渗透测试 信息收集 详细分析

信息收集

信息收集手段

信息收集的手段大体可以分为两类:

被动信息收集

不与目标系统产生直接交互,如搜索引擎,网站查询,nslookup,dig等
说白了就是具有查询性质的手段
至于这个查询,学会自己体会,查询一些个信息,或者对网站进行搜索访问肯定是不会给系统产生攻击表现,就不会在日志上留下痕迹

主动信息收集

与目标系统产生直接交互,会在目标系统日志留下痕迹
如nmap ping fping awvs 。。。等手段
虽然说会给目标系统留下痕迹,当我们还是要尽可能减少痕迹
如:使用代理,伪造ip等手段
在后续工具讲解中我不会再去分哪些是主动,哪些是被动,大家自行理解 😃 不管什么手段,一切都是为了收集信息!!!

信息收集阶段要做什么?

信息收集阶段要尽可能的收集渗透测试对象的一切信息,越详细对于后续漏洞扫描,利用阶段越有利。
主要内容如下:

域名

如baidu.com是百度的域名 qq.com是qq的域名。www.baidu.com是百度的FQDN,或者说是域名。这里大家要把域名和FQDN搞清楚。
至于域名的收集没什么好说的。

子域名

即FQDN,如qq.com是域名,那么www.qq.com,music.qq.com都是qq.com的子域名。一般来说一个主网站都是www开头。往往网站的主站都会存在本系统最高级别防护措施,如果拿不下主站尝试从子域名出发提权哪些主站。

子目录

几乎网站都由一系列目录组成,一个网站的框架就是有子目录及文件构成,所以相当重要

真实物理路径

即在操作系统中真实文件路径

真实ip

为啥ip地址要加个真实呢?很多网站为了加快各地对网站的访问,会去购买cdn服务,如果存在cdn,简单方式将无法获取目标ip地址。后续我会简述cdn发现及绕过寻找真实ip地址

真实ip段

真实ip段往往和子域名相生相依,在ip段应当进行存活主机的探测。往往来说一个系统主站,子站都回存在于一个ip段内,利用ip段,探测可能找出真实ip地址。
多说一句为啥要加一个真实两个字,还是绕不过cdn这个话题,某些有钱的网站可能除了主站做cdn可能子站也做了cdn,我们必须尽可能去寻找没有做cdn的ip地址从而找出真实ip段。比如一些被遗忘的老站等

旁站

一般来说往往都是一个萝卜一个坑,一般是一个ip地址对应一个网站。但可能存在一系列疏忽,导致一个ip地址可能存在多个网站,抛去正常访问到哪个网站就叫旁站。我们可以尝试寻找旁站提权到同ip主站

后台

后台是管理员登录处,可以尝试弱口令或者爆破等手段登陆

端口

一个端口对应一种服务,一个应用程序监听一个端口.如:
80端口对应http服务
53端口对应dns解析服务
21对应FTP服务
具体还有很多数据库服务对应端口等等在这里不具体阐述,遇到自行百度
尝试找出端口对应服务是否开启

服务

也就是端口对应的服务,有时可能存在默认端口号不对应默认服务,具体问题具体分析

操作系统

目标操作系统识别如windows linux 等

cms(指纹)

很多公司建站都会使用一些框架,如织梦,discuz,我们尝试获取其web框架名称及版本,然后查询该web框架存在漏洞,攻击网站

waf

web防火墙识别

防火墙

防火墙的识别

社工库

社工库相当可怕,一个qq号,一个网名,可以查出很多私密信息,具体就不说了。

其他

邮箱
电话
传真
公司地址
管理员信息
...
这些信息可以用来做一些个钓鱼

信息收集的实现(重点)

Google Hack or Baidu Hack

语法:

  1. site:
    指定必须包含域名,寻找某网站的子域名,常用此参数
    在这里插入图片描述

  2. inurl:
    表明我url链接中必须包含的目录或文件
    可以用来批量找后台
    常用:
    Admin/
    System/login.php
    admin/login.asp
    在这里插入图片描述
    在这里插入图片描述

3.intext:
intext是在搜索内容处加限定,
如 intext:后台
intitle:
而intitle则是在标题处加限定
如intitle:后台
后台管理
管理员登陆
欢迎来到管理中心

  1. | and + -
    "" | 是一个或判断,and是必须都有判断
    +号表示必须含有 -号表示必须不包含
    "内容"表示其中内容必须连续
    在这里插入图片描述
    5.filetype:
    可以是:
    doc xls conf inc PHP ASP CGI PDF JSP FCGI SWF DOC TXT EXE PPT XLS INI YML MP3 MP4 JPG
    加一些特定关键词可能搞到网站账号,密码文件
    在这里插入图片描述
    n's'look'j
    cache:url
    打开网页缓存信息
    当网站异常,我们可以打开删除信息,历史信息,快照信息

cdn判断及绕过

判断方法一:
https://ping.chinaz.com/
输入域名,会进行多地ping,若出现不同ip地址则说明存在cdn
判断方法二:
dig:

dig www.xxx.com cname 

在这里插入图片描述

若存在cname则存在cdn
绕过大法:
法一:
获取历史dns记录
获取未采用cdn时ip
强推一个网站
https://viewdns.info/
在这里插入图片描述

它还有许多其他功能,读者自己体会
在这里插入图片描述
可以发现很早的ip记录,找到ip
法二:ssl证书查询
https://myssl.com/ssl.html
该网站根据网站的ssl证书信息,可能会爆出真实ip或真实ip段
法三 子域名,ip段查询查询
之前提过cdn如果给所以子域名做,那么价格不菲,有时为了节省成本,可能出现子域名任在真实ip段
之后我再讲此法
法四 利用网站漏洞
命令执行反弹shell xss盲打 ssrf
这些我会以后详谈
法五 采用国外主机解析域名
有些网站为了节约,不会给国外方法做cdn
尝试使用谷歌dns解析

dig www.xxx.com @8.8.8.8 a

法六 敏感文件泄露
phpinfo()
后续会讲的目录爬取可能存在爬出敏感信息

法七
利用mx记录
可能会暴露真实ip段

dig xxx.com @8.8.8.8 mx

etc...才疏学前有些大佬的法子没看懂也就不写上来了

子域名获取

法一:网站查询
直接输入域名获取子域名
输入真实ip获取真实ip段存活主机
https://site.ip138.com/
法二:shodan fofa zoomeye
https://fofa.so/
https://www.zoomeye.org/
https://www.shodan.io/
在此仅介绍shodan,其余两个都是中文网站具有手册
net:1.1.1.1
net:1.1.1.0/24
net:xxx.com
city:城市英文名
country:CN
port:
os:
三个都是搜索神器,功能远不止子域名获取,这里就不详谈,请自行学习
法三:dns区域传输
某些dns服务器配置不当导致能够利用

host -T -l xxx.com 8.8.8.8

法四:工具爆破
常用法子
layer子域名发掘机
在这里插入图片描述
爆破工具繁杂,自行选择

子目录及真实路径及旁站的探测

法一:手工法
1.直接上手网站进行敏感文件测试
www.xxx.com/robots.txt
2.探针文件(遗留文件)
常见探针名
phpinfo.php info.php php.php 1.php
3.报错获得
容错不好网站 404
动态url加单引号 错误sql语句保出真实路径
4.工具爬虫
awvs爬虫
结构最为可靠
在这里插入图片描述
burp的爬虫功能
5.爆破工具
御剑后台爆破
dirbuster

web框架及操作系统及服务信息

1.服务平台即脚本类型通过通过http响应包
可能会返回目标系统的框架及操作系统信息
2.nmap

nmap -O 1.1.1.1 /获取操作系统
nmap -sV 1.1.1.1 /获取服务信息
nmap -A -T4 1.1.1.1 /同时获取两者

推荐使用-A,注意大小写
这里先带过nmap后续详谈

3.一定注意数据库和web框架和操作系统搭配,如mssql智能在windows ,iis只能在windows

cms查询

1.手工法
打开网站 f12 进行手工搜索url中特殊路径,可能搜出cms信息
2.爆破法
使用
御剑web指纹识别等指纹识别工具
3.网站大法
http://whatweb.bugscaner.com/
最好使用

端口扫描

nmap -sS 1.1.1.1  /默认扫描1000个常用端口 半开扫描
等同
nmap 1.1.1.1
nmap -sT 1.1.1.1 /全开扫描

后续详谈nmap

whois

通过whois可以获取一些其他类别信息
1.命令
whois xxx.com
2.网站
https://whois.chinaz.com/
不好使

特殊工具详解篇

dig

dns信息收集工具
被动信息收集神器

dig xxx.com a @8.8.8.8 /a查询ipv4 cname查询cname记录 @8.8.8.8指定8.8.8.8为dns服务器
dig www.xxx.com any @8.8.8.8 /查询所以信息,包括mx ns txt 记录
dig +noall +answer -x 1.1.1.1 /反向解析域名1.1.1.1

netdiscover

二层发现工具
使用arp协议发现同局域网ip存活

netdiscover -i eth0 -r 192.168.124.0/24        /-i指得网卡 
netdiscover -p /混杂模式,被动收包探测 

fping

三层发现工具
基于icmp/ip协议
可路由
速度慢于二层发现

fping 1.1.1.1 -c 1
fping -g 1.1.1.0/24
fping -g 1.1.1.1 1.1.1.255

nmap

nmap是一款主机探测/端口扫描工具
首先针对扫描目标进行阐述:
可以是ip,ip段,域名

nmap 1.1.1.1
nmap www.xxx.com
nmap 1.1.1.1-255
namp 1.1.1.0/24

端口阐述

nmap 1.1.1.1 -p1-65535
默认不加-p扫描1000常用端口
nmap 1.1.1.1 -p80,8080,21,443

常用主机存活发现指令

nmap -sn 1.1.1.0/24   /不进行端口扫描,会更具ip切换二层三层扫描
nmap -Pn 1.1.1.0/24   /默认所有端口在线,可能结果比-sn准确
nmap -PU 1.1.1.0/24  /进行udp探测主机存活
nmap -PS 1.1.1.0/24 /进行tcp发送syn包探测主机存活
nmap -PA 1.1.1.0/24 /进行tcpack包探测

常用端口存活主机发现

nmap -sS 1.1.1.1  /进行端口扫描以发现syn形式 也称半开扫描  发现过程 Syn——syn/ack——rst
namp 1.1.1.1 /等同-sS
nmap 1.1.1.1 -sT /进行全开扫描,建立完整tcp连接
nmap 1.1.1.1 -sU /udp方式扫描

防护墙识别

nmap -sA 1.1.1.1 /结合-sS判断端口的状态可以判断出是否存在防火墙  比如-sA 出现 filtered

服务识别

nmap 1.1.1.1 -p 80 -sV

操作系统识别

nmap 1.1.1.1 -O

waf识别

nmap www.baidu.com --script=http-waf-detect.nse

snmpwalk

snmpwalk 1.1.1.1 -c public -v 2c /若开启snmp服务,并设置public可读,将会获取大量信息

wafw00f

waafwoof www.xxx.com
posted @ 2021-02-18 00:55  筑基道人  阅读(480)  评论(0编辑  收藏  举报