信息搜集
也称踩点,主要搜集包括端口信息、DNS信息、员工邮箱等各种目标信息。
信息搜集是渗透测试的最重要的阶段,占据整个渗透测试的60%,可见信息搜集的重要性。根据收集的有用信息,可以大大提高渗透测试的成功率。
分为
- 主动式信息搜集(可获取到的信息较多,但易被目标发现)
- 通过直接发起与被测目标网络之间的互动来获取相关信息,如通过Nmap扫描目标系统。
- 被动式信息搜集(搜集到的信息较少,但不易被发现)
- 通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。
搜集信息方向:
- 域名方面:whois、子域名、备案信息;
- 服务器方面:dns信息、端口服务、真实ip;
- 网站程序(web层)方面:网站架构、敏感目录及敏感信息、源码泄露(搜索引擎+工具)、脆弱系统(网络空间)、旁站查询、C端查询、指纹信息、探测waf;
- 企业方面:天眼查、企业信用信息公示系统
开启搜集
1.Whois信息和Whois反查
whois是用来查询域名的IP以及所有者等信息的传输协议。 whois信息可以获取关键注册人的信息,包括注册商、联系人、联系邮箱、联系电话、创建时间等,可以进行邮箱反查域名,爆破邮箱,社工,域名劫持等等。
使用whois反查功能:
微步查询whois信息https://x.threatbook.cn
反查邮箱的效果,微步需要登录才可以查看更多的信息。
Who.is https://who.is
2.子域名搜集
layer子域名挖掘机,下载地址:https://www.webshell.cc/6384.html
subDomainsBrute:需要先安装python,github下载地址:https://github.com/lijiejie/subDomainsBrute。搜索的结果受字典大小限制。
搜索引擎语法(site:xxx.com)
3.备案信息
ICP备案查询:http://www.beianbeian.com
公安部备案查询http://www.beian.gov.cn/portal/recordQuery?token=5da32399-ef89-4676-83da-666671a269c3
4.DNS信息搜集
kali:
在线工具地址:http://tool.chinaz.com/dns/ https://tool.lu/dns/
5.探测端口服务
Nmap即可
6.获取网站真实ip
1、二级域名法 一般网站不会所有的二级域名放CDN,因此我们可以利用这点来获取网站的真实ip
2、多地ping法 由CDN的原理,不同的地方去Ping服务器,如果IP不一样,则目标网站肯定使用了CDN
3、nslookup法 找国外的比较偏僻的DNS解析服务器进行DNS查询,因为大部分CDN提供商只针对国内市场,而对国外市场几乎是不做CDN,所以有很大的几率会直接解析到真实IP
4、查看邮件法 通过查看邮件原文来确定ip地址,CDN总不会发送邮件吧
5、RSS订阅法 RSS原理于邮件法差不多
6、查看历史解析记录法 查找域名历史解析记录,域名在上CDN之前用的IP,很有可能就是CDN的真实源IP地址
7、利用网站漏洞(XSS、命令执行、SSRF、php探针、phpinfo页面等) 可以通过一些页面和漏洞获取到服务器ip地址也是可能的。
7.网站架构
操作系统:
Nmap
中间件信息
上一张云悉的截图里面的web容器:Apache
数据库
云悉里面也有
编程语言
8.敏感目录及敏感信息、源码泄露(搜索引擎+工具)
御剑:这款工具主要用于扫描网站的敏感目录、敏感文件。这里必须要说明一下字典必须要足够强大才可以扫到别人发现不了的点。因此我们必须完善一下自己的字典。
下载:http://www.ddooo.com/softdown/82360.htm#dltab
搜索引擎
搜索引擎也可以用于搜索网站的敏感目录、敏感文件和敏感信息。
这里就必须提一下搜索引擎的语法了,这里以google 黑客语法为例,语法同样适用于百度搜索引擎。
基本语法:
BBscan是一款信息泄漏批量扫描脚本。用python写的安全工具,地址:https://github.com/lijiejie/BBScan
GSIL是一款由python3写的从github上寻找敏感文件的安全工具,项目地址:https://github.com/FeeiCN/GSIL
9.社交平台
在wooyun某一些案例中,有一些奇葩的思路,通过qq群信息泄露或者通过在线文档平台等等导致被攻击
10.脆弱系统(网络空间)
网络空间搜索引擎:
1、Shodan
2、FOFA
3、Zoomeye
11.旁站查询
旁站是和目标网站在同一台服务器上的其它的网站。
旁站查询:http://s.tool.chinaz.com/same
12.C端查询
C端是和目标服务器ip处在同一个C段的其它服务器。
Nmap
13.指纹信息
指定路径下指定名称的js文件或代码。
指定路径下指定名称的css文件或代码。
<title>中的内容,有些程序标题中会带有程序标识
meta标记中带程序标识<meta name=”description”/><meta name=”keywords”/><meta name=”generator”/><meta name=”author”/><meta name=”copyright”/>中带程序标识。
display:none中的版权信息。
页面底部版权信息,关键字© Powered by等。
readme.txt、License.txt、help.txt等文件。
指定路径下指定图片文件,如一些小的图标文件,后台登录页面中的图标文件等,一般管理员不会修改它们。
注释掉的html代码中<!–
http头的X-Powered-By中的值,有的应用程序框架会在此值输出。
cookie中的关键字
robots.txt文件中的关键字
404页面
302返回时的旗标
指纹信息的重要性
通过识别目标网站所使用的CMS信息,可以帮助我们进一步了解渗透测试环境,可以利用已知的一些CMS漏洞来进行攻击。
识别指纹方式
1、云悉
2、wappalyzer插件
3、whatweb工具
14.探测waf
WAF也称Web应用防护系统,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。
原理:WAF识别大多基于Headers头信息。通过发送恶意的内容,对比响应,寻找数据包被拦截、拒绝或者检测到的标识。
Nmap:
WAFW00F: