滲透測試 信息收集 詳細分析

目錄

• 信息收集
  • 信息收集手段
    • 被動信息收集
    • 主動信息收集
  • 信息收集階段要作什麼？
    • 域名
    • 子域名
    • 子目錄
    • 真實物理路徑
    • 真實ip
    • 真實ip段
    • 旁站
    • 後臺
    • 端口
    • 服務
    • 操做系統
    • cms(指紋)
    • waf
    • 防火牆
    • 社工庫
    • 其餘
  • 信息收集的實現（重點）
    • Google Hack or Baidu Hack
    • cdn判斷及繞過
    • 子域名獲取
    • 子目錄及真實路徑及旁站的探測
    • web框架及操做系統及服務信息
    • cms查詢
    • 端口掃描
    • whois
  • 特殊工具詳解篇
    • dig
    • netdiscover
    • fping
    • nmap
    • snmpwalk
    • wafw00f

信息收集

信息收集手段

信息收集的手段大致能夠分爲兩類：

被動信息收集

不與目標系統產生直接交互,如搜索引擎,網站查詢,nslookup,dig等
說白了就是具備查詢性質的手段
至於這個查詢，學會本身體會，查詢一些個信息，或者對網站進行搜索訪問確定是不會給系統產生攻擊表現,就不會在日誌上留下痕跡

主動信息收集

與目標系統產生直接交互,會在目標系統日誌留下痕跡
如nmap ping fping awvs 。。。等手段
雖說會給目標系統留下痕跡,當咱們仍是要儘量減小痕跡
如：使用代理,僞造ip等手段
在後續工具講解中我不會再去分哪些是主動,哪些是被動,你們自行理解 😃 無論什麼手段,一切都是爲了收集信息！！！

信息收集階段要作什麼？

信息收集階段要儘量的收集滲透測試對象的一切信息，越詳細對於後續漏洞掃描,利用階段越有利。
主要內容以下：

域名

如baidu.com是百度的域名 qq.com是qq的域名。www.baidu.com是百度的FQDN,或者說是域名。這裏你們要把域名和FQDN搞清楚。
至於域名的收集沒什麼好說的。

子域名

即FQDN，如qq.com是域名,那麼www.qq.com,music.qq.com都是qq.com的子域名。通常來講一個主網站都是www開頭。每每網站的主站都會存在本系統最高級別防禦措施,若是拿不下主站嘗試從子域名出發提權哪些主站。

子目錄

幾乎網站都由一系列目錄組成,一個網站的框架就是有子目錄及文件構成,因此至關重要

真實物理路徑

即在操做系統中真實文件路徑

真實ip

爲啥ip地址要加個真實呢？不少網站爲了加快各地對網站的訪問,會去購買cdn服務,若是存在cdn,簡單方式將沒法獲取目標ip地址。後續我會簡述cdn發現及繞過尋找真實ip地址

真實ip段

真實ip段每每和子域名相生相依,在ip段應當進行存活主機的探測。每每來講一個系統主站,子站都回存在於一個ip段內,利用ip段,探測可能找出真實ip地址。
多說一句爲啥要加一個真實兩個字,仍是繞不過cdn這個話題,某些有錢的網站可能除了主站作cdn可能子站也作了cdn，咱們必須儘量去尋找沒有作cdn的ip地址從而找出真實ip段。好比一些被遺忘的老站等

旁站

通常來講每每都是一個蘿蔔一個坑,通常是一個ip地址對應一個網站。但可能存在一系列疏忽，致使一個ip地址可能存在多個網站,拋去正常訪問到哪一個網站就叫旁站。咱們能夠嘗試尋找旁站提權到同ip主站

後臺

後臺是管理員登陸處，能夠嘗試弱口令或者爆破等手段登錄

端口

一個端口對應一種服務,一個應用程序監聽一個端口.如：
80端口對應http服務
53端口對應dns解析服務
21對應FTP服務
具體還有不少數據庫服務對應端口等等在這裏不具體闡述，遇到自行百度
嘗試找出端口對應服務是否開啓

服務

也就是端口對應的服務,有時可能存在默認端口號不對應默認服務,具體問題具體分析

操做系統

目標操做系統識別如windows linux 等

cms(指紋)

不少公司建站都會使用一些框架,如織夢,discuz,咱們嘗試獲取其web框架名稱及版本,而後查詢該web框架存在漏洞,攻擊網站

waf

web防火牆識別

防火牆

防火牆的識別

社工庫

社工庫至關可怕,一個qq號,一個網名,能夠查出不少私密信息，具體就不說了。

其餘

郵箱
電話
傳真
公司地址
管理員信息
...
這些信息能夠用來作一些個釣魚

信息收集的實現（重點）

Google Hack or Baidu Hack

語法：

1. site:
   指定必須包含域名,尋找某網站的子域名，經常使用此參數
   

2. inurl:
   代表我url連接中必須包含的目錄或文件
   能夠用來批量找後臺
   經常使用：
   Admin/
   System/login.php
   admin/login.asp
   
   

3.intext:
intext是在搜索內容處加限定,
如 intext:後臺
intitle:
而intitle則是在標題處加限定
如intitle:後臺
後臺管理
管理員登錄
歡迎來到管理中心

4. | and + -
   "" | 是一個或判斷,and是必須都有判斷
   +號表示必須含有 -號表示必須不包含
   "內容"表示其中內容必須連續
   
   5.filetype:
   能夠是：
   doc xls conf inc PHP ASP CGI PDF JSP FCGI SWF DOC TXT EXE PPT XLS INI YML MP3 MP4 JPG
   加一些特定關鍵詞可能搞到網站帳號,密碼文件
   
   n's'look'j
   cache:url
   打開網頁緩存信息
   當網站異常，咱們能夠打開刪除信息，歷史信息,快照信息

cdn判斷及繞過

判斷方法一：
https://ping.chinaz.com/
輸入域名,會進行多地ping,若出現不一樣ip地址則說明存在cdn
判斷方法二：
dig：

dig www.xxx.com cname

若存在cname則存在cdn
繞過大法：
法一：
獲取歷史dns記錄
獲取未採用cdn時ip
強推一個網站
https://viewdns.info/

它還有許多其餘功能，讀者本身體會

能夠發現很早的ip記錄,找到ip
法二：ssl證書查詢
https://myssl.com/ssl.html
該網站根據網站的ssl證書信息，可能會爆出真實ip或真實ip段
法三 子域名,ip段查詢查詢
以前提過cdn若是給因此子域名作，那麼價格不菲，有時爲了節省成本，可能出現子域名任在真實ip段
以後我再講此法
法四 利用網站漏洞
命令執行反彈shell xss盲打 ssrf
這些我會之後詳談
法五 採用國外主機解析域名
有些網站爲了節約,不會給國外方法作cdn
嘗試使用谷歌dns解析

dig www.xxx.com @8.8.8.8 a

法六 敏感文件泄露
phpinfo()
後續會講的目錄爬取可能存在爬出敏感信息

法七
利用mx記錄
可能會暴露真實ip段

dig xxx.com @8.8.8.8 mx

etc...才疏學前有些大佬的法子沒看懂也就不寫上來了

子域名獲取

法一：網站查詢
直接輸入域名獲取子域名
輸入真實ip獲取真實ip段存活主機
https://site.ip138.com/
法二：shodan fofa zoomeye
https://fofa.so/
https://www.zoomeye.org/
https://www.shodan.io/
在此僅介紹shodan,其他兩個都是中文網站具備手冊
net:1.1.1.1
net:1.1.1.0/24
net:xxx.com
city:城市英文名
country:CN
port:
os:
三個都是搜索神器,功能遠不止子域名獲取,這裏就不詳談,請自行學習
法三：dns區域傳輸
某些dns服務器配置不當致使可以利用

host -T -l xxx.com 8.8.8.8

法四：工具爆破
經常使用法子
layer子域名發掘機

爆破工具繁雜,自行選擇

子目錄及真實路徑及旁站的探測

法一：手工法
1.直接上手網站進行敏感文件測試
www.xxx.com/robots.txt
2.探針文件（遺留文件）
常見探針名
phpinfo.php info.php php.php 1.php
3.報錯得到
容錯很差網站 404
動態url加單引號 錯誤sql語句保出真實路徑
4.工具爬蟲
awvs爬蟲
結構最爲可靠

burp的爬蟲功能
5.爆破工具
御劍後臺爆破
dirbuster

web框架及操做系統及服務信息

1.服務平臺即腳本類型經過經過http響應包
可能會返回目標系統的框架及操做系統信息
2.nmap

nmap -O 1.1.1.1 /獲取操做系統
nmap -sV 1.1.1.1 /獲取服務信息
nmap -A -T4 1.1.1.1 /同時獲取二者

推薦使用-A,注意大小寫
這裏先帶過nmap後續詳談

3.必定注意數據庫和web框架和操做系統搭配,如mssql智能在windows ,iis只能在windows

cms查詢

1.手工法
打開網站 f12 進行手工搜索url中特殊路徑,可能搜出cms信息
2.爆破法
使用
御劍web指紋識別等指紋識別工具
3.網站大法
http://whatweb.bugscaner.com/
最好使用

端口掃描

nmap -sS 1.1.1.1  /默認掃描1000個經常使用端口 半開掃描
等同
nmap 1.1.1.1

nmap -sT 1.1.1.1 /全開掃描

後續詳談nmap

whois

經過whois能夠獲取一些其餘類別信息
1.命令
whois xxx.com
2.網站
https://whois.chinaz.com/
很差使

特殊工具詳解篇

dig

dns信息收集工具
被動信息收集神器

dig xxx.com a @8.8.8.8 /a查詢ipv4 cname查詢cname記錄 @8.8.8.8指定8.8.8.8爲dns服務器
dig www.xxx.com any @8.8.8.8 /查詢因此信息,包括mx ns txt 記錄
dig +noall +answer -x 1.1.1.1 /反向解析域名1.1.1.1

netdiscover

二層發現工具
使用arp協議發現同局域網ip存活

netdiscover -i eth0 -r 192.168.124.0/24        /-i指得網卡 
netdiscover -p /混雜模式，被動收包探測

fping

三層發現工具
基於icmp/ip協議
可路由
速度慢於二層發現

fping 1.1.1.1 -c 1
fping -g 1.1.1.0/24
fping -g 1.1.1.1 1.1.1.255

nmap

nmap是一款主機探測/端口掃描工具
首先針對掃描目標進行闡述：
能夠是ip,ip段,域名

nmap 1.1.1.1
nmap www.xxx.com
nmap 1.1.1.1-255
namp 1.1.1.0/24

端口闡述

nmap 1.1.1.1 -p1-65535
默認不加-p掃描1000經常使用端口
nmap 1.1.1.1 -p80,8080,21,443

經常使用主機存活發現指令

nmap -sn 1.1.1.0/24   /不進行端口掃描,會更具ip切換二層三層掃描
nmap -Pn 1.1.1.0/24   /默認全部端口在線，可能結果比-sn準確
nmap -PU 1.1.1.0/24  /進行udp探測主機存活
nmap -PS 1.1.1.0/24 /進行tcp發送syn包探測主機存活
nmap -PA 1.1.1.0/24 /進行tcpack包探測

經常使用端口存活主機發現

nmap -sS 1.1.1.1  /進行端口掃描以發現syn形式 也稱半開掃描  發現過程 Syn——syn/ack——rst
namp 1.1.1.1 /等同-sS
nmap 1.1.1.1 -sT /進行全開掃描,創建完整tcp鏈接
nmap 1.1.1.1 -sU /udp方式掃描

防禦牆識別

nmap -sA 1.1.1.1 /結合-sS判斷端口的狀態能夠判斷出是否存在防火牆  好比-sA 出現 filtered

服務識別

nmap 1.1.1.1 -p 80 -sV

操做系統識別

nmap 1.1.1.1 -O

waf識別

nmap www.baidu.com --script=http-waf-detect.nse

snmpwalk

snmpwalk 1.1.1.1 -c public -v 2c /若開啓snmp服務，並設置public可讀,將會獲取大量信息

wafw00f

waafwoof www.xxx.com