holong小栈

一个追梦少年的日常

Hvv信息收集的方法

发表于 更新于 分类于
本文字数: 3.7k 阅读时长 ≈ 3 分钟
文章的内容是日常Hvv中信息收集的方法流程
实战经验分享

信息收集在整个流程中的定位是十分重要的。渗透的本质是信息收集,攻防的体系是知识点的串联。

1.信息收集分析

1.1 信息收集介绍

在进行web渗透测试或者红队Hvv行动的时候,最重要的一步那就是就是信息收集了,俗话说“渗透的本质也就是信息收集”,信息收集的深度,决定了你能渗透的资产的数量。

1.2 信息收集基本要求:

1.全面:

做到对目标所有的业务面和非业务面的存在点进行全面的信息收集。

2.准确:

对于收集到的信息尤其是重要信息要再三确认其信息的准确性,对信息的内容中所涉及的技术点要手动查看。

3.时效:

对于收集到的信息要注意信息产生的时间和收集到的时间,是否具有时间差,时间差能否接受,如果存在失效的信息要及时清除。

4.清晰:

降低被发现度,提高隐蔽性。

2.被动信息收集

2.1优缺点

优点:

1
2
3
1.隐蔽性高,不容易被发现

2.收集的信息量和覆盖面比较大

缺点:

1
2
3
1.收集到的信息中时效性和准确性不高

2.无法收集到敏感或者未公开的信息
2.2收集列表
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
1.域名收集

2.子域名收集

3.IPC备案收集

4.站点信息收集

5.公众号收集

6.小程序收集

7.APP收集

8.C段收集

9.fofa title、logo查找

3.主动信息收集

3.1优缺点

优点:

1
2
3
4
5
1.信息的针对性强 

2.信息的准确度和时效性高

3.能收集到未公开的敏感信息 .dirsea .xxrobots .txt  .rar

缺点:

1
2
3
1.容易暴露,被发现的风险高

2.收集的信息量和覆盖面比较少
3.2主动收集架构

基本流程:

1.由攻击者主动发起行为或请求

2.目标受到行为或请求影响并发出反馈

3.攻击者获得反馈并判断特征

3.3收集列表

通过暴力枚举的方法寻找目标存在的资产

通过工具进行子域名探索,加载内部字典进行请求

通过工具进行枚举查找

4.前期信息收集步骤

4.1在线收集工具
1
2
3
4
5
1.fofa
2.鹰图平台
3.ZoomEye
4.IPC备案查找
5.爱企查 天眼查 企查查

这三个平台的功能都有不同,算的上是优势互补,单一用一个平台的信息收集到的信息是不完整的。

fofa能显示包头、title、最近IP使用的时间信息

fofa

奇安信鹰图平台能够判断服务器的类型,以及显示出域名情况

yingtu

钟馗之眼能够判断IP使用的年份,以及显示各个端口所使用的组件信息

eye

接着IPC备案的使用 我们可以输入单位名称,就可以显示出该公司备案的网站地址

IPC

企查查 爱企查 天眼查等一些查询企业信息的平台工具

cha

谷歌信息查询语法:

inurl指定URL中是否存在某些关键字 例如:inurl:.php?id=
intext指定网页中是否存在某些关键字 例如:intext:网站管理
filetype指定搜索文件类型 例如:filetype:txt
intitle指定网页标题是否存在某些关键字 例如:intitle:后台管理
link指定网页链接 例如:link:baidu.com 指定与百度做了外链的站点
info指定搜索网页信息 info:baidu.com 百度接口:https://www.baidu.com/s?wd=1&pn=00&tn=json

收集cms信息:

1
2
3
4
5
6
7
8
9
1.通过云溪,wapplayzer,fofa,以及github上各位表哥写的baner等插件脚本收集

2.网站后台,正页,power by “xxx”,以及robots.txt

3.根据经验判断,比如网站的icon(joomla,dede),目录框架结构(wordpress,discuz!)这些有明显特征的

4.大框架类似,二次模改过来的,比如(onethink–>thinkphp)

5.报错关键字提取,去github找有没有相似源码以及类似函数,报错信息可以用google语法收集warning error not exist等等。

站点信息 (通常用做资产证明)

1
2
3
4
5
6
7
1.http://whois.chinaz.com/ Whois站长之家查询

2.https://whois.aliyun.com/ 阿里云中国万网查询

3.http://whois.domaintools.com/ Whois Lookup 查找目标网站所有者

4.https://whois.aizhan.com/ 站长工具爱站查询

经过初步的搜集之后,我们就可以找到某个单位的主域名、网站IP。在经过主动信息收集的后,我们可以针对主域名进行遍历,找到底下的子域名资产,以及网站IP所开放的端口信息,以及目录扫描下的敏感信息泄露等资料。

4.2后期信息收集

端口收集扫描

1
通过goby工具的全端口扫描,以及nmap工具的面拿过来进行端口扫描。这两个工具扫出的端口是比较精准和较高的可信度的。

子域名收集扫描

1
推荐:子域名挖掘机、OneForAll(继承了十几个空间测绘平台的API,进行搜索)

指纹扫描

1
推荐:棱洞、棱眼联合。棱眼精准判断该企业所在C段的地址,棱洞可以扫描出该C段IP所具备的收集的指纹信息。

目录扫描

1
推荐:dirsearch、御剑扫描

5.内网信息收集

5.1 判断是否是域环境
1
2
3
4
5
6
7
8
9
10
11
net view /domain 查询域列表
net time /domain 从域控查询时间,若当前用户是域用户会从域控返回当前时间,亦用来判
断主域,主域一般用做时间服务器
net localgroup administrators 本机管理员【通常含有域用户】
net user /domain 查询域用户(当前域)
net group /domain 查询域工作组
net group "domain computers" /domain 查看加入域的所有计算机名
net group "domain admins" /domain 查询域管理员用户组和域管用户
net localgroup administrators /domain 查看域管理员
net group "domain controllers" /domain 查看域控
net accounts /domain 查看域密码策略
5.2定位域控、DC及获取用户、组信息
1
2
3
4
5
1、通常域内主机 DNS 地址就是域控地址 

2、查看是否开启 53,389 等端口 

3、ping 域控计算机名
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
1. net config workstation                      #查询当前登录域及登录用户信息
2. net user /domain                            #查询域内用户
3. wmic useraccount get /all                   #查询域内用户的详细信息
4. net accounts /domain                        #查看域密码策略
5. net user lab /domain                        #查看指定域用户lab的详细信息
6. net view /domain                            #查看有几个域
7. net view /domain:xxx                        #查看域内的主机
8. net group /domain                           #查看域里面的组
9. net group "domain users"  /domain           #查看域用户
10. net group "domain controllers" /domain     #查看域控制器
11. net group "domain computers" /domain       #查看域内所有的主机
12. net group "domain admins"  /domain         #查看域管理员,该组内的成员对域控拥有完全控制权
13. net group "enterprise admins" /domain      #查看企业管理组,该组内的成员对域控拥有完全控制权
14. net group "domain guest"  /domain          #查看域访客组,权限较低
15. whoami /user                               #查看用户SID和域SID
16. dsquery user                               #查询目录中的用户
17. dsquery computer                           #查询目录中的主机
18. dsquery group                              #查询目录中的组
19. dsquery ou                                 #查询目录中的组织单元
20. dsquery site                               #查询目录中的站点
21. dsquery server                             #查询域控
22. dsquery contact                            #查询目录中的联系人
23. dsquery subnet                             #查询目录中的子网
24. dsquery quota                              #查询目录中的配额规定
25. dsquery partition                          #查询目录中的分区
26. dsquery server –domain lab.com | dsget server–dnsname –site     #搜索域内域控制器的DNS主机名和站点名
27. dsquery computer domainroot –name -xp –limit n      		   #搜索域内以-xp结尾的机器n台
28. dsquery user domainroot –name admin -limit n          		   #搜索域内以admin开头的用户n个

非域信息收集

1
2
3
4
5
1、盲扫 C 端、B 段等 

2、查看 arp 表、路由表 

3、找配置文件,如数据库配置等
谢谢大家欣赏文章!
------ 本文结束感谢您的阅读 ------