渗透测试的灵魂-信息收集
2023-3-3 20:4:28 Author: 渗透安全团队(查看原文) 阅读量:14 收藏

:为什么要进行信息收集?

最了解的你人,往往都是你对手。知己知彼、百战不殆。信息收集决定了你的攻击面,信息收集的越多越容易找到系统的薄弱点,进行测试。我们要尽可能地收集目标的信息。我们越了解测试目标,测试的工作就越容易(柿子挑软的捏)。你所掌握的信息比别人多且更详细的时候,那么你才能占据先机,这一条不仅仅用于商业、战争,渗透测试中也同样好用。

:信息收集的步骤

1.whois信息:

当拿到一个域名的时候,我们首先应该进行whois查询,可以使kali 下面的 whois命令或者使用在线工具,比如说whois查询,通过查询域名的注册人信息,我们可以对其进行社工钓鱼。或者我们可以有针对性的利用其信息生成字典,对后台或者其他登录功能进行爆破。

在线whios查询:

·站长之家:http://whois.chinaz.com

·Bugscanerhttp://whois.bugscaner.com

·爱站网:https://www.aizhan.com

·国外在线:https://bgp.he.net

2.备案信息查询
网站备案是根据国家法律法规规定,需要网站的所有者向国家有关部门申请的备案,这是国家信息产业部对网站的一种管理,为了防止在网上从事非法的网站经营活动的发生。

查询的途径:

(1)天眼查:ICP备案查询_备案号查询_网站备案查询 - 天眼查
https://www.tianyancha.com/?jsid=SEM-BAIDU-PZ-SY-2021112-JRGW

(2)ICP备案查询网:ICP备案查询网

http://www.chaicp.com/

3.子域名查询

为什么要收集子域名?

子域名枚举可以发现更多评估范围相关的域名/子域名,以增加漏洞发现几率探测到更多隐藏或遗忘的应用服务,这些应用往往可导致一些严重漏洞子域名。
收集的方式

1.通过爆破子域名进行查询,如 Layer 子域名爆破机、subDomainBrute,在线子域名查询网站:https://phpinfo.me/domain

2.通过查询 DNS 服务器,查询该域下的解析记录。

3.通过 HTTPS 证书来查询(只适用于 https 网站) ,如:https://crt.sh/ 就是通过https 证书查询子域名。

4.通过 google使用googlehack语法查询(百度也可以用这个方式)
google Hacking是一款绝佳的信息搜集工具,我们可以构造特殊的查询语句进行搜集,构造语句只要你脑洞够大,它的功能就会更大,笔者仅在这里举几个例子
site:
指定域名
info:
一些基本信息
filetype
:文件类型
intext
:网页中存在的关键字

5.使用fofa,钟馗之眼,鹰图,360quake,shodan等网络空间测绘平台.

4.目录扫描

在渗透测试中,探测 Web 目录结构和隐藏的敏感文件是一个必不可少的环节,从中可以获取网站的后台管理页面、文件上传页面、甚至可以扫描出网站的源代码。
常用工具:
御剑
        dirmap
        Webdirscan
        Cansina

5.端口扫描               

端口扫描是一个非常重要的环节,端口扫描的目的是了解服务器上运行的服务信息,针对不同的端口进行不同的安全测试。
常用工具:
        dnsenum
        nmap
        dnsenum
        nslookup

6.绕过CDN查找真实IP

什么是CDN?
CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。通俗点就是一种缓存技术,提高用户上网体验,但是CDN对渗透测试者的渗透工作就有一定阻碍,所以我们要判断CDN是否存在。

检测是否存在CDN的方法

很简单,使用不同地方的ping 服务,查看对应 IP 地址是否唯一,如果不唯一则极有可能是使用了CDN我们可以利用站长之家这个网站,如下图
点击ping检测

输入网址执行ping检测

原理是实现多地ping一个网址,假如ping出来的ip地址都一样那么将不存在CDN

上图是不存在CDN的情况 

下面测试一下google

ip地址不一样,证明是存在CDN的。

绕过CDN的方式

(1)
查询子域名:毕竟 CDN还是不便宜的,所以很多站长可能只会对主站或者流量大的子站点做了 CDN,而很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP

(2)查询主域名:以前用CDN的时候有个习惯,只让WWW域名使用CDN,子域名不适用,为的是在维护网站时更方便,不用等CDN缓存。所以试着把目标网站的www去掉,ping一下看ip是不是变了。

(3)邮件服务器:一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IPping这个邮件服务器的域名,就可以获得目标的真实IP

(4)

查看域名历史解析记录:也许目标很久之前没有使用CDN,所以可能会存在使用 CDN 前的记录。可以通过网站Netcraft | Internet Research, Cybercrime Disruption and PCI Security Services 来观察域名的IP历史记录。

(5)

国外访问:国内的CDN往往只对国内用户的访问加速,而国外的CDN就不一定了。

(6)

网络空间引擎搜索法:常见的有以前的钟馗之眼,shodanfofa搜索。以fofa为例,只需输入:title:“网站的title关键字”或者body:“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名,很多时候能获取网站的真实ip

(7)网站漏洞:利用网站自身存在的漏洞,很多情况下会泄露服务器的真实IP地址。

7.指纹识别
在渗透测试中,对目标服务器进行指纹识别是相当有必要的,因为只有识别出相应的Web容器或者CMS,才能查找与其相关的漏洞,然后才能进行相应的渗透操作。读者可以利用一些在线网站查询CMS指纹识别,如下所示。
(1)火狐插件:Wappalyzer
(2)
云悉:http://www.yunsee.cn
(3)whatweb:https://www.whatweb.net
(4)
在线:http://whatweb.bugscaner.com/look

三、信息收集的总结

收集到这些信息后就可以利用起来,比如:目标的真实IP地址,站点的敏感目录,网站的搭建环境,网站使用的系统,网站防火墙,常用端口信息,目录网站是用什么脚本写的等信息。

-END-

信息搜集是关键,做事不要太心急,多学习,多看源码,思路很重要


付费圈子

欢 迎 加 入 星 球 !

代码审计+免杀+渗透学习资源+各种资料文档+各种工具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼

关注下方公众号回复“666”可以领取一套领取黑客成长秘籍

 还在等什么?赶紧点击下方名片关注学习吧!


群聊 | 技术交流群-群除我佬

干货|史上最全一句话木马

干货 | CS绕过vultr特征检测修改算法

实战 | 用中国人写的红队服务器搞一次内网穿透练习

实战 | 渗透某培训平台经历

实战 | 一次曲折的钓鱼溯源反制

免责声明
由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号渗透安全团队及作者不为承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
好文分享收藏赞一下最美点在看哦

文章来源: http://mp.weixin.qq.com/s?__biz=MzkxNDAyNTY2NA==&mid=2247499283&idx=4&sn=6ce26ab5a72ca6ad32bbd3c7ca6c810e&chksm=c17603bcf6018aaa1ab8c4ae483f1c650c6d728ad5732abcca6b17a62f50c1ae210e3d15ad8b#rd
如有侵权请联系:admin#unsafe.sh