# penetrationLean **Repository Path**: csharphpython/penetrationLean ## Basic Information - **Project Name**: penetrationLean - **Description**: 我的渗透学习笔记 - **Primary Language**: Unknown - **License**: Not specified - **Default Branch**: master - **Homepage**: None - **GVP Project**: No ## Statistics - **Stars**: 1 - **Forks**: 0 - **Created**: 2021-10-17 - **Last Updated**: 2024-05-11 ## Categories & Tags **Categories**: Uncategorized **Tags**: None ## README ## 信息收集 公司和个人网站是信息的重要来源,查看公司的LinkedIn个人资料,以确定高级经理,董事和非技术人员。 很多时候,最薄弱的密码属于许多公司的管理人员。 搜索公司网站上的“关于我们”页面也可以找到薄弱的目标。 ``` IP地址段 域名信息 邮箱 文档图片数据 公司组织架构 联系电话传真 人员姓名/职务等信息 目标系统使用的技术 公开的商业信息 ``` ### whois ``` https://wq.apnic.net/static/search.html http://littlegreenfootballs.com/nqt.php?target=148.163.164.12 #这个能查edu这种域名 http://whois.chinaz.com/reverse #反差邮箱 https://www.reversewhois.io #反查邮箱,如果目标有邮服。比如@baidu.com 效果不错 https://domaineye.com/ #反差邮箱注册人 ``` ### 子域名采集 不要嫌麻烦,每个方法都要试一遍。可能试完所有的方法也就比爆破的多一两个,但那多出来的子域名很大可能就是突破口。 ``` - 域传送漏洞 `nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=http://test.com -p 53 -Pn 192.168.5.6` - 暴力猜解(常见域名字典、根据企业特点对字典做变形、循环遍历多级域名) https://phpinfo.me/domain/ #在线爆破 https://subdomainfinder.c99.nl #在线查找 https://github.com/lijiejie/subDomainsBrute #子域名爆破 https://github.com/p1g3/JSINFO-SCAN #爬取js采集子域名 https://github.com/aboul3la/Sublist3r #子域名采集 https://github.com/Screetsec/Sudomy #这个集合各大开源平台,省时省力 https://github.com/devanshbatham/ArchiveFuzz #从 Web archiving 收集子域名,邮箱 http://dns.bufferover.run/dns?q=baidu.com #opendata.rapid7 - SSL证书信息 https://censys.io/certificates?q=baidu.com - 搜索引擎(结合site语法,同时利用google的-、百度的-intitle等语法减少干扰) - 对已知ip的域名反查 https://passivedns.mnemonic.no/ http://reverseip.domaintools.com/ http://serversniff.net.ipaddress.com/ https://www.robtex.com/ - 一些公开查询平台(如:dnsdumpster.com) https://securitytrails.com/ https://x.threatbook.cn - 有APP用MobSF反编译 ``` ### 确定ip段 ``` - whois 子域名的ip,大型目标能看到ip段 - spf 解析记录 http://www.kloth.net/services/nslookup.php - vpn/邮服 附近的最有可能真实ip段 - `intext:@baidu.com IP Reverse DNS IP-range` 查看反向解析结果 - 用shodan,fofa,censys 等搜索目标域名和公司名称。 有些服务器维护人员喜欢打上自己的标签,例如特殊的HTTP头。 我们可以通过shodan或钟馗之眼 来进行搜索拥有同样标签的服务器。 - ip比较法 比较大型的目标会有比较多IP地址,大型目标网络ip地址通常分配在一个C段或多个c段中。 例目标顶级域名为www.seclines.com 其IP地址为222.222.222.222 ,bbs.seclines.com 其ip为222.222.222.223 wiki.seclines.con 其ip为222.222.222.224由此可以推测222.222.222.1-255的IP地址都为该公司IP地址,但最后的确定还要根据其他的信息进行判断。 ``` ### C段旁站 ``` - C段信息 https://censys.io/ipv4?q=163.177.151.110/24 `site:163.177.151.*` - 旁站 bing国际版:`ip:163.177.151.110` - ip反查域名 https://passivedns.mnemonic.no/ https://www.virustotal.com/gui/ip-address/ https://tools.ipip.net/ipdomain.php https://www.ip-address.org/reverse-lookup/reverse-ip.php https://fofa.so/result?q=148.163.164.12 `intext:148.163.164.12 Reverse domain` ``` ### 邮箱采集 ``` - 可枚举漏洞 `nmap -p 25 --script smtp-enum-users.nse 202.38.193.203–script-args userdb=/root/user.txt,passdb=/root/password.txt` - whois高级搜索 ` whois -h whois.arin.net "e @ icann.org" | grep -E -o "\b[a-zA-Z0-9.-]+@[a-zA-Z0–9.-]+\.[a-zA-Z0–9.-]+\b" | uniq ` - 工具采集 https://github.com/m4ll0k/Infoga https://github.com/laramies/theHarvester - 社工裤泄露 https://pwndb2am4tzkvold.onion.ws/ #洋葱网络 - SSL证书信息 SSL / TLS证书通常包含域名,子域名和电子邮件地址。这使他们成为攻击者的宝库。 https://censys.io/certificates?q=baidu.com ``` ### Google hacking ``` - 敏感信息泄露 site:github.com intext:baidu.com site:pastebin.com AND intext:baidu.com site:searchcode.com AND intext:baidu.com site:trello.com.com AND intext:baidu.com - 网站历史数据爬取 https://github.com/devanshbatham/ArchiveFuzz https://github.com/melbadry9/WaybackUrls https://github.com/si9int/cc.py - 目录遍历 site:baidu.com intitle:index.of parent directory site:www.example.com - 后台查找 site:baidu.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system|登入|logon | administrator AND inurl:login|admin|manage|manager|admin_login|login_admin|system - 敏感文件 使用工具:https://github.com/Smaash/snitch inurl:temp | inurl:tmp | inurl:backup| inurl:bak filetype:txt | filetype:bak | filetype:sql |filetype:rar |filetype:doc - 报错信息 error | warning |SQL syntax | MySQL Query fail - 查找工具 inurl:nqt.php intitle:"Network Query Tool" ``` ### Nmap ``` - 路由跟踪 nmap --traceroute {ip} #目标配置不当能看到内网ip - 服务器信息 nmap -O -sV -sF -T4 {ip} - 弱点扫描 漏洞脚本升级:`nmap --script-updatedb` 弱口令探测:`nmap --script=auth {ip}` 暴力破解:`nmap --script=brute {ip}` 扫描常见漏洞:`nmap --script=vuln {ip}` webdav远程执行漏洞扫描:`nmap --script=http-iis-webdav-vuln {ip}` IIS<7.5 尝试短文件漏洞目录文件扫描:`nmap -p80 --script=http-iis-short-name-brute {ip}` 显示http的title信息,便于发现重要系统:`nmap --script=http-title {ip}` 心脏滴血漏洞:`nmap --script=ssl-heartbleed {ip} -p443 http-put` - 增强扩展 https://github.com/vulnersCom/nmap-vulners - 常见端口信息及渗透 端口号 端口服务/协议简要说明 关于端口可能的一些渗透用途 tcp 20,21 ftp 默认的数据和命令传输端口[可明文亦可加密传输] 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4) tcp 22 ssh[数据ssl加密传输] 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输,等等…常用于linux远程管理… tcp 23 telnet[明文传输] 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令,也许会有意想不到的收获 tcp 25 smtp[简单邮件传输协议,多数linux发行版可能会默认开启此服务] 邮件伪造,vrfy/expn 查询邮件用户信息,可使用smtp-user-enum工具来自动跑 tcp/udp 53 dns[域名解析] 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控 tcp/udp 69 tftp[简单文件传输协议,无认证] 尝试下载目标及其的各类重要配置文件 tcp 80-89,443,8440-8450,8080-8089 web[各种常用的web服务端口] 各种常用web服务端口,可尝试经典的top n,vpn,owa,webmail,目标oa,各类java控制台,各类服务器web管理面板,各类web中间件漏洞利用,各类web框架漏洞利用等等…… tcp 110 [邮局协议,可明文可密文] 可尝试爆破,嗅探 tcp 137,139,445 samba[smb实现windows和linux间文件共享,明文] 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等…… tcp 143 imap[可明文可密文] 可尝试爆破 udp 161 snmp[明文] 爆破默认团队字符串,搜集目标内网信息 tcp 389 ldap[轻量级目录访问协议] ldap注入,允许匿名访问,弱口令 tcp 512,513,514 linux rexec 可爆破,rlogin登陆 tcp 873 rsync备份服务 匿名访问,文件上传 tcp 1194 openvpn 想办法钓vpn账号,进内网 tcp 1352 Lotus domino邮件服务 弱口令,信息泄漏,爆破 tcp 1433 mssql数据库 注入,提权,sa弱口令,爆破 tcp 1521 oracle数据库 tns爆破,注入,弹shell… tcp 1500 ispmanager 主机控制面板 弱口令 tcp 1025,111,2049 nfs 权限配置不当 tcp 1723 pptp 爆破,想办法钓vpn账号,进内网 tcp 2082,2083 cpanel主机管理面板登录 弱口令 tcp 2181 zookeeper 未授权访问 tcp 2601,2604 zebra路由 默认密码zerbra tcp 3128 squid代理服务 弱口令 tcp 3312,3311 kangle主机管理登录 弱口令 tcp 3306 mysql数据库 注入,提权,爆破 tcp 3389 windows rdp远程桌面 shift后门[需要03以下的系统],爆破,ms12-020[蓝屏exp] tcp 4848 glassfish控制台 弱口令 tcp 4899 radmin远程桌面管理工具,现在已经非常非常少了 抓密码拓展机器 tcp 5000 sybase/DB2数据库 爆破,注入 tcp 5432 postgresql数据库 爆破,注入,弱口令 tcp 5632 pcanywhere远程桌面管理工具 抓密码,代码执行,已经快退出历史舞台了 tcp 5900,5901,5902 vnc远程桌面管理工具 弱口令爆破,如果信息搜集不到位,成功几率很小 tcp 5984 CouchDB 未授权导致的任意指令执行 tcp 6379 redis未授权 可尝试未授权访问,弱口令爆破 tcp 7001,7002 weblogic控制台 java反序列化,弱口令 tcp 7778 kloxo 主机面板登录 tcp 8000 Ajenti主机控制面板 弱口令 tcp 8443 plesk主机控制面板 弱口令 tcp 8069 zabbix 远程执行,sql注入 tcp 8080-8089 Jenkins,jboss 反序列化,控制台弱口令 tcp 9080-9081,9090 websphere控制台 java反序列化/弱口令 tcp 9200,9300 elasticsearch 远程执行 tcp 10000 webmin linux主机web控制面板入口 弱口令 tcp 11211 memcached 未授权访问 tcp 27017,27018 mongodb 爆破,未授权访问 tcp 3690 svn服务 svn泄露,未授权访问 tcp 50000 SAP Management Console 远程执行 tcp 50070,50030 hadoop 默认端口未授权访问 ``` ### web指纹 ``` - 在线 https://www.whatweb.net/ https://builtwith.com/ https://whatcms.org/ http://www.yunsee.cn/ https://www.netcraft.com/ - 工具 https://github.com/TideSec/TideFinger #整合多个指纹库 https://github.com/7z1/waf_identify #整合四款waf识别工具 https://github.com/Tuhinshubhra/CMSeeK #CMS检测 - 浏览器 Firebug->Net查看HTTP响应头部Server字段 指定路径下指定名称的js文件或代码。 指定路径下指定名称的css文件或代码。