06.信息收集

01常規信息收集
02網絡信息收集
03後臺查找總結
04CDN繞過總結
05KALI信息收集

 

01常規信息收集

信息收集
網絡狀況分析
web方向信息收集
服務器方向信息收集
網絡設備信息收集

目標對象分析
單個目標服務器（非web）
Web服務器 整個網絡拓撲
內網：
網絡設備：交換機、路由器、防火牆、ids、等
網絡中的服務器：文件服務器、dns、http、域控制器等
外網：
相關聯的其餘服務器（ip關聯、服務關聯）
旁站、c段、郵件服務器、dns服務器、代理服務器等

信息收集的目的：
更好更更全面發現網絡安全問題，網絡信息，爲漏洞分析，內網滲透作好鋪墊。

問？咱們要去收集哪些信息
問？咱們要收集誰的信息
答：要根據滲透的目標來進行收集

收集這個ip對外所開放的全部服務，哪些服務會被黑客入侵

多針對web漏洞收集，由於web漏洞多
owasp top10

非其餘服務：
1.漏洞利用 smb：08067 17-010 rdp：12-020
2.爆破口令 root 測試弱口令 服務的權限在系統中多是sys tem權限
3.欺騙 arp欺騙：數據被人嗅探竊取。
4.釣魚 敏感信息被人竊取
等等不少

服務怎麼收集：
掃端口：nmap

拿到了服務器權限，就得以服務器爲跳板打入內網

web方向信息收集：
域名信息
敏感目錄
旁站C段
整站分析
谷歌hacker
url採集
信息分析

域名信息：
對應ip收集 相關域名對應ip，相關工具：nslookup、一些工具網站
①收集到ip能夠查看時哪一個機房有沒有waf
例如：ping www.fanghan521.com 返回結果1.1.1.1 經過百度ip查詢：青島 阿里雲
//阿里雲就知道不能用工具掃，不能用sqlmap跑，會封Ip
//經過ip反查，看看出來目標站還有沒有其餘旁站。

②子域名收集：
側重於：學校 大學站點 機構 大型公司 大型政府 企業 團體機構
例如：齊魯理工大學,每個科目都會有一個站。主站通常安全性比較高，子站通常都是內部人訪問。
找到主站域名qlit.edu.cn
子域名挖掘機：qlit.edu.cn //注意子域名挖掘的掛的ie，得把代理去掉。端口能夠加3306.3389
不少子域名：根據容器分析漏洞存在狀況優先測試
iis apache nginx tomcat jboss //iis 6.0 7.0 8.0 10.0//大可能是windows搭建有低版本先搞低版本asp aspx php等低版本會有解析漏洞
apache(win32)//通常都是集成環境phpstudy upupw 寶塔。phpstudy有phpmyadmin，mysql,可能root root就登進去了

大學這種通常會買一個端，子域名的機房會在公網端，那不到主域名能夠進行嗅探

subDomainsBrute-master（工具）：解壓到python2裏去
命令：subDomainsBrute.py 目標域名
③whois（註冊人）信息查詢
根據已知域名反查，分析出此域名的註冊人、郵箱、電話等
工具：愛站網、站長工具、微步在線（https://x.threatbook.cn） site.ip138.com、searchdns.netcraft.com
whois:
註冊人姓名
註冊人郵箱
註冊人電話
註冊人地址
域名註冊時間
等等
對應利用：
1.社工庫查詢 //郵箱的密碼能夠用來撞目標站庫
2.註冊人反查 //註冊人其餘站若是有注入，能夠經過裝好密碼去撞目標站庫
3.郵箱反查
4.社工 // 社工註冊域名的運營商，提供電話地址註冊時間等

敏感目錄：
收集方向
robots.txt 後臺目錄 安裝包 上傳目錄 mysql管理接口 安裝頁面 phpinfo、編輯器、iis短文件,分析網站cms
經常使用工具
字典爆破 >> 御劍、dirbuster、wwwscan、IIS_shortname_Scanner等 蜘蛛爬行 >> 爬行菜刀、webrobot，burp等

robots.txt:fanghan.com/robost.txt記錄了不容許百度谷歌蜘蛛爬行的目錄//證實該目錄很重要
後臺目錄：御劍無字典掃描，御劍，御劍後臺珍藏版，DirBuster，中國菜刀爬行
DirBuster使用：域名，線程，字典，php，安全狗防止---options--advanced--httpopxx---打開Dirbus文件位置---bypass.txt--找到不攔截的百度爬蟲的放進去---ok開始

旁站c段
旁站：同服務器其餘站點
C段：同一網段其餘服務器 收集方向：域名、端口、目錄
經常使用工具： web >> http://www.5kik.com/c/、目錄掃描工具 端口 >> portscan

測不到主站，去測旁站或者c段
知道旁站：1ip,
2域名, //ip反查找目錄工具python Toos ai-c.py
3不一樣端口,
4二級目錄

ai-c.py工具使用：須要安裝bs4 requests模塊
，運行後會在d:/t11.csv生成一個文件，打開後保存在記事本里，再次使用。

端口收集：
Scanpout:
其實ip目標地址
結束ip
設置高危的端口
目錄：
經過二級目錄子目錄來看有沒有創建網站

整站分析


服務器類型
服務器平臺、版本等 //系統，版本
網站容器
搭建網站的服務組件，例如：iis、Apache、nginx、tomcat等
腳本類型
ASP、PHP、JSP、aspx等
數據庫類型
access、sqlserver、mysql、oracle、postgresql等
CMS類型 //y
WAF

更好的去發掘漏洞，瞭解網站的架構。

fanghan.com：
asp的腳本類型，通常windows站居多
經過檢查Network訪問他的響應包// microsoft-IIS/10 windows2016
ASP小企業通常都是access數據庫
cms識別：輕量指紋識別，云溪指紋識別系統
WAF and 1=1 或者掃描掃一下就知道是否攔截了

 

谷歌黑客語法：

1.Intext:? ?? ?
查找網頁中含有xx關鍵字的網站? ?例：Intext：管理員登陸
2.Intitle：?? 查找某個標題? ?? ?例：intitle：後臺登陸
3.Filetype： 查找某個文件類型的文件?例：數據挖掘 filetype：doc
4.Inurl:? 查找url中帶有某字段的網站例：inurl：php?id=?
5.Site：? 在某域名中查找信息?
6.intitile:<%eval( ，intitle:<eval($_POST //查看tile是否被植入一句話

思路：
site:qlit.edu.cn inurl:asp?id= //能夠找找目標站aso的站點，asp好搞一點
site:jp //日本 測試日本的網站
inurl:fackeditor
inurl:upload //上傳

採集相關url的同類網站
例如：
php?id=
漏洞網站
相同某種指紋網站
經常使用工具 谷歌hacker
url採集器
url採集須要4個東西
requests bs4 selenium chromedriver
打開谷歌查看版本號
百度搜索python selenium chromedriver下載對應驅動
驅動放到python目錄下
原理：用selenium去驅動谷歌瀏覽器，模擬正經常使用戶搜索
1.打開url採集文本模式轉到48行：broeser.get('http://www.baidu.com')
2.打開url信息採集 轉到51行
query = "須要去百度採集的內容"
3.右鍵進入windows powershell //若是沒有就得打開一級一級進入目錄
4.cmd
5.python3 baidu_url採集.py //回車執行
6保存位置在d盤 fi = open('d:/bai_url.txt', 'a')

url採集後批量利用：
工具M7lrvCMS
右鍵導入
右鍵掃描

思路，1000個旁站能夠用來工具掃漏

服務器方向信息收集：
服務信息收集：
網絡服務：web/ftp/telnet/ssh/mail/mysql/mssql/oracle/rdp
服務版本，漏洞等相關信息收集
系統版本信息收集

除了web服務，其餘服務靠的是端口

工具Scan port 看看端口開放//出現不在知道的端口就用nmap去識別
nc telnel去連接ip加端口

網絡開放端口
路由
防火牆 代理服務器等相關設備的收集
shodan

例如測試目標
web沒有漏洞
但經過子網獲取到了一個網段
經過shodan來分析ip
可能一些ip用在了攝像頭服務器上。 攝像頭服務器可能就是默認口令
這些攝像頭服務器均可以web管理，拿到get shell進行提權

shodan網絡搜索引擎偏向網絡設備以及服務器的搜索，具體內容可上網查閱，這裏給出它的高級搜索語法。 地址：https://www.shodan.io/
搜索語法 hostname：　　搜索指定的主機或域名，例如 hostname:」google」
port：　　搜索指定的端口或服務，例如 port:」21」
country：　　搜索指定的國家，例如 country:」CN」
city：　　搜索指定的城市，例如 city:」Hefei」
org：　　搜索指定的組織或公司，例如 org:」google」
isp：　　搜索指定的ISP供應商，例如 isp:」China Telecom」
product：　　搜索指定的操做系統/軟件/平臺，例如 product:」Apache httpd」
version：　　搜索指定的軟件版本，例如 version:」1.6.2」
geo：　　搜索指定的地理位置，例如 geo:」31.8639, 117.2808」
before/after：　　搜索指定收錄時間先後的數據，格式爲dd-mm-yy，例如 before:」11-11-15」
net：　　搜索指定的IP地址或子網，例如 net:」210.45.240.0/24」

censys搜索引擎
censys搜索引擎功能與shodan相似，如下幾個文檔信息。
地址：https://www.censys.io/
搜索語法
默認狀況下censys支持全文檢索。
23.0.0.0/8 or 8.8.8.0/24　　可使用and or not
80.http.get.status_code: 200　　指定狀態
80.http.get.status_code:[200 TO 300]　　200-300之間的狀態碼
location.country_code: DE　　國家
protocols: (「23/telnet」 or 「21/ftp」)　　協議
tags: scada　　標籤
80.http.get.headers.server：nginx　　服務器類型版本
autonomous_system.description: University　　系統描述
正則

FoFa搜索引擎
FoFa搜索引擎偏向資產搜索。
地址：https://fofa.so
搜索語法
title=」abc」 從標題中搜索abc。例：標題中有北京的網站。
header=」abc」 從http頭中搜索abc。例：jboss服務器。
body=」abc」 從html正文中搜索abc。例：正文包含Hacked by。
domain=」qq.com」 搜索根域名帶有qq.com的網站。例： 根域名是qq.com的網站。
host=」.gov.cn」 從url中搜索.gov.cn,注意搜索要用host做爲名稱。
port=」443」 查找對應443端口的資產。例： 查找對應443端口的資產。
ip=」1.1.1.1」 從ip中搜索包含1.1.1.1的網站,注意搜索要用ip做爲名稱。
protocol=」https」 搜索制定協議類型(在開啓端口掃描的狀況下有效)。例： 查詢https協議資產。
city=」Beijing」 搜索指定城市的資產。例： 搜索指定城市的資產。
region=」Zhejiang」 搜索指定行政區的資產。例： 搜索指定行政區的資產。
country=」CN」 搜索指定國家(編碼)的資產。例： 搜索指定國家(編碼)的資產。
cert=」google.com」 搜索證書(https或者imaps等)中帶有google.com的資產。
高級搜索：
title=」powered by」 && title!=discuz
title!=」powered by」 && body=discuz
( body=」content=\」WordPress」 || (header=」X-Pingback」 && header=」/xmlrpc.php」 && body=」/wp-includes/「) ) && host=」gov.cn」

鍾馗之眼
鍾馗之眼搜索引擎偏向web應用層面的搜索。
地址：https://www.zoomeye.org/
搜索語法
app:nginx　　組件名
ver:1.0　　版本
os:windows　　操做系統
country:」China」　　國家
city:」hangzhou」　　城市
port:80　　端口
hostname:google　　主機名
site:thief.one　　網站域名
desc:nmask　　描述
keywords:nmask’blog　　關鍵詞
service:ftp　　服務類型
ip:8.8.8.8　　ip地址
cidr:8.8.8.8/24　　ip地址段

後臺查找總結

1 弱口令默認後臺：admin，admin/login.asp，manage，login.asp等等常見後臺
2 查看網頁的連接：通常來講，網站的主頁有管理登錄相似的東西，有些可能被管理員刪掉
3 查看網站圖片的屬性
4 查看網站使用的管理系統，從而肯定後臺
5 用工具查找：wwwscan，intellitamper，御劍
6 robots.txt的幫助：robots.txt文件告訴蜘蛛程序在服務器上什麼樣的文件能夠被查看
7 GoogleHacker
8 查看網站使用的編輯器是否有默認後臺
9 短文件利用
10 sqlmap --sql-shell load_file('d:/wwroot/index.php');

目錄掃描找後臺 考目錄字典（字典的大小在於找目錄是否準確）
爬行蜘蛛 爬去的是網站的超連接
例如qasdadmin這個後臺字典沒有，但爬行蜘蛛可能會爬出來，全部後臺和本身最好一塊兒去執行他。

通常後臺地址
admin
admin.asp
managr
houtai
guanli
admin888

織夢：dede
DZ:admin.php
phpv9：admin.php
admin.php

帝國：e/amin
動易:admin
aspcms:admin_aspcms
客信：admin/login.asp

找不到就去掃，爬

谷歌語法
site:baidu.com inurl:admin

後臺子域名：
admin.xxx.com
manage.xxx.com //菠菜大多會在這上面

高危端口：
192.168.8.1：高位端口
ip:8000/8888/9999

運營商搜索法：
複製運營商去百度，搜索出來成千上萬的運營商，總有一個頁面會顯示登陸。而後複製該登陸頁面的地址，使用到目標站

ip反查域名：
目標站點招不到後臺，就去旁站找後臺，由於大多都是一家運營商創建的。
旁站cms不同但可能後臺路徑是同樣的

編輯器
ewebeditor/admin_login.asp//登陸編輯器同樣能夠拿到webshell

CDN繞過

什麼是CDN
如何判斷網站有沒有使用CDN（超級ping）
1.查找二級域名
2.讓服務器主動給你發包（郵件）
3.敏感文件泄露
4.查詢歷史解析ip
訪問繞過cdn
修改hosts文件

CDN主要用來加速的

百度爲了全國方便用戶使用會在各地放5個緩存服務器
當解析服務器，實際上就解析的是1.cdn緩存服務器，這樣你訪問的速度會快一點
但真實與你交互的是百度的真實服務器
攻擊一個網站，沒有繞過CDN訪問真實ip的話，你的攻擊是無效的。

站長工具ping測試：
全國各地的ip都顯示相同就證實沒有作CDN，反正不同的就證實有

二級域名查找方法：
www.qlit.edu.cn //該主站掛了CDN
bbsqlit.edu.cn //子域名可能就沒掛CDN//經過不少子域名去分析

驗證方法：
綁定hosts:
c---windows---system32---drivers---hosts
152.265.256.25 bbsqlit.edu.cn
瀏覽器輸入152.265.256.25返回結果若是是目標二級站，那麼就是真實ip
原理：服務器ip都得綁定解析域名

2.讓服務器主動給你發包（郵件

打開郵箱：顯示原文件，找到從哪一個Ip發送的，通常就是真實iP

3.查看ip歷史解析記錄
網址ip138
輸入域名
發現更換了ip解析，可能就是使用了cdn，看他之前的ip可能就是真實ip.把以前的域名ip保存和hosts作一個綁定試試。

4.app若是網站由app就抓包，去分析他的接口，就能找到真實Ip

KALI 信息收集工具使用

新建---典型---稍後安裝---Linux---Debian 8*64位---名稱Kali---KAli111---20G--內存2G
虛擬機設置聲卡，打印去掉---CD/DVD---加載ISO鏡像KAli-Linux-2019.2-admin64.iso
開啓虛擬機---install安裝---簡體中文---中國---漢語---回車--回車---root密碼123123--設置磁盤---推薦新手----改變寫入---yes----

 

手機kali-安卓系統安裝
須要下載三個軟件
Linux deploy/ssh/vnc
設置源ip http://202.141.160.110/kali
鏈接配置安裝軟件

kali系統

用KALI會常常更新，會涉及到源:網絡服務器軟件倉庫地址
源的路徑地址 /etc/apt/sources.list這裏面
vi /etc/apt/sources.list //配置完源
注意：w3af要地址包

1.apt-get update //更新源，升級一下
2.apt-get install 軟件名稱 例如 apt-get install sqlmap //安裝sqlmap
3.apt-get remove 軟件名稱 例如 apt-get remove sqlmap //卸載sqlmap
4.sqlmap回車

deb的包
dpkg -i xxxx.deb

deb若是有依賴關係怎麼辦？
1.先執行apt-get --fix-broken install
2.dpkg -i xxxx.deb

Kali---信息收集
Robots文件探測
DNS信息收集
敏感目錄探測
端口探測
整站識別
Waf探測
工具型站的使用
Google語法

Robots文件
獲取網站隱藏敏感目錄活文件
好比：安裝目錄，上傳目錄，編輯器目錄，管理目錄，管理頁面等

DNS蒐集
蒐集網站域名信息，如子域名，其餘域名，解析服務器，區域傳送漏洞等
經常使用工具：dnsenum、dig、fierce
Whois信息蒐集
Whois qufutuan.com

dnsenum 能夠經過字典或者谷歌猜想可能存在的域名，並對一個網段進行反查。
dnsenum --enum cracer.com 獲取其餘域名
-r 容許用戶設置遞歸查詢
-w容許用戶設置whois請求。
-o 容許用戶指定輸入文件位置

dnsenum重點
他會查到域名對應解析的ip
對域名作的dns服務器
會測有沒有右鍵服務器
經過測得dns服務器有沒有區域文件傳輸漏洞AXFR
AXFR區域文件傳輸：
卡里模擬目標地址站的DNS服務器，向主域名去申請下載裏的配置文件，下載成功，那麼目標域名站裏的配置文件就會被下載到本地。致使敏感文件，敏感服務器泄露

 

fierce 工具主要是對子域名進行掃描和收集信息的。使用fierce工具獲取一個目標主機上全部ip地址和主機信息。還能夠測試區域傳送漏洞。
fierce -dns baidu.com 獲取其餘域名
--wordlist 指定字典
fierce -dns ns9.baidu.com --wordlist host.txt /tmp/12.txt

//該工具能夠測dns信息以及他的子域名

內容：
測出作解析的服務器數量
在對作區域文件傳送測試
對工具自帶的字典進行子域名爆破。

dig工具也是一款比較流行的dns偵查工具
dig www.cracer.com 查詢dns
dig -t ns cracer.com 找解析域名的受權dns
dig axfr @ns1.dns.net cracer.com //查找指定的dns服務器有沒有區域文件傳輸漏洞

 

敏感目錄探測

暴力破解
暴力破解的方法就是須要一個強大的目錄名稱字典，用來嘗試逐個匹配，
若是存在經過響應嗎的回顯來肯定目錄或者頁面是否存在
目錄爬行
目錄爬行原理是經過一些自帶網絡蜘蛛爬行的工具對網站連接進行快速爬行

目錄暴力破解工具
dirb 工具是一款很是好用的目錄暴力猜解工具，自帶強大字典
dirb http://www.cracer.com
dirb https://www.cracer.com
dirb http://www.cracer.com /usr/wordlist.txt
dirb http://www.cracer.com/a/ //掃描指定目錄
dirb http://www.cracer.com -X 123.html // 把結果保存指定文件
dirb http://www.cracer.com /usr/share/dirb/wordlists/xxxx.txt //指定用字典路徑
dirb http://www.cracer.com -a "百度爬蟲地址" -c "cookie信息" -H "請求頭"
//dirb好處就是掃描字典用的遞歸目錄去掃

 

目錄暴力破解工具
dirbuster工具是一款很是好用的目錄暴力猜解工具，自帶強大字典

目錄爬行：
burpsuite

端口探測
nmap

整站識別
whatweb
用來識別網站cms 及你們平臺環境的工具
whatweb -v http://www.cracer.com
平臺、腳本、cms、容器、數據庫等信息探測
//識別出整個網站的頭部信息
//分析出：
系統版本
容器版本
腳本類型
數據庫

探測waf的工具
wafw00f http://www.qufu123.com
// 國外準一點，國內還好，直接and 1=1

工具型網站
netcraft
searchdns.netcraft.com
站長工具
http://tool.chinaz.com/
愛站
http://www.aizhan.com/
shodan.io
Google hacker

 

綜合掃描工具
DMitry（Deepmagic Information Gathering Tool）是一個一體化的信息收集工具。 是一個收集框架
它能夠用來收集如下信息：
1. 端口掃描
2. whois主機IP和域名信息
3. 從Netcraft.com獲取主機信息
4. 子域名
5. 域名中包含的郵件地址
儘管這些信息能夠在Kali中經過多種工具獲取，可是使用DMitry能夠將收集的信息保存在一個文件中，方便查看。
dmitry -wnpb cracer.com
dmitry -winse cracer.com 掃描網站註冊信息
dmitry -p cracer.com -f -b 查看主機開放端口

Recon-ng 與MSF的使用方法很是相似，插播一下msf使用基礎流程， 第一步：search name模塊 第二步：use name模塊 第三步：info 查看模塊信息 第四步：show payloads 查看該模塊可使用的攻擊載荷（爲scanner的時候不須要） 第五步：set payload 載荷 第六步：show targets查看該攻擊載荷使用的系統類型（爲scanner的時候不須要） 第七步：set targets num 設置目標的系統類型 啓動命令 Recon-ng 模塊分類： Recon modules//信息收集模塊 Reporting modules//報告模塊 Import modules //導入模塊 EXPloitation modules//漏洞利用模塊 Discovery modules//發現模塊