***測試思路 - 信息收集

***測試思路

​ Another：影子

（主要記錄一下平時***的一些小流程和一些小經驗)

信息收集

前言

筆者很垃圾，真的很垃圾,大佬放過弟弟可好：）

​ 不少人挖洞的時候都是沒有目標的，每次的***測試和挖洞都是臨時起意，看到一個點，感受存在漏洞就會去嘗試，直接sqlmap一把梭，或者burpsuite抓包爆破，或者其餘的一些工具利用

​ 可是，真的想去挖一個src的時候，和挖一個站的漏洞的時候，第一步的信息收集真的很重要

懸劍推薦的資產收集工具：
InfoScraper
項目簡介:Info Scraper是一種界面友好的網絡應用資產檢測工具，適合於***測試前期對目標資產的快速檢測，如CDN檢測，Web指紋等，項目基於NodeJS，掃描結果直接本地以列表形式展現。 CDN判斷，Web指紋，WHOIS查詢，子域名發現，IP反查域名，IP位置，IP端掃描，靜態文件中敏感信息發現如API接口，郵箱，電話等
項目地址:https://github.com/MichaelWayneLIU/InfoScraper
項目標籤:資產探測
推薦理由:資產探測工具

信息收集都是收集那些東西

​ 拿到一個站點的時候，多是域名，或者ip地址

​ 當拿到域名的時候，收集的東西包括如下（我很垃圾，可能寫的不是特別完整）

子域名

子域名爆破，我碰見的都是直接爆破，利用工具Layer子域名挖掘機等(以下圖)，或者在線的工具，好比https://phpinfo.me/domain/ 大佬博客的在線爆破子域名，也能夠用本身收集的子域名fuzz字典

子域名爆破的時候可能會顯示所有存在，由於在域名解析的時候，將全部域名都泛解析到了一個服務器上

例如 ：

 		*.starsnowsec.cn 解析到了 66.66.66.66

​		而後服務器將 *.starsnowsec.cn 域名所有轉發到80端口

這個時候 可使用title 獲取，利用title或者字節的不一樣進行判斷(推薦使用title)

網站真實IP

不少***測試中可能會存在CDN，那麼如何去查找網站真實IP

(1) 多地方進行Ping，國內外Ping(站長工具等)
(2) 歷史解析記錄
(3) 郵箱訂閱
(4) nslookup
(5) 子域名查詢真實IP(不少時候，子域名都沒有來得及增長CDN)
(6) 信息泄露
(7) ......

(
	問： 小影子，這些我都查過了，就是找不到真實IP怎麼辦？
	答： 放棄找到真實IP地址，直接對已知的子域名進行測試，還能夠對域名的端口進行爆破
	例如：www.starsnowsec.cn:8001 sxc.starsnowsec.cn:6666
	這些也都是能夠收集的點
)

端口

直接nmap掃一下端口，看一下有那些敏感端口，例如80,8888,8080,443,3306,3389
而後去肯定本身可以利用，可以從哪裏下手的一些端口
例如80,443,8888等一些WEB端的端口，去查看中間件，用的是Apache，Nginx，IIS等一些，直接找到版本對應的exp，而後還有一些框架的漏洞，這些都是信息收集所須要的,這裏推薦一個Google瀏覽器小插件Wappalyzer,能夠直接查看到服務器所使用的一些版本啊什麼的(以下圖)
或者3389,22,21,23,3306等一些其餘協議的端口,這些能夠利用一些現有的工具去進行爆破該協議

網站使用的服務

例如 公有云OSS，這種通常會可能暴露ACCESS ID ACCESS SERCERT

拿到以後就直接利用行雲管家操做

肯定目標端口

若是網站規模較大，網站後臺可能就不會在同一個域名下
例如：
主網站域名爲 : www.starsnowsec.cn
網站後臺管理 ：admin.starsnowsec.cn
也有多是這樣:
主網站域名爲 ： www.starsnowsec.cn 網站真實IP爲 66.66.66.66 端口爲 80 端口
網站後臺管理 ： 66.66.66.66:8001
這些狀況都是存在的,也有可能網站真實ip只開放了80端口，域名沒有爆破出來，解析記錄也麼有找到，網站後臺肯定了在這臺服務器上，並且肯定了網站後臺管理不在這個域名上，那怎麼辦？
答案：
涼拌(手動狗頭)
服務器可能開啓了端口轉發，根據訪問的域名的不一樣，服務器將不一樣端口的流量轉發到80端口
這種狀況能夠換個子域名fuzz字典，搞一個更強勁的字典

IP反查域名

當拿到ip地址的時候，直接掃描一波端口，而後ip反查域名，查出域名以後，在爆破一波域名

(
	問： 小影子，我都拿到ip地址了，爲何還要屢次一舉去反查域名呢?
	答： 由於網站用的服務器可能不止這一個啊，反查到域名，再爆破域名，可能會有更多的收穫哦
)

社會工程學

社工對於紅隊來講應該是一個很常見的套路，釣魚等都是能夠的，過度點跑到人家公司樓下面的都太常見了

如今tg機器人跑路了，筆者也對這方面不是特別瞭解，因此也沒有辦法推薦跟tg機器人相似的，實在抱歉

關於社工，筆者認爲比較好點的書籍就是《語言的藝術》等

(筆者也沒有多少的讀過這類書籍，因此只能籠統的去建議這些東西)

Tips：目標是一個通用可是並不開源的系統怎麼辦?

筆者以前打bc的時候碰見過這種狀況，目標站點用的是一個通用的系統(以下圖),

​ （打碼真心好評）

​ 目錄掃描，沒有找到有用的信息，網站真實IP找到以後，nmap掃了一波1-65535 只開啓了 80,3306,22

​ 可是3306端口不容許個人IP訪問，應該有白名單，尷尬

​ 只剩下了22,80,

​ 22端口爆破，直接封了IP

​ 如今還有80端口，目錄掃了，沒有任何特別有用的地方，怎麼辦？？

​ 借用大佬的一句話：

​ ***本就是逆天而上

​

​ 死在半路也是很正常

​ (手動狗頭，哈哈哈哈哈哈隔)

​ 前端文件，基本都會引用js和css文件，這樣就會暴露js文件所在的地方，這個時候就能夠進行js文件爆破，畢竟不少登陸接口函數的地方都會寫在js文件中,這種js文件fuzz字典，網上是有不少的(筆者整理一下，再發出來)，

這裏在推薦一個前端小爬蟲插件Site Spider

​ 用來爬取前端中的文件，效率還能夠，

​ 而後我發現了一個有趣的地方，這個站引用了一個其餘站點的圖片

​ 直接打開了這個域名，哇偶，大發現，這個是站專門來賣這些bc站的源碼，個人目標就是這個站所賣的源碼

​ 目標找不到源碼和漏洞，能夠在這邊試一試，直接在上面就能找到功能的測試地址，找了好幾個bc演示站，這些演示站都是在都一個服務器，只是端口不一樣，

​ 驚喜就在這，有一個演示站的地方有sql注入

​ 我？？？

​ sqlmap一把梭，直接administrator權限

筆者矇蔽了,確實懵逼了

​ 這。。。

​ 而後這個演示站用的是IIS，並且有一個文件目錄泄露，直接訪問Thumb.db文件爆出網站絕對路徑

​ ............

大體通過就是這樣，若是目標站實在不行，那就去找，使用和這個目標站同樣源碼的其餘站，從其餘站和其餘站的旁站入手，不能在一棵樹上吊死，

(

​		問：小影子，怎麼去找跟這個目標站同樣源碼的站啊？

​		答： fofa直接搜索關鍵字 :)

)

聽大佬說，zoomeye和shadow更搜索適合設備，fofa適合搜索WEB

Tips：大廠SRC 信息收集收集到的都是別人挖過的，我太垃圾了，挖不到怎麼辦

我的經驗，以前僥倖挖到一個滴滴SRC中危，這個洞是在小程序裏面挖到的

目前，小程序測試裏面的漏洞仍是有很多的，能夠嘗試嘗試挖取小程序漏洞

(
	問： 小影子，微信小程序怎麼挖取啊，我找不到小程序包的位置?
	答： 網上有不少教程，例如 https://www.jianshu.com/p/52ffef6911a0
	
	問： 小影子，我用手機作代理，burpsuite進行抓包，我證書什麼都安裝了，可是就是抓不到小程序的包，怎麼辦啊？
	答： 微信版本好像要低於必定的版本，高於這個版本是隻信任本身的證書的，並且手機安卓版本好像要低於5.3仍是多少，我忘了(手動狗頭),而後在安裝Xposed框架還有一個JustTrustMe，去掉https驗證
	大佬博客那裏已經整理好了(對不起，我忘了大佬的博客地址了...)，我這裏只能作個搬運工，原諒我太垃圾了
	
)

後言

​ ***測試和挖洞必定要在受權狀況下進行，切勿增刪添改數據，切勿影響正常業務

有影子的地方，就有光