常规渗透

信息收集思路(网站)

绕CDN找出目标所有真实ip段
找目标的各种Web管理后台登录口
批量抓取目标所有真实C段 Web banner
批量对目标所有真实C段 进行基础服务端口扫描探测识别
尝试目标DNS是否允许区域传送，如果不允许则继续尝试子域爆破
批量抓取目标所有子域Web banner
批量对目标所有子域集中进行基础服务端口探测识别
批量识别目标所有存活Web站点的Web程序指纹及其详细版本
从 Git中查找目标泄露的各类敏感文件及账号密码，偶尔甚至还能碰到目标不小心泄露的各种云的"AccessKey"
从网盘/百度文库中查找目标泄露的各类敏感文件及账号密码
从各第三方历史漏洞库中查找目标曾经泄露的 各种敏感账号密码［国内目标很好使］
目标Svn里泄露的各类敏感文件
网站目录扫描［查找目标网站泄露的各类敏感文件，网站备份文件，敏感配置文件，源 码 ，别人的webshell,等等等...］ 目标站点自身在前端代码中泄露的各种敏感信息
fofa / shodan / bing / google hacking 深度利用
搜 集 目 标 学 生 学 号 /员 工 工 号 /目 标 邮 箱 ［并顺手到各个社工库中去批量查询这些邮箱曾经是否泄露过密码］
目标自己对外提供的各种技术文档/ wiki里泄露的各种账号密码及其它敏感信息
目标微信小程序
分析目标app Web请求
借助js探针搜集目标内网信息
想办法混入目标的各种 内部QQ群 /微 信 群
分析目标直接供应商［尤其是技术外包］
根据前面已搜集到的各类信息制作有针对性的弱口令字典

打点端口

Mssql ［默认工作在tcp 1433端口，弱口令，敏感账号密码泄露，提权，远程执行，后 门 植 入 ］ 
SMB ［默认工作在tcp 445端口，弱口令，远程执行，后 门 植 入 ］ 
WMI ［默认工作在tcp 135端口，弱口令，远程执行，后 门 植 入 ］ 
WinRM ［ 默认工作在tcp 5985端口，此项主要针对某些高版本Windows,弱口令，远程执行，后 门 植 入 ］ 
RDP ［默认工作在tcp 3389端口，弱口令，远程执行，别人留的shift类 后 门 ］ 
SSH ［默认工作在tcp 22端口，弱口令，远程执行，后 门 植 入 ］ 
ORACLE ［默认工作在tcp 1521端口，弱口令，敏感账号密码泄露，提权，远程执行，后 门 植 入 ］ 
Mysql ［默认工作在tcp 3306端口，弱口令，敏感账号密码泄露，提权（只适用于部分老系统）］ 
REDIS ［默认工作在tcp 6379端口，弱口令，未授权访问，写文件（webshell,启动项，计划任务），提 权 ］
POSTGRESQL[ 默认工作在tcp 5432端口，弱口令，敏感信息泄露 ］
LDAP ［默认工作在tcp 389端口，未授权访问，弱口令，敏感账号密码泄露］ 
SMTP ［默认工作在tcp 25端口，服务错误配置导致的用户名枚举漏洞，弱口令，敏感信息泄露］ 
POP3 ［默认工作在tcp 110端口，弱口令，敏感信息泄露］ 
IMAP ［默认工作在tcp 143端口，弱口令，敏感信息泄露］
Exchange 默认工作在tcp 443端口，接口弱口令爆破 eg: Owa,ews,oab,AutoDiscover... pth脱邮件, 敏 感 信 息 泄 露 . . . ］
VNC ［ 默认工作在tcp 590。端口，弱 口 令 ］ 
FTP ［默认工作在tcp 21端口，弱口令，匿名访问/可写，敏感信息泄露］ 
Rsync ［ 默认工作在tcp 873端口，未授权，弱口令，敏感信息泄露］ 
Mongodb ［默认工作在tcp 27017端口，未授权，弱 口 令 ］ 
TELNET ［ 默认工作在tcp 23端口，弱口令，后 门 植 入 ］ 
SVN ［默认工作在tcp 3690端口，弱口令，敏感信息泄露］ 
JAVA RMI 默认工作在tcp 1099端口，可能存在反序列化利用］
CouchDB [ 默认工作在tcp 5984端口，未 授 权 访 问 ］
WEBLOGIC [ 默认工作在tcp 7001端口，弱口令部署war包，命令执行，反序列化］