渗透思想

引入

技术总是很多，更新也快，有的东西学一辈子也学不完；所以人要有所取舍。

学习本身不重要，学习能力才重要，一个人的学习能力体现了他的学习程度。

今天我学数学，明天我学语文，后天我峡谷出击，这些都属于学习；但如何快速适应这三种不同的学习对象，我需要有一个基本大纲，这玩意儿就是思想。所以还是从书籍中看看渗透思路吧，为了备忘，故做出以下记录，但是我尽量按照自己的话来讲，如果只是照搬，我直接粘一个链接就得了。所以由于有些个人理解，难免有不妥之处，望自行辨别。

直接看这篇即可 https://forum.butian.net/share/1976

0x01 踩点

这个就是信息收集的一部分，根据书中列举筛选了一些。

内、外网都有：

1. 域名

   这个不用讲，也是为了访问网站；如果主站弄不了，找二级域名突破。

2. 网络地址块和子网

   这个就是说域名破不了，或者说有CDN的时候，往往从真实ip入手，主ip不行，去C段扫描，找子ip。

3. 该系统上运行的TCP、UDP服务

   这些协议，传输层，进程通信；

   这个服务怎么理解？

   首先，使用TCP协议的有：http(s)协议、ssh、ftp、smtp，对吧，多用于网站；然后其实游戏里，比如使用一个技能或功能，这个是靠tcp协议的，封包之后，可以重复发送，这就是外挂的知识了

   UDP的使用嘛：DNS比较常见； 其它的就是DHCP、VoIP

   上面这些协议对应的是什么，是端口，所以可以理解为端口即服务

4. 系统体系结构

   这个应该是内网部分了，你比如看机器是不是x86，mimikatz工具使用的时候对不同结构有不同用法，有一个进程迁移的步骤，必须要x86的进程，先不细讲。

5. 入侵检测系统、防火墙

   这个嘛，其实也相当于日志了，我之前用过一个工具叫wauzh，它就是开源的IDS，开启后，会记录一些操作，比如ssh的登录，数据库的连接等等

   防火墙也比较熟悉，要么是系统防火墙，就是对进站出站的ip限制

   还有应用层防火墙，那就是安全狗啊，D盾这种

6. 远程访问

   一般是扫到这个端口3389，远程连接尝试一波

知己知彼，百战不殆。

在互联网上搜到的信息有

1. web网站

   你比如：

   f12源代码里的注释信息

   潜在文件、目录的爆破；但是工具的动静一般是很大的，在实战中还是要斟酌一下

   功能点的漏洞，比如sql，比如xss，比如越权，比如抓包的逻辑漏洞

2. 相关组织

   也即是找合作伙伴的漏洞

   比如说，访问后台的时候，可能存在说透露这是用了哪一个cms框架，那直接去搜现有exp，可能是弱口令，可能是其它exp

   比如说，对合作伙伴社工，得到些目标机的信息

3. 地理位置细节

   位置都有了，google earth直接找到地点，去社工；

   无线攻击等等

4. 员工信息

   一般多个员工信息是有规律的，比如学号就是的，知道一个人的学号，就可以推断出其它的学号

   电话号呢，社工；人肉他常活动的网页或app，比如社交网站还是什么的

   对于邮箱啊、姓名啊、电话号码，要么组合式地作为密码，要么社工，去钓鱼

   这个书记载了一些有趣的事，它说：

   1.冒充猎头，去获取员工的简历，它里面是有一些敏感信息的

   2.根据公司招聘信息的要求，推断公司安全状况，冒充求职者去询问公司问题

   3.对于员工个人pc进行监听，个人pc可能有远程访问公司的途径

   4.和被解雇员工聊聊天

5. 企业的重大事件

   短时间大量增员，外包，裁员这种事，那利用这种空隙去社工？

6. 历史记录

   书上说是已归档信息，但是我个人理解的话，就这样：

   1.一个网站使用了CDN，看它使用CDN之前的ip，一般是真实ip

   2.嘶，忘了

7. 搜索引擎

   嗯，不解释；它有手工的，也有自动化的

上面一般都是必须公布的公众信息

下面介绍了whois和dns查点

目的：所有曾经注册过的单位和个人的域注册信息和IP注册信息

域相关信息

以example.com为例，虽然whois有一站式查询，但具体的流程要知道：

顶级域(注册机构)->注册商->注册人，这个叫whois查询的三R

具体就是，.com域的官方注册机构是A，在A的站点上，用example.com查出该域名的注册商为

http: //w ww.B.com，再去该站点查询到example.com域名的注册人细节信息

命令行查询就是这样的

[bash]$ whois com –h whois.iana.org
[bash]$ whois keyhole.com –h whois.verisign-grs.com
[bash]$ whois keyhole.com –h whois.omnis.com

WHOIS查询结果中的记录创建时间和记录修改时间可以让我们推测出WHOIS信息的准确性

IP相关信息

这个一般是在安全日志中，对某个IP溯源时查的

IP反查

这个一般就是考虑到单IP多域名情况，反查找到旁站也未尝不可；这个一般去多个不同站点去反查

• 同IP网站查询，同服务器网站查询 - 站长工具
• Dnslytics
• iP或域名查询

DNS查询

主机名和ip间的映射

它主要有一个问题在于区域传送，就是说备用服务器对主服务器的DNS信息进行拷贝，但由于配置问题，可能会把内部IP地址信息提供给因特网上不受信任的用户

nslookup就是其中一个执行区域传送的工具，还有host命令，这里不细讲，以后用到了再查吧

————————2024/3/21补充——————

关键资产收集

1. 找真实IP，相邻网段
2. 目标机是否是蜜罐（蜜罐的话会爬取浏览器cookie与本地文件，所以避免用主机被溯源）
3. 定位内网IP和系统（这个没什么好说的，内网目标+有nday打nday）
4. 定位关键应用系统
5. 定位关键企业信息

主域名信息

知道公司名，去爱企查找它的域名；如果没有域名

1.谷歌搜公司名，看是否有url；

2.爱企查的邮箱后缀看是否能访问 123@xxx.com

3.不能访问就fofa搜索host=”xxx.com”

IPC备案查询 https://beian.miit.gov.cn/#/Integrated/index

SEO综合查询

未备案域名，可以通过网站的友链导航

fofa

主站虽然防护强，可以先看看，不行就fofa找找登录页面之类，无果再子域名

指纹识别

主要是架构、cms什么的

https://www.whatweb.net/

常用工具

抄了抄了，来自https://forum.butian.net/share/1976

工具、网站	备注
爱站、站长工具	Whois、备案号、权重、公司名称等
天眼查、企查查、搜狗搜索引擎	公司注册域名、微信公众号、APP、软件著作权等
ZoomEye、Shodan、FOFA、0.Zone、quake	网络空间资产搜索引擎
ENScanGo、ICP备案	主域名收集
OneForAll、Layer、Rapid7的开源数据项目、ctfr、EyeWitness	子域名收集
Kscan、ShuiZe_0x727、ARL灯塔、Goby	自动化、批量信息收集
Bufferfly、Ehole、httpx	资产处理、信息筛选
dnsdb、CloudFlair	CDN相关
VirusTotal、微步、ip2domain	C段、域名/ip情报信息
Nmap、Masscan	端口服务信息
Google Hacking、dirsearch、URLFinder	WEB站点信息、api接口等
wafw00f	waf识别
云悉、潮汐、WhatWeb	在线CMS识别
七麦、小蓝本	APP资产
ApkAnalyser	App敏感信息
乌云漏洞库、CNVD、waybackurls	历史漏洞、历史资产等
n0tr00t/Sreg、reg007	个人隐私信息
GitDorker	资产信息、源码泄露
theHarvester、Snov.io	邮箱信息收集
OSINT开源情报和侦擦工具	开源情报资源导航
anti-honeypot、Honeypot Hunter	蜜罐识别

0x02扫描

1.确定目标主机在线

arp主机发现

arp，mac地址转化为ip地址，一般用于攻击者与目标机在同一局域网下；

工具arp-scan/nmap

icmp主机发现

ping命令、nmap

TCP/UDP主机发现

nmap/superscan，这个就是端口扫描了

防御ping

IDS，记录到日志里；

防火墙工具

2.确定服务

即端口扫描，目的：tcp/udp服务、系统类型、提供服务的应用程序版本

namp，就不多说了

防御端口扫描

IDS，比如Snort

防火墙

端口禁用

3.操作系统类型

从现有端口猜测，一般linux系统端口有22端口，当然windows也有，还有445端口

namp为什么可以探查到操作系统类型，源于一种技术叫做 协议栈指纹分析技术，这是因为厂家在编写协议栈的时候，要对特定的RFC文档规定做出不同解释。

端口扫描表

https://forum.butian.net/share/1976

抄过来

端口	服务	渗透用途
tcp 20,21	FTP	允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)
tcp 22	SSH	可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等
tcp 23	Telnet	爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令
tcp 25	SMTP	邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑
tcp/udp 53	DNS	允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控
tcp/udp 69	TFTP	尝试下载目标及其的各类重要配置文件
tcp 80-89,443,8440-8450,8080-8089	各种常用的Web服务端口	可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……
tcp 110	POP3	可尝试爆破,嗅探
tcp 111,2049	NFS	权限配置不当
tcp 137,139,445	Samba	可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……
tcp 143	IMAP	可尝试爆破
udp 161	SNMP	爆破默认团队字符串,搜集目标内网信息
tcp 389	LDAP	ldap注入,允许匿名访问,弱口令
tcp 512,513,514	Linux rexec	可爆破,rlogin登陆
tcp 873	Rsync	匿名访问,文件上传
tcp 1194	OpenVPN	想办法钓VPN账号,进内网
tcp 1352	Lotus	弱口令,信息泄漏,爆破
tcp 1433	SQL Server	注入,提权,sa弱口令,爆破
tcp 1521	Oracle	tns爆破,注入,弹shell…
tcp 1500	ISPmanager	弱口令
tcp 1723	PPTP	爆破,想办法钓VPN账号,进内网
tcp 2082,2083	cPanel	弱口令
tcp 2181	ZooKeeper	未授权访问
tcp 2601,2604	Zebra	默认密码zerbra
tcp 3128	Squid	弱口令
tcp 3312,3311	kangle	弱口令
tcp 3306	MySQL	注入,提权,爆破
tcp 3389	Windows rdp	shift后门[需要03以下的系统],爆破,ms12-020
tcp 3690	SVN	svn泄露,未授权访问
tcp 4848	GlassFish	弱口令
tcp 5000	Sybase/DB2	爆破,注入
tcp 5432	PostgreSQL	爆破,注入,弱口令
tcp 5900,5901,5902	VNC	弱口令爆破
tcp 5984	CouchDB	未授权导致的任意指令执行
tcp 6379	Redis	可尝试未授权访问,弱口令爆破
tcp 7001,7002	WebLogic	Java反序列化,弱口令
tcp 7778	Kloxo	主机面板登录
tcp 8000	Ajenti	弱口令
tcp 8009	tomcat Ajp	Tomcat-Ajp协议漏洞
tcp 8443	Plesk	弱口令
tcp 8069	Zabbix	远程执行,SQL注入
tcp 8080-8089	Jenkins,JBoss	反序列化,控制台弱口令
tcp 9080-9081,9090	WebSphere	Java反序列化/弱口令
tcp 9200,9300	ElasticSearch	远程执行
tcp 11211	Memcached	未授权访问
tcp 27017,27018	MongoDB	爆破,未授权访问
tcp 50070,50030	Hadoop	默认端口未授权访问

---

端口号	端口说明	渗透思路
21/69	FTP/TFTP：文件传输协议	爆破、内网嗅探
22	SSH：远程连接	用户名枚举、爆破
23	Telnet：远程连接	爆破、内网嗅探
25	SMTP：邮件服务	邮件伪造
53	DNS：域名系统	DNS域传送\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙
389	LDAP	未授权访问（通过LdapBrowser工具直接连入）
443	https服务	OpenSSL 心脏滴血（nmap -sV –script=ssl-heartbleed 目标）
445	SMB服务	ms17_010远程代码执行
873	rsync服务	未授权访问
1090/1099	Java-rmi	JAVA反序列化远程命令执行漏洞
1352	Lotus Domino邮件服务	爆破：弱口令、信息泄漏：源代码
1433	MSSQL	注入、SA弱口令爆破、提权
1521	Oracle	注入、TNS爆破
2049	NFS	配置不当
2181	ZooKeeper服务	未授权访问
3306	MySQL	注入、爆破、写shell、提权
3389	RDP	爆破、Shift后门、CVE-2019-0708远程代码执行
4848	GlassFish控制台	爆破：控制台弱口令、认证绕过
5000	Sybase/DB2数据库	爆破、注入
5432	PostgreSQL	爆破弱口令、高权限执行系统命令
5632	PcAnywhere服务	爆破弱口令
5900	VNC	爆破：弱口令、认证绕过
6379	Redis	未授权访问、爆破弱口令
7001	WebLogic中间件	反序列化、控制台弱口令+部署war包、SSRF
8000	jdwp	JDWP 远程命令执行漏洞（工具）
8080/8089	Tomcat/JBoss/Resin/Jetty/Jenkins	反序列化、控制台弱口令、未授权
8161	ActiveMQ	admin/admin、任意文件写入、反序列化
8069	Zabbix	远程命令执行
9043	WebSphere控制台	控制台弱口令https://:9043/ibm/console/logon.jsp、远程代码执行
9200/9300	Elasticsearch服务	远程代码执行
11211	Memcache	未授权访问（nc -vv 目标 11211）
27017	MongoDB	未授权访问、爆破弱口令
50000	SAP	远程代码执行
50070	hadoop	未授权访问

---

端口号	服务	渗透思路
21	FTP/TFTP/VSFTPD	爆破/嗅探/溢出/后门
22	ssh远程连接	爆破/openssh漏洞
23	Telnet远程连接	爆破/嗅探/弱口令
25	SMTP邮件服务	邮件伪造
53	DNS域名解析系统	域传送/劫持/缓存投毒/欺骗
67/68	dhcp服务	劫持/欺骗
110	pop3	爆破/嗅探
139	Samba服务	爆破/未授权访问/远程命令执行
143	Imap协议	爆破161SNMP协议爆破/搜集目标内网信息
389	Ldap目录访问协议	注入/未授权访问/弱口令
445	smb	ms17-010/端口溢出
512/513/514	Linux Rexec服务	爆破/Rlogin登陆
873	Rsync服务	文件上传/未授权访问
1080	socket	爆破
1352	Lotus domino邮件服务	爆破/信息泄漏
1433	mssql	爆破/注入/SA弱口令
1521	oracle	爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当
2181	zookeeper服务	未授权访问
2375	docker remote api	未授权访问
3306	mysql	爆破/注入
3389	Rdp远程桌面链接	爆破/shift后门
4848	GlassFish控制台	爆破/认证绕过
5000	sybase/DB2数据库	爆破/注入/提权
5432	postgresql	爆破/注入/缓冲区溢出
5632	pcanywhere服务	抓密码/代码执行
5900	vnc	爆破/认证绕过
6379	Redis数据库	未授权访问/爆破
7001/7002	weblogic	java反序列化/控制台弱口令
80/443	http/https	web应用漏洞/心脏滴血
8069	zabbix服务	远程命令执行/注入
8161	activemq	弱口令/写文件
8080/8089	Jboss/Tomcat/Resin	爆破/PUT文件上传/反序列化
8083/8086	influxDB	未授权访问
9000	fastcgi	远程命令执行
9090	Websphere	控制台爆破/java反序列化/弱口令
9200/9300	elasticsearch	远程代码执行
11211	memcached	未授权访问
27017/27018	mongodb	未授权访问/爆破

---

端口号	服务	渗透思路
20	ftp_data	爆破、嗅探、溢出、后门
21	ftp_control	爆破、嗅探、溢出、后门
23	telnet	爆破、嗅探
25	smtp	邮件伪造
53	DNS	DNS区域传输、DNS劫持、DNS缓存投毒、DNS欺骗、深度利用：利用DNS隧道技术刺透防火墙
67	dhcp	劫持、欺骗
68	dhcp	劫持、欺骗
110	pop3	爆破
139	samba	爆破、未授权访问、远程代码执行
143	imap	爆破
161	snmp	爆破
389	ldap	注入攻击、未授权访问
512	linux r	直接使用rlogin
513	linux r	直接使用rlogin
514	linux r	直接使用rlogin
873	rsync	未授权访问
888	BTLINUX	宝塔Linux主机管理后台/默认帐户：admin｜默认密码：admin
999	PMA	护卫神佩带的phpmyadmin管理后台，默认帐户：root｜默认密码：huweishen.com
1080	socket	爆破：进行内网渗透
1352	lotus	爆破：弱口令、信息泄露：源代码
1433	mssql	爆破：使用系统用户登录、注入攻击
1521	oracle	爆破：TNS、注入攻击
2049	nfs	配置不当
2181	zookeeper	未授权访问
3306	mysql	爆破、拒绝服务、注入
3389	rdp	爆破、Shift后门
4848	glassfish	爆破：控制台弱口令、认证绕过
5000	sybase/DB2	爆破、注入
5432	postgresql	缓冲区溢出、注入攻击、爆破：弱口令
5632	pcanywhere	拒绝服务、代码执行
5900	vnc	爆破：弱口令、认证绕过
5901	vnc	爆破：弱口令、认证绕过
5902	vnc	爆破：弱口令、认证绕过
6379	redis	未授权访问、爆破：弱口令
7001	weblogic	JAVA反序列化、控制台弱口令、控制台部署webshell
7002	weblogic	JAVA反序列化、控制台弱口令、控制台部署webshell
80	web	常见Web攻击、控制台爆破、对应服务器版本漏洞
443	web	常见Web攻击、控制台爆破、对应服务器版本漏洞
8080	web｜Tomcat｜..	常见Web攻击、控制台爆破、对应服务器版本漏洞、Tomcat漏洞
8069	zabbix	远程命令执行
9090	websphere	文件泄露、爆破：控制台弱口令、Java反序列
9200	elasticsearch	未授权访问、远程代码执行
9300	elasticsearch	未授权访问、远程代码执行
11211	memcacache	未授权访问
27017	mongodb	爆破、未授权访问
27018	mongodb	爆破、未授权访问
50070	Hadoop	爆破、未授权访问
50075	Hadoop	爆破、未授权访问
14000	Hadoop	爆破、未授权访问
8480	Hadoop	爆破、未授权访问
8088	web	爆破、未授权访问
50030	Hadoop	爆破、未授权访问
50060	Hadoop	爆破、未授权访问
60010	Hadoop	爆破、未授权访问
60030	Hadoop	爆破、未授权访问
10000	Virtualmin/Webmin	服务器虚拟主机管理系统
10003	Hadoop	爆破、未授权访问
5984	couchdb	未授权访问
445	SMB	弱口令爆破，检测是否有ms_08067等溢出
1025	111	NFS
2082		cpanel主机管理系统登陆 （国外用较多）
2083		cpanel主机管理系统登陆 （国外用较多）
2222		DA虚拟主机管理系统登陆 （国外用较多）
2601		zebra路由
2604		zebra路由
3128		代理默认端口,如果没设置口令很可能就直接漫游内网了
3311		kangle主机管理系统登陆
3312		kangle主机管理系统登陆
4440		参考WooYun: 借用新浪某服务成功漫游新浪内网
6082		参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网
7778		主机控制面板登录
8083		主机管理系统 （国外用较多）
8649
8888		主机管理系统默认端口
9000		fcgi php执行
50000	SAP	命令执行

Web端口：

80,81,82,443,5000,7001,7010,7100,7547,7777,7801,8000,8001,8002,8003,8005,8009,8010,8011,8060,8069,8070,8080,8081,8082,8083,8085,8086,8087,8088,8089,8090,8091,8161,8443,8880,8888,8970,8989,9000,9001,9002,9043,9090,9200,9300,9443,9898,9900,9998,10002,50000,50070

服务器：

21,22,445,3389,5900

数据库：

1433,1521,3306,6379,11211,27017

Fuzz案例

即模糊测试，所说的目录爆破也是其中之一；Fuzz，不仅是目录，隐藏参数/值(arjun工具)、子域名、多重FUZZ都可以

比如，http://xxx?m=index，这个时候可以对index这个位置的值遍历一下，找到m=view这种

再有，测业务的密码重置功能时，http://xxx/forget/pwd?userid=123&token=xxxx，删除token参数后，即可绕过

https://gh0st.cn/archives/2019-11-11/1

js信息爬取

https://www.bulkdachecker.com/url-extractor/ 爬取url的在线网站

http://www.pcitc.com/ 这个可以体现出目标站的目录

bp对js中的links进行抓取

https://usersearch.org/这个算社工类的，对用户名等进行一个查询

有效js文件判断：一般打开f12，点击功能时，看看网络中->数据包的启动器，看它加载了哪些js文件

登录

弱口令（凭证重用）、未授权接口、改响应包

登录框xss

fofa查域名，最好按时间查看新添端口

0x03 查点

搜集相应的漏洞poc、弱口令、错误的共享资源、已知漏洞的软件

host碰撞

一般是访问ip时，出现nginx、4xx、500、503或其它提示

这里就要考虑做个域名映射，将爆破到的可能域名与ip进行一一比对，即修改hosts文件，查看访问结果的变化即可；有很多host_scan脚本了其实

DNS共享记录

常用DNS记录：

记录类型	说明
A 记录	将域名指向一个 IP 地址（外网地址）。
CNAME 记录	将域名指向另一个域名，再由另一个域名提供 IP 地址（外网地址）。
MX 记录	电子邮件交换记录，记录一个邮件域名对应的IP地址，设置邮箱，让邮箱能收到邮件。
NS 记录	域名服务器记录，记录该域名由哪台域名服务器解析。如将子域名交给其他 DNS 服务商解析。
AAAA 记录	将域名指向一个 IPv6 地址。
SRV 记录	用来标识某台服务器使用了某个服务，常见于微软系统的目录管理。
TXT 记录	对域名进行标识和说明，绝大多数的 TXT 记录是用来做 SPF 记录（反垃圾邮件）。

这里是利用查询共享DNS服务器的主机(自建的)获取相关域名

nslookup -query=ns baidu.com 8.8.8.8 #获得NS记录

再去 https://hackertarget.com/find-shared-dns-servers/ 通过自建DNS查询域名即可

WAF识别

https://cloud.tencent.com/developer/article/1872310

总结

参考自《黑客大曝光》

https://forum.butian.net/share/1976

我也不总结了，想看的时候去这个链接看看，挺全的