信息搜集（渗透测试方向）

0x01 信息搜集？

信息收集是指通过各种方式获取所需要的信息，以便我们在后续的渗透过程更好的 进行。比如目标站点IP、 中间件、脚本语言、端口、邮箱等等。信息收集包含资产收集但不限于资产收集

0x02 信息收集的意义

 

信息收集是渗透测试成功的保障

更多的暴露面

更大的可能性

 

 

 

0x03 收集哪些信息

• 服务器信息(端口、服务、真实IP)
• 网站信息(网站架构(操作系统、中间件、数据库、编程语言)、指纹信息、 WAF、敏感目录、敏感文件、源码泄露、旁站查询、C段查询)
• 域名信息(whois、 备案信息、子域名)
• 人员信息(姓名、职务、生日、联系电话、邮件地址)

 

0x04 whios查询

通过whois查询可以获得域名注册者邮箱地址等信息。- -般情 况下对于中小型网站域名注册者就是网站管理员。利用搜索弓|擎对whois查询到的信 息进行搜索，获取更多域名注册者的个人信息。

 

 

查询网站有：

站长之家：http://whois.chinaz.com

备案信息查询：

http://www.beianbeian.com/

 

 

注册人/邮箱反查 

先通过whois获取注册人和邮箱，再通过注册人和邮箱反查域名。 缺点是很多公司都是DNS解析的运营商注册的，查到的是运营商代替个人和公司注册的网站信息。

 

许多小型公司的网站都是通过运营商进行注册的，大多建立在华为云、腾讯云、阿里云等这些大平台的，这个查询不太实用。

 

收集子域名 

子域名指二级域名,二级域名是顶级域名(一级域名)的下一 级。 比如http://mail.heetian.com和http://bbs.xxxxxx.com是http://xxxxxx.com的子域，而http://xxxxxx.com则是顶级域名.com的子域。 目的：扩大测试面。 由于许多网站会有即将公开运营的子网站，但是由于各种原因未公开，但网站已存在，这些测试业务、网站存在漏洞的概率极大，其攻入难度较低，容易拿下并进一步渗透。

 

1. 利用谷歌搜索语法搜集子域名： site:xxxxxx.com
2. 网络空间安全搜索引擎
   https://fofa.so/
   该搜索引擎用来搜集子域名的语法是 domain="xxxxxx.com"
   
3. ssI证书查询 如果一个网站是通过超文本传输协议（HTTP协议）进行的网站访问，当开启https访问的时候，要对htpps的证书进行申请，这个“证书”就是ssl证书，可通过ssl证书进行反查。
   
4. layer子域名挖掘机 子域名挖掘机有很多，layer是比较好用简介的一款，是属于字典核对的挖掘。

 

0x05整站分析

 

服务器类型

 

服务器信息包括服务器用的操作系统：Linux 还是 Windows 。现在企业网站服务器的操作系统有百分之九十以上用的是Linux操作系统。知道了服务器的操作系统之后，还需要知道操作系统使用的具体版本。因为很多低版本的操作系统都存在已知的漏洞。判断是Linux还是Windows最简单就是通过ping来探测，Windows的TTL值都是一般是128，Linux则是64。所以大于100的肯定是Windows，而几十的肯定是Linux。但是，通过TTL值来判断服务器类型也不是百分之百准确的，有些windows服务器的TTL值也是几十，而且有的服务器禁止ping。

网站容器

知道了这些信息之后，我们就需要知道网站用的web服务器是什么类型的：Apache、Nginx、Tomcat 还是 IIS。知道了web服务器是哪种类型后，我们还要探测web服务器具体的版本。比如Ngnix版本<0.83会有解析漏洞 ，IIS6.0会有文件名解析漏洞、IIS7.0会有畸形解析漏洞等。

脚本类型

我们需要知道网站用的脚本类型：php 、Jsp 、Asp 、Aspx 。

可以根据网站URL来判断

site:xxx filetype:php

可以根据Firefox的插件来判断

 

数据库类型

我们需要知道网站用的是哪种类型的数据库：Mysql、Oracle、SqlServer 还是 Access 。虽然这几种数据库的语法大体上相同，但是还是有区别的。所以我们还是要知道目标网站用的是哪种数据库，并且数据库是哪个版本的

几种数据库的区别：

Access 全名是Microsoft Office Access，是由微软发布的关联式数据库管理系统。小型数据库，当数据库达到100M左右的时候性能就会下降。数据库后缀名： .mdb 一般是asp的网页文件用access数据库

SQL Server是由Microsoft开发和推广的关系数据库管理系统（DBMS），是一个比较大型的数据库。端口号为1433。数据库后缀名 .mdf

MySQL 是一个关系型数据库管理系统，由瑞典MySQL AB 公司开发，目前属于 Oracle 旗下产品。MySQL是最流行的关系型数据库管理系统，在 WEB 应用方面MySQL是最好的应用软件之一，MySQL数据库大部分是php的页面。默认端口是3306

Oracle又名Oracle RDBMS，或简称Oracle。是甲骨文公司的一款关系数据库管理系统。常用于比较大的网站。默认端口是1521

首先，成本上的差距，access是不要钱的，mysql也是开源的，sql server 是收费的一般也就几千，Oracle的费用则数万。其次，处理能力，access支持千以内的访问量，sql server支持几千到上万的访问，而Oracle则支持海量的访 问。再次，从数据库的规模来看，access是小型数据库，，mysql 是中小型数据库，sql server是中型数据库，Oracle是大型数据库。

 

0x06端口扫描

 

端口扫描

 

一般使用nmap速度慢，但准确性高，可以知道目标服务器开放了哪些端口，目的是针对端口测试，常见的如 135 、137 、138 、139 、445，这几个端口经常爆发漏洞。以下是一些服务端口的漏洞：

 

• 22——>ssh弱口令
• 873——>rsync 未授权访问漏洞
• 3306——>mysql弱口令
• 6379——>redis未授权访问漏洞

 

0x07 四大金刚

 

http://www.zoomeye.org ——结合seebug漏洞库
https://censys.io/ ——查的细，ipv4空间查，证书查，域名查
https://fofa.so/ ——显示系统和组件信息，显示开放端口
http://www.shodan.io-------暗黑谷歌

 

0x08 网站漏洞扫描

网站漏洞扫描直接对网站进行漏洞探测了。网站漏洞扫描也有很多工具。比如 AWVS、AppScan、OWASP-ZAP、nessuss。需要注意的是，使用漏扫工具直接对网站进行扫描，因为一下子流量过大，有些网站可能会崩溃。

0x09 旁站和C段扫描

 

旁站指的是同一服务器上的其他网站，很多时候，有些网站可能不是那么容易入侵。那么，可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话，可以先拿下其他网站的webshell，然后再提权拿到服务器的权限，直到拿下该网站

 

0x10 社会工程学

充分的利用社会工程学，这会在渗透测试中起着不小的作用，可能费九牛二虎之力爆破的管理员密码，正被年老的管理员用便利贴 贴在办公桌上。