渗透测试--信息收集

渗透测试 又叫黑盒测试：

　　渗透测试：由于保护系统的目的，更全面地找出测试对象的安全隐患，点到为止

　　入侵：不择手段地拿到系统权限

白盒测试也叫代码审计，是别人直接将源代码发给你，你来检查

我们平时做的一般都是灰盒测试，人家告诉你版本之类的信息

 

一般黑客在访问网站的时候会加入攻击代码，为了确认攻击方向，黑客会寻找中间件漏洞，也就是webserver漏洞，比如说nginx/apache/tomcat等。

 

信息收集：

　　渗透测试流程：首先要明确目标，确认具体的IP地址，收集足够的信息后，使用工具扫描或手工发现漏洞，之后写报告和修改意见，再就是获取webshell或者直接获取系统权限，之后获得服务器的授权之后，达到控制服务器或者渗透内网的目的

 泛域名解析和CDN加速是冲突的，只能选一个，一般选CDN加速

 

在信息收集的时候，主站一般是安全系数比较高的，所以我们可以从子站或者其他站进行入侵，这就需要进行域名收集，我们可以通过比如站长之家等多个网站来对域名信息进行收集，譬如域名注册信息。SEO信息收集、子域名收集

 

在子域名收集中，JSFinder是一款用作快速在网站的js文件中提取URL、子域名的工具

python .\JSFinder.py -u http://mi.com

 

还有一个就叫layer子域名挖掘机,这个在win10虚拟机当中，vstar50的工具当中就有，直接搜索网站就可以得到

 

在企业中用的最多的是oneforall  python oneforall.py --target mi.com run

 

https://github.com/shmilylty/OneForAll

还有subDomainsBrute

也可以通过ICP备案号进行查询或者通过ssl证书来查询，可以通过myssl网站来查询

如果网站是通过CDN来加速的，我们通过CDN是不能直接链接到服务器的，那么我们想对服务器漏洞进行筛选，就需要先判断其是否使用了cdn加速，如果使用了，我们需要找到其真实ip地址

那么如何确定是否开启了CDN呢-------超级ping  站长之家ping检测

如何绕过CDN：工具有fuckcdn w8fuckcdn但是这种效果不佳

其次就是历史DNS解析，有可能找到它没有使用cn之前的真实IP地址

 

收集旁站和C站IP：

IISPutScanner

 

上面我们已经能够通过多种渠道来获取ip地址和域名信息了，最后还差端口的扫描和分析，接下来我们就通过Nmap进行端口的扫描。

NMAP强大的网络工具，用于枚举和测试网络,功能灵活强大，支持多种目标，大量计算机的同时扫描。并且开源，相关帮助文档十分详细，由于其具有强大的扫描机探测功能，已被成千上万安全专家使用，Nmap参数众多，难以一一记忆。masscan:https://github.com/robertdavidgraham/masscan

 

功能介绍

http://blog.sina.com.cn/s/blog_811d9fdd0101ey07.html 功能介绍

http://www.cnblogs.com/c4isr/archive/2012/12/07/2807491.html

NMAP的功能包括：

主机发现 - 识别网络上的主机。例如，列出响应TCP和/或ICMP请求或打开特定端口的主机。

端口扫描 - 枚举目标主机上的开放端口。

版本检测 - 询问远程设备上的网络服务以确定应用程序名称和版本号。

OS检测 - 确定网络设备的操作系统和硬件特性。

可与脚本进行脚本交互 - 使用Nmap脚本引擎（NSE）和Lua编程语言。

漏洞检测

 

主机发现

主机发现的原理与Ping命令类似，但是手段不限于ping，发送探测包到目标主机，如果收到回复，那么说明目标主机是开启的。Nmap支持十多种不同的主机探测方式，

比如发送ICMP 的ECHO/TIMESTAMP/NETMASK报文、发送TCP的SYN/ACK包、发送SCTP的 INIT/COOKIE-ECHO包，用户可以在不同的条件下灵活选用不同的方式来探测目标机。有些时候ping是无法检测出对方主机是否存活的，因为对方主机可以通过防火墙禁用ping，那么你就ping不同它。 比如windows的防火墙，一旦打开就不能ping通了。能ping通表示肯定在线，ping不通就说不准了。telnet也可以判断某个主机的端口是否开放了，比如 telnet192.168.2.111 22 、 telnet 192.168.2.111 445 。telnet是一种应用层协议，建立在tcp\ip协议之上。icmp协议是网络层协议。SCTP是传输层协议，兼顾了udp和tcp的特点。

因为ping不稳定，所以我们可以用Nmap或者telnet

 

 nmap +选项 +目标地址（可以加端口）

 

端口扫描:在端口扫描之后，我们可以从网上查找常见端口漏洞来进行渗透

端口扫描是Nmap最基本最核心的功能，用于确定目标主机的TCP/UDP端口的开放情况。默认情况下，

Nmap会扫描1000个最有可能开放的TCP端口。Nmap通过探测将端口划分为6个状态：

端口扫描方面非常强大，提供了很多的探测方式：

 

tcp扫描方式分类:

　　开放扫描(全连接扫描)：会产生大量的审计数据，容易被对方发现，但其可靠性高，会建立连接；例如：TCPConnect类。 效率高

　　隐蔽扫描：能有效的避免入侵检测系统和防火墙的检测，但扫描使数据包容易被丢弃从而产生错误的探测信息；例如：TCP FIN类。 效率低

　　半开放(或者说半连接)扫描：不建立连接，隐蔽性和可靠性介于前两者之间。例如：TCP SYN类。

 

基本用法

 

 

 

版本侦测

简要的介绍版本的侦测原理。版本侦测主要分为以下几个步骤

OS侦测

Nmap使用TCP/IP协议栈指纹来识别不同的操作系统和设备。在RFC规范中，有些地方对TCP/IP的实现

并没有强制规定，由此不同的TCP/IP方案中可能都有自己的特定方式。Nmap主要是根据这些细节上的

差异来判断操作系统的类型的。

 

具体实现方式如下：

Nmap内部包含了2600多已知系统的指纹特征（在文件nmap-os-db文件中）。将此指纹数据库作为

进行指纹对比的样本库。分别挑选一个open和closed的端口，向其发送经过精心设计的TCP/UDP/ICMP

数据包，根据返回的数据包生成一份系统指纹。将探测生成的指纹与nmap-os-db中指纹进行对比，查

找匹配的系统。如果无法匹配，以概率形式列举出可能的系统。

 

 

收集指纹信息：

　　就是搞清楚是用什么语言写的或者使用了什么框架  论坛类的一般用的discuz框架

 

5.2工具类

御剑、wappalyzer（浏览器插件）、御剑WEB指纹识别

 御剑在Vstar中就可以使用  github上可以直接搜御剑

 

 网站源码：站长下载： http://down.chinaz.com/

 还有个指纹检测工具，红队专用  叫ehole

 

 

 敏感信息收集

 　　可以通过VStar中的E:\VStart50\tools\目录检测\WebPathBrute\7kbScan来进行目录收集，查看是否有admin等敏感目录，然后进行暴力破解,这个搜集其实就是提前设定的字典，按照预设的常用字典进行收集，所以其扫描能力有多强，关键看其字典的数量

如果程序员失误的话，将网站源代码保存在了目录当中，就会导致git代码泄露，这后果很严重，这就可以使用svn仓库来多人协同工作，防止git代码泄露，但是svn有一个比较大的问题，就是在控制版本方面不好，如果svn仓库崩了，那么就所有人都干不了任务　　

后来，为了解决这个问题，git出现了,也就是分布式代码管理工具,其在本地有仓库，可以自由的切换版本，切换至之前保存过的版本，svn就不能做到这一点,另外，git也有远程代码管理仓库,但是git虽然更强大，但是用不好，很容易导致git代码泄露

在运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记录、日志、目录结构、文件结构等等。在发布代码的时候，没有把.git这个目录删除，就直接发布了。使用这个文件，可以用来恢复源代码