渗透测试之信息收集

1. 1.1收集域名信息

1.1.1Whois查询

[root@redis-1 ~]# whois qq.com
   Domain Name: QQ.COM
   Registry Domain ID: 2895300_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.markmonitor.com
   Registrar URL: http://www.markmonitor.com
   Updated Date: 2018-07-02T02:45:04Z
   Creation Date: 1995-05-04T04:00:00Z
   Registry Expiry Date: 2027-07-27T02:09:19Z
   Registrar: MarkMonitor Inc.
   Registrar IANA ID: 292
   Registrar Abuse Contact Email: abusecomplaints@markmonitor.com
   Registrar Abuse Contact Phone: +1.2083895740
   Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
   Domain Status: serverDeleteProhibited https://icann.org/epp#serverDeleteProhibited
   Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
   Domain Status: serverUpdateProhibited https://icann.org/epp#serverUpdateProhibited
   Name Server: NS1.QQ.COM
   Name Server: NS2.QQ.COM
   Name Server: NS3.QQ.COM
   Name Server: NS4.QQ.COM

在线whois查询网站

1. 爱站工具网  whois.aizhan.com
2. 站长之家  whois.chinaz.com
3. Virus Total  www.virustotal.com

1.1.2备案信息查询

1.  ICP备案查询网 www.beianbeian.com/
2. 天眼查 www.tianyancha.com

1.2收集敏感信息

1. 首先了解一下google搜索常用方法 知乎 www.zhihu.com/question/20161362 

2. 符号	表达意思	解释
   双引号	完全匹配	内容和顺序完全匹配
   减号	不包含减号后面的词	减号前面必须是空格，减号后面没有空格，紧跟着需要排除的词
   星号	通配符	代表任何文字
   波浪号	近义词	搜索与关键词相关的词汇
   @	查找社交网络帐户	示例：@haoeric
   $	查找价格	示例：macbook $1900
   #	查找话题	示例：#throwbackthursday
   ..	两个点号（不加空格）隔开两个数字，即可搜索包含相应范围内数字的搜索结果	示例：手机 $2000..$3000
   filetype	搜索特定文件格式	e.g. filetype:pdf 关键词
   inurl	搜索查询词出现在url中的页面	结果都是网址url中包含关键词的页面
   site	搜索某个域名下的所有文件	e.g. site:haoeric.com google
   Intext	网页正文中的关键字	e.g. intext:后台管理

   举例

　　　　

 　　　　通过Burp Suite 的Repeater功能可以获取服务器的信息，如Server类型、版本、PHP版本等

　　　　缺少一个BS获取服务器信息的图 测试ip地址http://geoscience.hfut.edu.cn/houtai/login.php

1.3收集子域名信息

1. 子域名检测工具Layer、K8 、wydomain 、Sublist3r、dnsmaper、subDomainsBrute、Maltego CE
   • Layer子域名挖掘机 顺手收集了信息安全前辈的网站 www.waitalone.cn
     • 　　
   subDomainsBrute 特点是可以递归发现三、四、五级域名等，下载地址 github.com/lijiejie/subDomainsBrute

   • #使用方法
     python subDomainsbrute.py xxxx.com

   • Sublist3r能列举多种资源，如在Google 、Yahoo、Bing、Baidu和Ask中可查询到的子域名信息　　下载地址 github.com/aboul3la/Sublist3r
2. 搜索引擎枚举
   • 用Google搜索子域名
   • 
3. 第三方聚合应用枚举 dnsdumpster.com
4. 证书透明度公开日志枚举
   • 证书透明度（Certificate Transparency,CT）是证书授权机构（CA）的一个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也是极有用的信息
   • 查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志
   • 推荐 crt.sh censys.io
   • 子域名爆破网站 
   • 

1.4收集常用端口信息

　　　　　　最常见的端口扫描工具Nmap,无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具，如下图

　　　　　　

　　　　　　常见端口及其说明，参见wiki https://zh.wikipedia.org/wiki/TCP/UDP端口列表

1.5指纹识别

　　　　　　指纹由于其终身不变性、唯一性和方便性，几乎已成为生物特征识别的代名词。

　　　　　　通常我们说的指纹就是人的手指末端正面皮肤上凹凸不平的纹线，纹线规律地排列开成不同的纹型。

　　　　　　而本节所讲的指纹是指网站CMS指纹识别，计算机操作系统及Web容器的指纹识别等。

　　　　　　应用程序一般在html、js、css等文件中一般会包含一些特征码，比如WordPress在robots.txt中会包含wp-admin、首页index.php中会包含generator=wordpress 3.xx，

　　　　　　这个特征就是这个CMS指纹，那么当碰到其他网站也存在此特征时，就可以快速识别出该CMS，所以叫做指纹识别

　　　　　　在渗透测试中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或才CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。

　　　　　　CMS(Content Management System)又称整站系统或文章系统。

　　　　　　常见的CMS有Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress

　　　　　　代表工具有御剑Web指纹识别、WhatWeb、WebRobo、椰树、轻量WEB指纹识别，可以快速识别一些主流CMS

　　　　　　除了这些工具，还有在线网站查询CMS指令识别工具

1. 1. BugScaner: whatweb.bugscaner.com/look/
   2. 云悉指纹：www.yunsee.cn/finger.html
   3. Whatweb: www.whatweb.net/

1.6查找真实ip

　　　　　　绕过CDN寻找目标服务器的真实IP

1. 1. 目标服务器存在CDN
      • CDN即内容分发网络，主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题
      • 就是把用户经常访问的静态数据资源直接缓存到节点服务器上，当用户再次请求时，会直接分发到离用户最近的服务器响应用户
      • 当用户有实际数据交互时才会从远程web服务器上响应，这样可以大提高网站的响应速度及用户体验
   2. 判断目标是否使用了CDN
      1. ping目标主域，观察域名的解析情况
      2. 
      3. 利用在线网站17CE  https://www.17ce.com
      4. 进行全国多地区ping服务器操作，然后对比IP结果，查看ip是否一致
   3. 绕过CDN寻找真实IP
      1. 内部邮箱源
      2. 扫描网站测试文件，如phpinfo,test等，从而找到真实ip
      3. 分站域名，主站访问量大的，主站会挂CDN，分站可能没有挂CDN，可以ping二级域名获取分站IP，而主站和分站可能在同一个C段内，从而判断真实IP
      4. 国外访问，国内CDN只对国内用户访问加速，国外的CDN就不一定，通过代理网站App Synthetic Monitor(https://asm.ca.com/en/ping.php)
      5. 查询域名的解析记录。可以通过NETCRAFT(https://www.netcraft.com)观察域名的IP历史记录，分析目标的真实IP段
      6. 如果网站有自己的App,尝试使用Fiddler或Burp Suite抓取App的请求，找出真实IP
      7. 绕过CloudFlare CDN查找真实IP，尝试先绕过在线网站Cloud FlareWatch(http://www.crimeflare.us/cfs.html#box)对CloudFlare客户网站进行真实IP查询
   4. 验证获取的IP
      1. 直接尝试IP访问，看响应的页面是不是和访问域名返回的一样，或者通过目标段比较大的情况下，借助Masscan工具扫描对应IP段中所有开了80、443、8080端口的IP，然后逐个测试ip访问，观察响应结果是否为目标站点

1.7收集敏感目录文件

　　　　　　在渗透测试中，探测Web目录结构和隐藏的敏感文件是必不可少的环节，从中可以获取网站的后台管理页面、文件上传界面、甚至可能扫描出网站的源代码。

　　　　　　针对网站目录的扫描主要有DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py(轻量级快速单文件目录后台扫描)、Sensitivefilescan(轻量级快速单文件目录后台扫描)、Weakfilescan(轻量级快速单文件目录后台扫描)等工具

　　　　　　DirBuster是OWASP开发的基于Java的探测web服务器的目录和隐藏文件。需要安装Java环境，此工具是图形化、用法简单

1.8社会工程学