渗透测试-09：信息收集

信息收集

域名/子域名/指纹/端口/敏感信息/CDN/站点目录/第三方应用/C端/旁站/社工

域名信息

• Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）

• 通过域名 Whois 服务器查询，可以查询域名归属者联系方式，以及注册和到期时间

• 目前国内提供 Whois 查询服务的在线网站有万网、站长之家的等

• 站长之家：http://whois.chinaz.com/

• 爱站网：https://whois.aizhan.com/

• 万网：https://wanwang.aliyun.com/

• IANA WHOIS Service：https://www.iana.org/whois/

• 爱站网SEO：https://www.aizhan.com/cha/

• 天眼查：https://www.tianyancha.com/

子域名信息

• 谷歌/百度等语法搜索

• 站长之家：http://tool.chinaz.com/subdomain/

• 在线二级域名子域名查询：http://tools.bugscaner.com/subdomain/?domain

• 在线子域名查询-接口光速版：http://sbd.ximcx.cn/

• Dnsdb：https://dnsdb.io/zh-cn/

• 子域名挖掘机

• sublist3r

指纹信息

WEB指纹：Web指纹也叫web应用指纹。由于所使用的工具、技术、实现方式等因素的影响，每个web网站都形成了一些独有的特点，我们把这样的特点叫做web应用指纹

• Wappalyzer
• AWVS
• Finger-P：https://fp.shuziguanxing.com/#/
• 云悉：https://www.yunsee.cn/
• whatweb：http://whatweb.bugscaner.com/look/

旁站

旁站是和目标网站在同一台服务器上的其它的网站

• 站长之家：http://stool.chinaz.com/same
• webscan：https://webscan.cc/

端口信息

Nmap

• 在计算机世界里，端口信息，对应的就是服务信息，看看对应的有哪些服务对外提供，知道服务，根据服务存在的漏洞或者账户可爆破
• Nmap 被设计用来快速扫描大型网络，包括主机探测与发现、开放的端口情况、操作系统与应用服务指纹识别、WAF 识别及常见安全漏洞
• 图形化界面：Zenmap
• 官网下载地址：https://nmap.org/download.html

Masscan

• masscan 最大的优点就是扫描速度快
• masscan 与目标主机不建立完整的 TCP 连接，扫描者主机先向目标主机发送一个 SYN 请求连接数据包，目标主机会向扫描者主机回复一个 SYN/ACK 确认连接数据包，当扫描者主机收到目标主机发送回来的 SYN/ACK 确认连接数据包之后，扫描者主机向目标主机发送 RST 结束连接

CDN和真实IP

• ping <域名>

• nslookup

• 站长之家：http://ip.tool.chinaz.com/

• 如站长之家PING测试：http://ping.chinaz.com/

• 查询历史DNS解析记录：https://site.ip138.com/

• CDN 全称是 Content Delivery Network，即内容分发网络。CDN 是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN 的关键技术主要有内容存储和分发技术

• 查询子域名：毕竟 CDN 还是不便宜的，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP

• 使用国外主机名解析域名：国内很多 CDN 厂商因为各种原因只做了国内的线路，而针对国外的线路可能几乎没有，此时我们使用国外的主机直接访问可能就能获取到真实IP

• 网站邮件订阅查找：RSS邮件订阅，很多网站都自带 sendmail，会发邮件给我们，此时查看邮件源码里面就会包含服务器的真实 IP 了。或者通过网站注册等功能接收网站确认邮件

• 手机APP端抓包：手机端的数据包抓到的可能是服务器真实IP

• 利用社工等其他方式获取：如拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP

站点目录扫描

• AWVS
• BURP
• 御剑
• DirBuster

robots

• robots 协议也叫 robots.txt（统一小写）是一种存放于网站根目录下的 ASCII 编码的文本文件，它通常告诉网络搜索引擎的漫游器（又称网络蜘蛛），此网站中的哪些内容是不应被搜索引擎的漫游器获取的，哪些是可以被漫游器获取的。
• 因为一些系统中的 URL 是大小写敏感的，所以 robots.txt 的文件名应统一为小写放置于网站的根目录下
• robots 协议并不是一个规范，而只是约定俗成的，所以并不能保证网站的隐私
• robots 中往往会有一些有用的信息

搜索引擎

• Google Hacking

• Fofa

• Shodan

浏览器插件

插件	描述
FoxyProxy	易于使用，适用于任何人的高级代理管理工具
HackBar	A HackBar for new firefox (Firefox Quantum). This addon is written in webextension and alternatives to the XUL version of original Hackbar.
Flagfox	显示当前服务器所在地的国旗
Wappalyzer	鉴定 WEB 指纹
X-Forwarded-For Header	这个扩展插件方便你快速设置 X-Forwarded-For HTTP Header
Cookie Quick Manager	An addon to manage (view, search, create, edit, delete, backup, restore) cookies.

抓包工具

• charles
• Fiddler
• Wireshark
• Burp Suite

- Dashboard(仪表盘)
- Target
- Proxy(代理模块)
  - Intercept(拦截)：拦截浏览器的请求
  - HTTP history
  - WebSockets history
  - Options
- Intruder(入侵者-爆破模块)
  - Positions：设置 Payloads 的插入点以及爆破模式
  - Payloads：设置 payload，配置字典
  - Resource Pool
  - Options
- Repeater(转发器-重放模块)：更改请求参数，伪装请求，防止页面刷新导致数据重置
- Sequencer(定序器)：随机数分析
- Decoder(解码器)
- Comparer(计较器)：可视化差异对比
- Logger(记录器)
- Extender(扩展模块)：增加插件

Intruder模块4种爆破模式

模式	解释
Sniper(狙击手)	从第一个 $position$ 开始放 payload，此时其他 $position$ 不会设置 payload，当第一个 $position$ 尝试完所有 payload 后，再开始尝试第二个 $position$，以此循环，直至所有 $position$ 的尝试完所有 payload
Battering ram(攻城槌)	每次用相同的 payload 去尝试多个不同的 $position$，直至将所有 payload 尝试完为止
Pitchfork(干草叉)	在不同的 $position$ 中设置不同的 payload 组，采用一一对应的形式进行匹配，如果 payload 组中的数量不同，直到将数量少的 payload 组中的 payload 匹配完为止
Cluster bomb(集束炸弹)	在不同的 $position$ 中设置不同的 payload 组，对 payload 进行排列组合(类似于笛卡尔乘积)后进行匹配

漏扫工具

• Acunetix
• AppScan
• Nessus
• XRay

社工字典

• Pydictor
• 彩虹表

爆破工具

• Hydra
• xHydra
• Medusa

爆破分类

1. 常见的网站前后台登录窗口，可用 Burp 进行爆破，主要用于 http、https 协议
2. POP3/SMB/RDP/SSH/FTP/POP3/Telnet/MYSQL 等协议可用 hydra、medusa 等工具
3. 操作系统登录爆破：主要用于 RDP(远程桌面协议) 和 SSH 协议，也可利用 Hydra、Join 等工具
4. 离线爆破：编写相应的 python 脚本进行本地爆破，一般适用于拿到密文 hash 值的情况