常见服务端口
| 服务 | 端口 |
|---|---|
| web | 80 |
| MySQL | 3306 |
| SQL Server | 1433 |
| HTTPS | 443 |
| FTP | 21 |
| SSH | 22 |
| DNS | 53 |
| Tomcat | 8080 |
| Redis | 6379 |
| Rsync(数据同步备份工具) | 873 |
| PostgreSQL | 5432 |
| Cobaltstrike TeamServer | 50050 |
| SMTP | 25 |
| POP3 | 110 |
| RDP(远程终端) | 3389 |
| SMB | 445 |
| RPC | 135 |
| IMAP | 143 |
| NetBIOS | 139 |
| SMTPS | 465 |
| POP3S | 995 |
| MongoDB | 27018 |
| Memcached | 11211 |
| Telnet | 23 |
| Oracle | 1521 |
1. 简介
渗透的本质是信息收集 (资产收集)
信息收集主要收集内容:
- 网站的域名信息
- 子域名信息
- 目标网站信息
- 目标网站真实IP
- 敏感/目录文件
- 开放端口
- 中间件信息
2. 信息收集分级
是一个树形拓扑的信息收集链。
2.1 一级资产
直接资产(从大方向考虑),一般分两类
技术类
服务器信息(真实IP、系统类型、版本、开放端口、WAF、中间件信息)
网站信息(CMS、CDN、证书、DNS记录、Google hacking、敏感目录、传输协议、通用漏洞、exp等)
Whios信息(姓名、备案、邮箱、电话反查)
子域名信息(旁站、C段)
个人及公司信息(Github、微博、公众号、VPN、私有域名/APP、各种三方平台)
非技术类
- 公司核心人员信息
- 职位信息
- 股权分析
- 运营分析
- 签名、商标
以“直接面相对象过程”的核心思想,围绕目标进行“多维度”的信息搜集。
2.2 二级资产
围绕以及资产向下排查(由一级资产发散到个体)
- 目标所有一级域名的C段
- 目标所有存活资产的1-65535端口信息
- 目标历史非存活 资产,例如:网络时光机
- 目标所有域名的向下第三方资源/资产排查
- 目标关键人物(股权架构 )的第三方信息,如mail、微信、百度网盘等
- 第三方平台(高频互动 ),如:BOSS直聘、脉脉
- 目标人物的私有域名/APP
- 关键人物泄漏的Github信息
- 关机人物微博、公众号信息
- 邮箱反查、注册人反查
二级资产一定要以“化线为点”思想来发散思路,在搜集的过程中,务必要清晰清楚的隔离开”一级资产“,简单的概括:搜集一级资产,也就是线的过程中,务必且一定放弃”点“的信息,也就是能量化的信息。搜集二级资产,也就是点的过程中,务必且一定要放弃”线“的信息。思想分离开,行动也一定要分离开。
2.3 上游资产
“上游资产”与“下游资产”最大的区别在于“产业结构分析”与“股权结构分析”。
主要分析其参股公司:
A:业务分类
B:盈利分类
目的
为了二级资产筛选减少工程量
何为业务分类
既参股控股公司的主营业务是否与目标一致或一个方向。
例如:参股控股公司业务是餐饮类,而目标主营业务是IT类,那么就不符合“上游资产”
例如:参股控股公司是IT大类,而目标主页业务是IT大类其中某个分支,例如分支为网络安全为主营方向。这里就需要继续分析两者关联性。
何为盈利分类
既参股控股公司的盈利方式,是属于“非盈利”或“纯盈利”
例如:参股控股公司是某“非盈利”,而目标则是盈利公司,那么就不符合“上游资产”
例如:参股控股公司是某“纯盈利”机构,(如:XXX投资机构,XXX投资基金),那么就不符合“上游资产”
2.4 下游资产
排查与分析”下游资产”时,它又分为两类,既:
A:直接下游资产
B:间接下游资产
何为”直接下游资产”
“直接下游资产”的公司与目标直接参与参股控股,一般为80%——100%的投资比例,也就说为”下游资产”的大股东,或者完全控股子公司,其”下游资产”的产业为目标延伸产业互补或者是相同。也需重点关注目标公司实控人的”其他公司”是否有资金往来,业务往来,间接往来关系。
何为”间接下游资产”
“间接下游资产”的公司非与目标间接参与参股控股,或者是小比例的投资比例,非大股东,或者非实际控股,非子公司,其”间接下游资产”的主营产业也不符合目标公司的延申产业或者非互补产业。
3. 对公司集团的信息收集
- 备案号
- 备案名
- 与公司相关的域名
- 域名下的网站
- CMS识别
- 判断网站类型
- 原创开发/二次开发
- IP分布
- 服务器信息
- 线上业务
- 业务相关系统
- 企业邮箱
- 边界
- 设备
- VPN
- 防火墙类型
- 社工客户、销售、脉脉、招聘、HR、QQ、钉钉、微信、群长期蹲点获取社交关系网
- 网络空间搜索:github、Google hacking、Sohdan、钟馗之眼
4. 收集方法
子域名查询
包括办公系统、邮箱系统、论坛、商城、后台也有可能出现在子域名中
方法
百度搜索语法
Google hacking
FOFA
domain="baidu.com"
钟馗之眼
子域名扫描工具SubDomainBrute(爆破字典)
- 安装
pip insatll aiodns - 运行命令
subDomainBrute.py baidu.com/subDomainBrute.py baidu.com --full -o baidu.txt
- 安装
子域名扫描工具Sublist3r(字典强大)
参数 含义 -d 指定主域名枚举子域名 -b 调用sub brute暴力枚举子域名 -p 指定tcp端口扫描子域名 -v 显示实时详细信息结果 -t 指定线程 -e 指定搜索引擎 -o 保存结果到文本 -n 输出不带颜色 默认参数扫描子域名
python sublist3r.py -d baidu.com使用暴力枚举子域名
python sublist3r.py -b -d baidu.com
域名的类型
A记录、别名记录(CNAME)、MX记录、TXT记录、NS记录
1. A记录
是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的网站服务器指向自己的WebServer上,同时也可以设置域名的二级域名。
2. 别名(CNAME)记录
例如:
有台计算机名为:host.mydomain.com (A记录)
同时提供mail和www服务,为了便于用户访问。设置了两个CNAME别名:WWW和MIAL
这两个别名全称都是www.mydomain.com和mail.mydomain.com,实际上都指向host.mydoamin.com
通过这个记录运行你将多个域名映射到同一台服务器。通常用于同时提供WWW和MAIL服务的计算机.
别名服务介于客户端与之间 ,所以只需要修改A记录,就可以修改别名的访问指向。
检测别名
1 | nslookup -q=cname |
3. MX(MailExchanger)记录
只要存在@符号,后面的即为邮件服务器的MX记录
是邮件交换记录,指向一个邮件服务器,用户电子邮件系统发送邮件时根据收信人的地址后缀来定位邮件服务器。
4.TXT记录
TXT记录一般指为某个主机名或域名设置的说明,格式一般是:
main IN TXT "邮件主机,存放在XX,管理人:AAAA"
Jim IN TXT "contact:abc@mailserver.com"
TXT记录就是个人设置的TXT方便别人联系到自己。
5. NS(Name Server)记录
NS记录全称为Name Server是一种域名服务器记录,用来明确当前你的域名是由哪个DNS服务器来进行解析的。
