渗透的艺术——信息收集—-善用搜索引擎

文章发布时间:

2023-01-12

最后更新时间:

2023-01-12

写在前面

渗透信息收集当中最关键的一步是利用好搜索引擎来获取敏感的信息，为后续账号弱口令和字典的制作提供参考，得好好学学

网络空间测绘溯源技术

行为测绘

不同的群体，可能表现出基本的独有的特征，当我们能掌握到这个特征，那么我们就能尽可能识别出这个群体里的所有个体，而这些所谓的行为特征在网络空间测绘里表现出的是这个设备各个端口协议里的banner特征

在这些自定义过程中不同的群体又可能表现出不一样的独有特征，我们利用这些行为特征进行网络空间测绘，这就是所谓的“行为测绘”

这里的独有特征一般指的是 banner信息，例如前端代码，服务连接交互信息、SSL证书信息

动态测绘

对于动态测绘的概念，简单理解就是数据订阅

这里可以通过指纹语句订阅或者IP订阅，周期性对某个资产面进行扫描，从而使我们能够动态掌握周期内新增资产的情况
交叉测绘

IPv4 与 IPv6的 “交叉”

IPV6在逐渐普及，但是之所以在交叉测绘这里提及IPV6，就是因为，与我们密切相关的安全层面，往往出现在IPV4及IPV6的配置错误上，例如企业在部署安全措施时，对其IPV4打满了防护，但是IPV6却是白板，那么这时如果攻击者通过IPV6进行攻击，那么无疑是一马平川的，这也是很多企业在进行安全管理中没有想到的问题

Fofa的简单使用

逻辑运算符

1 2	`&& ：表示逻辑与 \|\| ：表示逻辑或`

查找指定应用的IP
1
app="xxx"
查找使用指定协议的IP
1
protocol="xxx"
查找开放端口的IP
1
2
port="3389" ports="1433,3306,3389"

查找IP或网段的信息

#查找指定ip的信息
ip="220.181.38.148"   
#查找指定网段的信息
ip="220.181.38.0/24"

查找使用指定css或js的网站

找到这个框架特有的css或js文件，然后将该css或js的路径复制粘贴到 Fofa进行查找

其他

#查找title含有管理后台的ip
title="管理后台"     
#查找响应头含有thinkphp的ip
header="thinkphp"   
#查找响应包含有thinkphp的ip
body="管理后台"      
#查找指定根域的所有子域
domain="baidu.com"  
#查找域名中带有指定词的ip 从 url 中搜索"test",注意搜索要用host作为名称
host="test"         
#查找中国境内的ip，主要结合其他语句一起 搜索指定国家(编码)的资产
country=CN 
city="Beijing"      # 搜索指定城市的资产.例: 搜索指定城市的资产.
region="Zhejiang"   # 搜索指定行政区的资产.例: 搜索指定行政区的资产
#搜索证书(如https证书、imaps证书等)中含有"phpinfo.me"关键词的网站和IP
cert="phpinfo.me" 
# 搜索使用此icon的资产
icon_hash="-xxxx"

如何扩大资产搜索范围？

搜索的时候拆分title来搜索可以获得更多的搜索结果和更大的搜索范围，但是可能会带来脏数据，需要我们人工辨别是否为目标所属资产

1 2	`title="XX市XX医院" => title="XX市" && title="XX医院"`

API接口的特殊姿势

可以得到

1
2
3

1. IP资产
2. 关联相关IP段
3. 端口扫描

证书的特殊姿势

可以得到很多关联域名

Google Hack

Google使用技巧总结
- 使用正确的谷歌地址
  
  针对不同国家资源关联性，可以在其后加上国家的后缀，例如
  1
  2
  3
  google.co.uk 英国 google.fr 法国 google.co.in 印度
- 轻松知道一个单词的意思
  1
  define: xxx
基础法则
- Google 不区分大小写，除了 or 被用作布尔运算符时，就必须写做OR。
- Google 通配符（*），不同于在其他任何语言中的使用，星号在一个搜索短语中仅仅表示一个单词。
- Google 保留忽略的权利，where、how以及一些通用的单词、字母和单个数字，会被Google默认忽略。
- Google限制最多搜索32个单词，包含搜索项和高级运算符。不过也有一些其他方法绕过这种限制，比如使用通配符来代替某些搜索项。
基础查询
- 最简单的就是直接包含一个单词或者单词组合
- “word1 word2” 会严格按照你给定的顺序对短语中的所有单词进行搜索
- 支持布尔运算符（大写）和特殊字符查询
  - +强制包含跟着它的单词
  - -把一个单词排除出一个搜索之外
  - | 可以指示Google 在查询时落在其中一个或另一个查询上
高级运算符

| 高级运算符 | 特性/要点 |
| :————: | :—————————————————————————————- |
| intitle | 在页面的标题里查找字符串与其他运算符混合使用效果佳 |
| allintitle | 在一个页面的标题里查找所有搜索项与其他运算符或搜索项混合使用效果差 |
| inurl | 在一个页面的URL里查找字符串与其他运算符混合使用效果佳（有时 site 和 filetype 做的比 inurl 好） |
| allinurl | 在一个页面的URL里查找所有搜索项与其他运算符或搜索项混合使用效果差 |
| filetype | 基于文件扩展名搜索特殊类型文件需要一个额外搜索项其他运算符或搜索项混合使用效果差 |
| allintext | 别用它 |
| site | 把一个搜索限定在一个特别的网站或域中 与其他运算符混合使用效果佳能够单独使用 |
| link | 搜索一个网站的链接或者URL 无法与其他运算符或搜索项混合使用可以扩展成包含目录名、文件名、参数等内容的完整URL |
| inanchor | 在链接的描述性文字中查找文本其他运算符或搜索项混合使用效果佳用作寻找网站之间的关系 |
| daterange | 寻找在一个特定日期范围内索引过的页面需要一个搜索项与其他运算符或搜索项混合使用效果佳可以被as_qdr淘汰 |
| numrange | 在特定范围内查找一个数字与其他运算符或搜索项混合使用效果佳需要两个参数，可以简写 |
| cache | 显示Google缓存的页面拷贝无法与其他运算符或搜索项混合使用有很多妙用，但结果优点不可预测 |
| info | 显示关于一个页面的总结信息无法与其他运算符或搜索项混合使用直接搜网站名或URL会得到相同的结果 |
| related | 显示与所给网站或URL相关的站点无法与其他运算符或搜索项混合使用 |
| stocks | 为一个股票代码显示Yahoo财经的股票列表无法与其他运算符或搜索项混合使用与本次课题无关 |
| define | 显示单词或短语的各种不同含义无法与其他运算符或搜索项混合使用与本次课题无关 |

样例网站：https://pentest-tools.com/information-gathering/google-hacking#use-cases

信息收集

基础信息收集

子域名查询 利用*来进行泛查询
1
site:*.example.com -www.example.com
C段查询
1
site:18.18.18.*

敏感文件收集

备份文件

site:example.com filetype:zip

site:example.com filetype:rar

site:example.com filetype:tar

site:example.com filetype:tar.gz

site:example.com filetype:7z

site:example.com filetype:cab

site:example.com filetype:gz

site:example.com filetype:iso

site:example.com filetype:bz2

site:example.com filetype:jar

常见单页备份文件扩展名 bkf、bkp、bak、old、backup

配置文件

为了避免搜到一些模板配置文件或者默认配置文件，增加一些限定：

1. 过滤掉单词 sample example test how to tutorial
2. -cvs 过滤掉CVS库
site:example.com filetype:cnf my.cnf -cvs -example

site:example.com inurl:config "fetch =+refs/heads/*:refs/remotes/origin/*"
site:example.com inurl:configuration.php intext:"class JConfig {"

日志文件

通常以log结尾

1 2	`site:example.com filetype:log inurl:log site:example.com ext:log log`

数据库文件

结尾如: sql dbf mdb wdb

对于二进制格式的文件，google不能理解，因此这里用inurl而不是filetype

1
2
3

site:example.com inurl:db|backupdb...
数据库转储：
site:example.com intext:"Dumping data for table"

样例文件

web服务器软件经常会在 web 目录里存有手册和文档一起提供给用户，这些文件告诉用户如何进行使用或理解。这些文件将会带来一些安全风险

例如一些vpn软件手册中可能会存在默认密码

1 2	`site:example.com intitle:"apache tomcat/" "Apache Tomcat examples" site:example.com inurl:/examples/jsp/snp/snoop.jsp`

其他敏感文件

以robots.txt为例

1	`site:example.com inurl:"robot.txt" intext:disallow filetype:txt`

注册表

1	`site:example.com filetype: reg HKEY_CURRENT_USER username`

敏感目录收集

目录遍历的位置

1 2	`site:example.com intitle:index .of "parent directory" site:example.com intitle:index .of name size`

查看指定目录的遍历

1	`site:example.com intitle:index .of inurl:admin`

查找服务器软件名、版本号、操作系统相关信息，还是从intitle入手

1
2
3

site:example.com intitle:index .of "Application Data/Microsoft/Credentials"

site:example.com intitle:index .of etc|.sh_history|.bash_history|passwd|people.lst|htpasswd|...

临时文件目录

1	`site:example.com inurl:tmp\|temp\|cache...`

登录位置查询

# 利用 intext
site:example.com intext:管理|后台|登陆|用户名|密码|帐号|注册|admin|login|manage|manager|register|houtai|guanli|forgotten
# 利用 inurl
site:example.com inurl:admin|login|manage|manager|register|prelogin|logincheck
# 利用版权信息、指纹信息
site:example.com intext:"Powered by"
site:example.com intext:"XX科技"

敏感信息收集

收集错误消息

1
2
3

site:example.com intext:"sql syntax near"|"syntax error has occurred"| "incorrect syntax near"|"unexpected end of SQL command"|"mysql_connect()"| "mysql_query()"|"Warning: pg_connect()"
# 另一种间接搜索方式，即通过错误消息泄露出来的如服务器敏感路径来间接查找报错位置
site:example.com intext:"/var/lib/"|"/var/www/"|"D:\"|"C:\"

用户名、密码和其他秘密信息

1	`site:example.com intext:(password\|passcode\|pass\|密码) intext:(username\|userid\|user\|用户\|账户)`

更多情况出现在网站提供的doc操作手册当中

电子邮箱地址查找

1 2	`site:example.com intext:邮箱\|邮件\|email\|e-mail site:example.com intext:"@qq.com"\|"@163.com"...`

电话号码

1	`site:example.com intext:电话\|手机号\|联系方式\|请拨打...`

Office文档收集

1
2
3

site:example.com filetype:doc "密码"
site:example.com filetype:xls|xlxs "密码"
site:example.com filetype:doc intitle:"管理"

功能性站点收集

文件上传

1	`site:example.com inurl:upload\|upfile\|saveup intext:提交\|确定\|上传`

文件下载

1	`site:example.com inurl:download\|downfile intext:下载`

文件读取

1	`site:example.com inurl:"path="\|"readfile="\|"file="\|"url="`

留言评论

1	`site:example.com intext:提交\|确定\|评论`

个人空间（检查越权、存储型XSS）

1	`site:example.com intext:个人信息管理\|会员\|个人空间 OR inurl:member\|zone`

博彩、广告、反共言论查询

其目的是被挂了博彩等页面的网站可能是被入侵过的，可以利用证据来搜寻相关利用漏洞

site:example.com intext:博彩|澳门|反共|色情|百家乐|轮盘|时时彩|荷官|香港彩|娱乐城|性爱|大陆|共匪|楼凤|外围|良家|一夜情|交友|上门服务

site:example.com intext:裸聊|找小姐|返水|自拍|六合彩|同城交友|丝袜|少妇|小姐|狼友|桑拿|夜生活|真人娱乐|真钱|娱乐城|免费试玩|随时结算

site:example.com intext:老虎机|真人娱乐|返点|德州扑克|棋牌|进入直播|游戏账号|"VIP俱乐部"|菠菜...

一些语料库 https://github.com/RacerZ-fighting/1earn/blob/master/1earn/Security/RedTeam/%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86/%E7%A9%BA%E9%97%B4%E6%B5%8B%E7%BB%98.md#%E8%AF%AD%E6%96%99%E6%94%B6%E9%9B%86

历史遗留后门文件

# 关键词查找
site:example.com intext:剑眉大侠|不灭之魂|仗剑孤行|通杀版|法客论坛|上传的口令|"导出DLL文件出错"|"token虚拟机管理"|老子的绝对路径|免杀版
site:example.com intext:法克|后门|木马|小马|大马|脱库|黑客|一句话后门|挂马|清马|"扫描IP"|开放端口|提权|执行命令|设置密码|提升权限
site:example.com intext:一句话木马|过狗|安全狗|"K8飞刀"|"K8拉登哥哥"|"K8搞基大队"|反弹端口|"hacked by"...
# 木马文件名查找
site:example.com inurl:phpspy|udf|JFolder|JspSpyJDK5|AspxSpy2014Final...

Github信息搜集

≡