收集&分析

nslookup

简介

nslookup可以指定查询的类型，可以查到DNS记录的生存时间还可以指定使用哪个DNS服务器进行解释，主要用来诊断域名系统基础结构的信息。

收集

使用命令：

nslookup www.nju.edu.cn

分析

得知域名www.nju.edu.cn对应的IP地址为202.119.32.7。

dig

简介

Dig是一个在类UNIX命令行模式下查询DNS包括NS记录、A记录、MX记录等相关信息的工具。

收集

使用命令：

dig www.nju.edu.cn

分析

证实ns.nju.edu.cn的DNS确实为202.119.32.7

whois

简介

whois是用来查询域名的IP以及所有者等信息的传输协议，是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库。

收集

使用命令：

whois 202.119.32.7

从APNIC数据库中得到以下信息：

分析

从中我们可以看出
1.nju.edu.cn的DNS域是202.119.32.0 - 202.119.63.255
2.注册人信息

姓名	邮箱	电话	传真
Chen Junliang	chenjl@nju.edu.cn	+86-25-3317822	+86-25-3302728
Zhen Zhixiang	niczheng@nju.edu.cn	+86-25-3317822	+86-25-3302728

Google

简介

对于普通的用户而言，Google是一个强大的搜索引擎；而对于黑客而言，则可能是一款绝佳的黑客工具。正因为google的检索能力强大，黑客可以构造特殊的关键字语法，使用Google搜索互联网上的相关隐私信息。通过Google，黑客甚至可以在几秒种内黑掉一个网站。这种利用Google搜索相关信息并进行入侵的过程就叫做Google Hack。
下面介绍一些常用的所谓“谷歌黑客语法”:

intext: 把网页中的正文内容中的某个字符做为搜索条件.
例如在google里输入:intext:杭电.将返回所有在网页正文部分包含”杭电”的网页

allintext:使用方法和intext类似.

intitle: 搜索网页标题中是否有我们所要找的字符.
例如搜索:intitle:杭电.将返回所有网页标题中包含”杭电”的网页.同理allintitle:也同intitle类似.

cache: 搜索google里关于某些内容的缓存,有时候往往能找到一些好东西.

define: 搜索某个词的定义,例如搜索:define:杭电,将返回关于“杭电”的定义.

filetype: 搜索制定类型的文件，例如：filetype:doc.将返回所有以doc结尾的文件URL.

info: 查找指定站点的一些基本信息.

inurl: 搜索我们指定的字符是否存在于URL中.
例如输入:inurl:admin,将返回N个类似于这样的连接:http://xxx/admin,
常用于查找通用漏洞、注入点、管理员登录的URL

allinurl:也同inurl类似,可指定多个字符.

linkurl: 例如搜索:inurl:hdu.edu.cn可以返回所有和hdu.edu.cn做了链接的URL.

site: 搜索指定域名,如site:hdu.edu.cn.将返回所有和hdu.edu.cn有关的URL.

还有一些*作符:

+ 把google可能忽略的字列如查询范围

- 把某个字忽略

~ 同意词

. 单一的通配符

* 通配符，可代表多个字母

“” 精确查询

实际操作时需根据情况组合使用，下面列举些常用的：

intext:to parent directory

inurl:upload.php

intitle:powered by xxx

index of/upload

Filetype:txt

inurl:robots.txt

index of /passwd

site:xxx.com filetype:mdb|ini|php|asp|jsp

收集

比如使用google搜索NJU在领英上的数据就可以用：

site:linkedin.com inurl:pub -inurl:dir "at NJU" "Current"

或者使用：

site:nju.edu.cn intext:管理|后台|登录|用户名|密码|验证码|系统|账号|后台管理|后台登录

分析

尝试过在领英上查找DNS申请人，果然没有……只是收集DNS和端口信息，而不社工的话暂时没有有价值的信息。
可登陆的DNS可作为下一步端口、系统探测重点。

SHODAN

简介

全球最早的开放式网络空间应该非shodan莫属，也是目前最为知名的一个网络空间搜索引擎。Shodan于2009年诞生，每个月Shodan都会在大约5亿个服务器上日夜不停地搜集信息，shodan主要是针对服务器、网络摄像头、交换机、路由器等网络基础设备做扫描。

收集

使用Shodan搜索nju.edu.cn后我们得到:



查看Detail后我们得到：

DNS	ip端口	握手方式	服务	详细信息
210.28.136.42	22	TCP	OPENSSH	SSH-2.0-OpenSSH_6.6.1 KEY type : ssh-rsa KEY : AAAAB3NzaC1yc2EAAAADAQABAAABAQDDk/ FA7aZq9AmTSnuyfSinru1SEz+gIS7MOwM3DAJTUVpw CEqw1QxbedfLXmhjEwAYiwD9EzytwSk1KSGCmFsdzOd+t/ +NSECsk2CRyYqqZtw4qrYMVTMS50wjaTuJhYB1a2rzuEF lGUMva2obpIZDfjZKWhOc8MiTl2PYHR 7mby3gTN0hbBFEnSd/eayOgYmDejld 85TNrNsolEqkDOa+TrhpOABlDf96PE5Mc2HjKrn7fSJ 1kSI8RA4FJJYNCaUqrIWYxN1mQqklos6R c8TS//VLyah00yffX2bsl4AgWXuRAm8IQDW1gD1vy L5isRn0kTwDbs4zaIP8RE33KHsP Fingerprint : 4f:0f:27:67:e3:f4:f7:0b:89:69:da:43:99:95:6e:24
80	TCP	Apache httpd	Server : Apache/2.4.25 (Unix) PHP/7.1.6
3306	TCP	MySQL
5901	TCP	VNC	RFB 003.008
210.28.132.140	22	TCP	SSH	SSH-2.0-OpenSSH_7.2p2 Ubuntu-4ubuntu2.2 KEY type : ssh-rsa KEY :AAAAB3NzaC1yc2EAAAADAQABAAABAQDBiN Ql6LyRXPWTs0/e7l26J+qT1ygblypSuXlM/OtqPWqI Crpf/IlrTI6fl9klQUMOWn+oOJd6wS3Dg 1ayS4TKSjbVBnEW2i1aKilcuQHm+7uardnkQ/uDVGN8 UAjOtX1i10Q8vIYgxp4mqvJs6h6Xfgv+SZMwA hNj7OxMkYaecCOTWU81VpEXQ1mVTrZj3rRqq+UO bYe28pDsZzrrNc+Mpc+ZBiYem1Tgp8p Wp/RKLqozSviWzWWqqesa3YiuyF/TSKLXIQvFmyiLN/9E zQa9oGqBNCbw9SvCt7GOTR7Fxt4 kNFs+/quDGk/AYDwFvNkiXXGZGEgZI30xvj951V7H Fingerprint :d6:62:b2:0d:b4:2b:0e:42:dc:87:7d:05:83:07:31:73
25	TCP	Postfix smtpd
81	TCP	Apache httpd
110	TCP	POP3
143	TCP	IMAP
443	TCP	HTTPS	404 NOT FOUND
587	TCP	Postfix smtpd
993	TCP	IMAP_SSL	含有SSL Certificate
995	TCP	POP3-SSL	含有SSL Certificate
6379	TCP	REDIS
9000	TCP	HTTP-CHECK
9001	TCP	https-simple-new
9200	TCP	Elastic
27017	TCP	MongoDB	system : ubuntu1404
219.219.114.117	80	TCP	Sun ONE Web Server	version : 6.1
8080	TCP	Apache Tomcat/Coyote JSP engine	version : 1.1

分析

1.除了网页段常开的80端口，210.28.136.42和210.28.132.140均开放了SSH端口，并且在Shodan上有ssh版本号和rsa秘钥可在之后的渗透测试中尝试SSH连接。
2.其中210.28.132.140的版本号系统确定为Ubuntu1404，版本较老，可能存在漏洞。

theHarvester

简介

theHarvester是一个社会工程学工具，它通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email，子域名，主机，雇员名，开放端口和banner信息。

收集

使用命令：

theharvester -d nju.edu.cn -l 200 -b baidu

来收集nju.edu.cn的子域名以及邮箱信息

分析

引起兴趣的是webmaster@nju.edu.cn，从命名看来这似乎是一个管理员邮箱。后续可以尝试从向邮箱投递邮件来作为渗透切入点。

RECON-NG

简介

Recon-ng是一个python的开源框架，它的接口类似metasploit，但是不是用来利用漏洞或生成meterpreter session或shell。它用来web侦查和信息收集。它支持类似auxiliary和exploit模块的web侦查和信息收集

收集

感觉RECON-NG就是把各大搜索方式集成了一下，搜索域名端口不如用Nmap探测，再加上我的翻墙工具用的是SS，采用SOCK5，而recon-NG好像只支持SOCK4，外加bingAPI没有找到，所以略过使用RECON-NG的收集分析。

Nmap

简介

Nmap (“Network Mapper(网络映射器)”) 是一款开放源代码的 网络探测和安全审核的工具。它的设计目标是快速地扫描大型网络，当然用它扫描单个 主机也没有问题。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机，那些 主机提供什么服务(应用程序名和版本)，那些服务运行在什么操作系统(包括版本信息)， 它们使用什么类型的报文过滤器/防火墙，以及一堆其它功能。

收集

使用Nmap命令，根据已得到的DNS域来搜索常见的漏洞端口的开放状况

namp -p 21(PORT) 202.119.32-63.0-255(NJU DNS域) --open（只输出状态为开放的结果） -oX /home/XXX.xml(输出结果到xml文件)

其中常见的漏洞端口有：

端口号	服务
21	FTP
22	SSH
23	Telnet
25	SMTP
53	Domain
110	POP3
1433	ms-sql-s
1521	Oracle数据库

扫描完成后，将xml文件转为html文件：

xsltproc xxx.xml -o xxx.html

分析

使用Nmap对常见漏洞端口扫描后，发现:

• 1.开放21，22，23端口的DNS较多，怀疑为服务器默认开启（详见附录）
  
• 2.只有202.119.55.10(南京大学-约翰斯·霍普金斯大学中美文化研究中心)开放了SMTP端口，可作为下一步的突破点
  
• 3.202.119.32.6 ，202.119.32.12， 202.119.32.112三个DNS开启了domain服务，可能存在域漏洞
  
• 4.202.119.55.10这个DNS还开启了POP3【真的不是靶机么……
  
• 5.202.119.47.72，202.119.47.95，202.119.47.120开启了ms-sql-s端口
  
• 6.202.119.47.23，202.119.47.94开启了Oracle数据库端口
  由于202.119.55.10的特殊性，又对其进行了系统探测：

  nmap -O 202.119.55.10

结果为Microsoft Windows Server 2012 R2

总结

收集信息

• 1.NJU的IP地址段为202.119.32.0 - 202.119.63.255
  
• 2.域名信息在whois收集分析中
  
• 3.服务器操作系统主要由OpenBSD4.0（www.nju.edu.cm ），Ubuntu1404，windowsServer2002，windowsServer2000等构成
  
• 4.服务器主要漏洞的开放端口，及其软件服务信息见 附件文件
  
• 5.通过google搜索发现南大防火墙由 新华三集团 负责建设，在查询新华三官网后发现只有一款防火墙，为 H3C SecPath F1000-A-G 防火墙
• 6.敏捷网络协助南京大学打造高体验校园网络中提到交换机为:
  

  南京大学的网络核心采用的华为敏捷交换机S12700支持双模转发

内容分析

• 1.在Shodan中存在两个DNS地址的SSH秘钥，可尝试SSH登录
  
• 2.Nmap结果中存在一个DNS地址同时开启了SMAT，POP3服务，并且存在网站，可重点尝试渗入
  
• 3.Nmap搜索到大量存在开放的ssh,telnet端口，在后续可以尝试借助Hydra暴力破解或撞库猜解
  
• 4.各大网站（包括教务）都采用明文传递密码，并且测试后并无限制频率、次数，甚至不需要header就可以请求。结合探测到Oracle，ms-sql数据库，可能存在注入、暴破、撞库等危险
  
• 5.有一些账户密码均为学号，学生信息有泄露风险
  
• 6.存在较老版本windows server，可能存在ms017等漏洞