent"] = "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36"
html = session.get(domain).content
soup = bs(html, "html.parser")
script_files = []
for script in soup.find_all("script"):
if script.attrs.get("src"):
script_url = urljoin(domain, script.attrs.get("src"))
script_files.append(script_url)
for js_file in script_files:
print(js_file)
js('https://target.com')收集完 javascrip 文件后,我们的首要任务是从 javascript 文件中找到敏感信息,敏感信息可能与 api 密钥、身份验证令牌、活动 cookie 等相关信息。
您可以使用此方法获取 api 密钥
[查看列表] https://github.com/System00-Security/API-Key-regex cat file.js | grep API_REGEX
或使用Secretfinder
有时这些 javascript 文件还包含端点,我们可以使用 bash 提取这些端点。
cat file.js | grep -aoP "(?<=(\"|\'|\`))\/[a-zA-Z0-9_?&=\/\-\#\.]*(?=(\"|\'|\`))" | sort -u
或者我们可以使用Relative-url-extractor
cat file.js | ./extract.rb
参数发现
Web 应用程序使用参数(或查询)来接受用户输入。我们可以在 xss、sql、lfi、rce 等参数上测试一些漏洞。
[下载arjun] pip3 install arjun arjun -i subdomains.txt -m GET -oT param.txt #for multiple target arjun -u target.com -m GET -oT param.txt #单个目标 [-m ] parameter method [-oT] text format output # 你可以使用arjun -h查看更多参数
或者我们可以使用暴力方法使用Parameth进行参数发现。
子域 Cname 提取
提取子域的 cname 对我们查看这些子域中的任何一个是否指向其他托管/云服务很有用。以便稍后我们可以测试接管。
我们可以通过使用 dig 来做到这一点
dig CNAME 1.github.com +short
所以我们有多个子域,我们可以使用 xargs 使多任务自动化
cat subdomains.txt | xargs -P10 -n1 dig CNAME +short
在这些 cname 文件中,我们将过滤这些 cname,例如
“\.cloudfront.net” “\.s3-website” “\.s3.amazonaws.com” “w.amazonaws.com” “1.amazonaws.com” “2.amazonaws.com” “s3-external” “s3-accelerate.amazonaws.com” “\.herokuapp.com” “\.herokudns.com” “\.wordpress.com” “\.pantheonsite.io” “domains.tumblr.com” “\.zendesk.com” “\.github.io” “\.global.fastly.net” “\.helpjuice.com” “\.helpscoutdocs.com” “\.ghost.io” “cargocollective.com” “redirect.feedpress.me” “\.myshopify.com” “\.statuspage.io” “\.uservoice.com” “\.surge.sh” “\.bitbucket.io” “custom.intercom.help” “proxy.webflow.com” “landing.subscribepage.com” “endpoint.mykajabi.com” “\.teamwork.com” “\.thinkific.com” “clientaccess.tave.com” “wishpond.com” “\.aftership.com” “ideas.aha.io” “domains.tictail.com” “cname.mendix.net” “\.bcvp0rtal.com” “\.brightcovegallery.com” “\.gallery.video” “\.bigcartel.com” “\.activehosted.com” “\.createsend.com” “\.acquia-test.co” “\.proposify.biz” “simplebooklet.com” “\.gr8.com” “\.vendecommerce.com” “\.azurewebsites.net” “\.cloudapp.net” “\.trafficmanager.net” “\.blob.core.windows.net”域/子域版本和技术检测
扫描域/子域版本和技术很重要,这样我们就可以创建漏洞检测模型,我们将如何接近目标站点。
Wappalyzer
它是一个流行的技术和版本检测工具,有 chrome 扩展,以便我们可以看到我们正在访问的网站它的使用的技术。
[安装wappalyzer] npm i -g wappalyzer wappalyzer https://uber.com #单个域名 cat subdomain.txt | xargs -P1 -n1 wappalyzer | tee -a result
WAD [Web application detector]
敏感信息发现
某些目标无意中包含敏感信息,如数据库转储、站点备份、数据库备份、调试模式泄漏等。有时搜索引擎如 google、shodan、zoomeye、leakix 包含站点的某些敏感信息或泄漏某些内容。
扫描 Web 应用程序备份
我们可以使用 ffuf 对数据库转储进行模糊测试,使用常用词表来扫描数据库转储。我们将使用这个词表进行模糊测试。
对于带有 ffuf 的多个 url,我们可以使用 xargs 来做到这一点,但子域应该在域的末尾包含 /FUZZ。
cat subdomains | xargs -P1 -n1 ffuf -w backup.txt -mc 200,403 -u
我们正在过滤 200,403 响应,因为有一些方法可以绕过未经授权的 403,
403bypass,绕过4xx,下载403bypass的源码_GitHub_酷徒绕过 4xx 。
内容发现词表
Content-discovery wordlist
谷歌|Google
我们都知道众所周知的快速和流行的搜索引擎是 google.com,该搜索引擎收集和索引大部分表面网络上可用的网站,因此我们可以使用它来查找有关域的敏感信息。我们将使用 google 高级搜索,也称为 dorking。
公开曝光的文件
site:target.tld ext:doc | ext:docx | ext:odt | ext:rtf | ext:sxw | ext:psw | ext:ppt | ext:pptx | ext:pps | ext:csv
目录列表
site:target.tld intitle:index.of
暴露的配置文件
site:target.tld ext:xml | ext:conf | ext:cnf | ext:reg | ext:inf | ext:rdp | ext:cfg | ext:txt | ext:ora | ext:ini | ext:env
对于自动化流程,我们可以使用uDork,
uDork 是一个用 Bash Scripting 编写的脚本,它使用先进的谷歌搜索技术来获取敏感信息
Github 侦察
许多目标都有 github 存储库,其中一些是开源项目,有时那些 github 代码项目会泄露许多服务的私有 api 密钥,或者有时源代码会公开一些敏感的东西,这就是为什么 github 不仅是代码库,而且还是黑客的 pii 库。您可以在 github 上进行侦察 2 方式,一种是手动方式,一种是自动方式,使用 github dorking 工具。
Github Recon 可帮助您更轻松地找到 PII。
Shodan Recon
shodan 是最有用的黑客搜索引擎,您可以从 shodan 中找到许多有关目标的敏感和重要信息,例如 google 和 github shodan 也有高级搜索过滤器,可帮助我们找到有关确切目标的确切信息。
Shodan dorks
我们可以使用这些过滤器创建一个完美的查询来搜索 shodan 上的漏洞或敏感信息。
hostname:uber.com html:"db_uname:" port:"80" http.status:200 # 这将找到我们的资产uber.com与db_uname:状态响应代码为200 http.html:/dana-na/ ssl.cert.subject.cn:"uber.com" #这将为我们找到可能的CVE-2019-11510脉冲VPN html:"horde_login" ssl.cert.subject.cn:"uber.com" # 这将找到我们的 Horde Webamil可能CVE 2018-19518 We can Repet the second 2 process also with product filter Ex: product:"Pulse Secure" ssl.cert.subject.cn:"uber.com" http.html:"* The wp-config.php creation script uses this file" hostname:uber.com # 这将发现开放的wp-config.php文件,其中可能包含敏感凭证
假设我们知道 apache 2.1 的一个活跃漏洞,手动检查我们的哪个目标子域正在使用 apache 2.1 会花费我们时间和大脑,为此我们可以在 shodan 上创建一个 dork 来帮助我们解决这个问题,例如:服务器: “apache 2.1” hostname:” target.com ” 我们可以使用 ssl.cert.subject.cn:”target.com” 替换主机名以获得更准确的 target.com 结果,这将检查目标主机/服务器是否在其 ssl 上包含 target.com。
leaix 是最被低估的泄漏和配置错误搜索引擎,它可以找到 .git .env phpinfo() 和许多其他文件的泄漏。您可以直接从浏览器使用它或使用它的客户端。
您可以使用我的基于 python3 的客户端,它直接从网络获取结果
import requests
from bs4 import BeautifulSoup
from colorama import Fore, Style
def leakix_search(ip):
get = requests.get(f'https://leakix.net/host/{ip}')
comp = BeautifulSoup(get.content, 'lxml')
search = comp.find_all('pre',class_="rounded p-1 wrap")
for data in search:
print(f'{Fore.RED}[+]{Fore.WHITE} {ip} {Fore.RED}[LEAK]{Fore.WHITE}')
print()
print(Fore.CYAN+data.get_text()+Fore.WHITE)
leakix_search('your_target_ip')您可以将所有子域主机名转换为 ip,然后使用它们开始批量扫描,或者从 asn 收集 CIDR/Ip 范围并开始扫描以查找泄漏。
[像专业人士一样进行侦察的简单方法]
转载请注明出处及链接