渗透测试 信息收集 详细分析

目录

• 信息收集
  • 信息收集手段
    • 被动信息收集
    • 主动信息收集
  • 信息收集阶段要做什么？
    • 域名
    • 子域名
    • 子目录
    • 真实物理路径
    • 真实ip
    • 真实ip段
    • 旁站
    • 后台
    • 端口
    • 服务
    • 操作系统
    • cms(指纹)
    • waf
    • 防火墙
    • 社工库
    • 其他
  • 信息收集的实现（重点）
    • Google Hack or Baidu Hack
    • cdn判断及绕过
    • 子域名获取
    • 子目录及真实路径及旁站的探测
    • web框架及操作系统及服务信息
    • cms查询
    • 端口扫描
    • whois
  • 特殊工具详解篇
    • dig
    • netdiscover
    • fping
    • nmap
    • snmpwalk
    • wafw00f

信息收集

信息收集手段

信息收集的手段大体可以分为两类：

被动信息收集

不与目标系统产生直接交互,如搜索引擎,网站查询,nslookup,dig等
说白了就是具有查询性质的手段
至于这个查询，学会自己体会，查询一些个信息，或者对网站进行搜索访问肯定是不会给系统产生攻击表现,就不会在日志上留下痕迹

主动信息收集

与目标系统产生直接交互,会在目标系统日志留下痕迹
如nmap ping fping awvs 。。。等手段
虽然说会给目标系统留下痕迹,当我们还是要尽可能减少痕迹
如：使用代理,伪造ip等手段
在后续工具讲解中我不会再去分哪些是主动,哪些是被动,大家自行理解 😃 不管什么手段,一切都是为了收集信息！！！

信息收集阶段要做什么？

信息收集阶段要尽可能的收集渗透测试对象的一切信息，越详细对于后续漏洞扫描,利用阶段越有利。
主要内容如下：

域名

如baidu.com是百度的域名 qq.com是qq的域名。www.baidu.com是百度的FQDN,或者说是域名。这里大家要把域名和FQDN搞清楚。
至于域名的收集没什么好说的。

子域名

即FQDN，如qq.com是域名,那么www.qq.com,music.qq.com都是qq.com的子域名。一般来说一个主网站都是www开头。往往网站的主站都会存在本系统最高级别防护措施,如果拿不下主站尝试从子域名出发提权哪些主站。

子目录

几乎网站都由一系列目录组成,一个网站的框架就是有子目录及文件构成,所以相当重要

真实物理路径

即在操作系统中真实文件路径

真实ip

为啥ip地址要加个真实呢？很多网站为了加快各地对网站的访问,会去购买cdn服务,如果存在cdn,简单方式将无法获取目标ip地址。后续我会简述cdn发现及绕过寻找真实ip地址

真实ip段

真实ip段往往和子域名相生相依,在ip段应当进行存活主机的探测。往往来说一个系统主站,子站都回存在于一个ip段内,利用ip段,探测可能找出真实ip地址。
多说一句为啥要加一个真实两个字,还是绕不过cdn这个话题,某些有钱的网站可能除了主站做cdn可能子站也做了cdn，我们必须尽可能去寻找没有做cdn的ip地址从而找出真实ip段。比如一些被遗忘的老站等

旁站

一般来说往往都是一个萝卜一个坑,一般是一个ip地址对应一个网站。但可能存在一系列疏忽，导致一个ip地址可能存在多个网站,抛去正常访问到哪个网站就叫旁站。我们可以尝试寻找旁站提权到同ip主站

后台

后台是管理员登录处，可以尝试弱口令或者爆破等手段登陆

端口

一个端口对应一种服务,一个应用程序监听一个端口.如：
80端口对应http服务
53端口对应dns解析服务
21对应FTP服务
具体还有很多数据库服务对应端口等等在这里不具体阐述，遇到自行百度
尝试找出端口对应服务是否开启

服务

也就是端口对应的服务,有时可能存在默认端口号不对应默认服务,具体问题具体分析

操作系统

目标操作系统识别如windows linux 等

cms(指纹)

很多公司建站都会使用一些框架,如织梦,discuz,我们尝试获取其web框架名称及版本,然后查询该web框架存在漏洞,攻击网站

waf

web防火墙识别

防火墙

防火墙的识别

社工库

社工库相当可怕,一个qq号,一个网名,可以查出很多私密信息，具体就不说了。

其他

邮箱
电话
传真
公司地址
管理员信息
...
这些信息可以用来做一些个钓鱼

信息收集的实现（重点）

Google Hack or Baidu Hack

语法：

1. site:
   指定必须包含域名,寻找某网站的子域名，常用此参数
   

2. inurl:
   表明我url链接中必须包含的目录或文件
   可以用来批量找后台
   常用：
   Admin/
   System/login.php
   admin/login.asp
   
   

3.intext:
intext是在搜索内容处加限定,
如 intext:后台
intitle:
而intitle则是在标题处加限定
如intitle:后台
后台管理
管理员登陆
欢迎来到管理中心

4. | and + -
   "" | 是一个或判断,and是必须都有判断
   +号表示必须含有 -号表示必须不包含
   "内容"表示其中内容必须连续
   
   5.filetype:
   可以是：
   doc xls conf inc PHP ASP CGI PDF JSP FCGI SWF DOC TXT EXE PPT XLS INI YML MP3 MP4 JPG
   加一些特定关键词可能搞到网站账号,密码文件
   
   n's'look'j
   cache:url
   打开网页缓存信息
   当网站异常，我们可以打开删除信息，历史信息,快照信息

cdn判断及绕过

判断方法一：
https://ping.chinaz.com/
输入域名,会进行多地ping,若出现不同ip地址则说明存在cdn
判断方法二：
dig：

dig www.xxx.com cname 

若存在cname则存在cdn
绕过大法：
法一：
获取历史dns记录
获取未采用cdn时ip
强推一个网站
https://viewdns.info/

它还有许多其他功能，读者自己体会

可以发现很早的ip记录,找到ip
法二：ssl证书查询
https://myssl.com/ssl.html
该网站根据网站的ssl证书信息，可能会爆出真实ip或真实ip段
法三 子域名,ip段查询查询
之前提过cdn如果给所以子域名做，那么价格不菲，有时为了节省成本，可能出现子域名任在真实ip段
之后我再讲此法
法四 利用网站漏洞
命令执行反弹shell xss盲打 ssrf
这些我会以后详谈
法五 采用国外主机解析域名
有些网站为了节约,不会给国外方法做cdn
尝试使用谷歌dns解析

dig www.xxx.com @8.8.8.8 a

法六 敏感文件泄露
phpinfo()
后续会讲的目录爬取可能存在爬出敏感信息

法七
利用mx记录
可能会暴露真实ip段

dig xxx.com @8.8.8.8 mx

etc...才疏学前有些大佬的法子没看懂也就不写上来了

子域名获取

法一：网站查询
直接输入域名获取子域名
输入真实ip获取真实ip段存活主机
https://site.ip138.com/
法二：shodan fofa zoomeye
https://fofa.so/
https://www.zoomeye.org/
https://www.shodan.io/
在此仅介绍shodan,其余两个都是中文网站具有手册
net:1.1.1.1
net:1.1.1.0/24
net:xxx.com
city:城市英文名
country:CN
port:
os:
三个都是搜索神器,功能远不止子域名获取,这里就不详谈,请自行学习
法三：dns区域传输
某些dns服务器配置不当导致能够利用

host -T -l xxx.com 8.8.8.8

法四：工具爆破
常用法子
layer子域名发掘机

爆破工具繁杂,自行选择

子目录及真实路径及旁站的探测

法一：手工法
1.直接上手网站进行敏感文件测试
www.xxx.com/robots.txt
2.探针文件（遗留文件）
常见探针名
phpinfo.php info.php php.php 1.php
3.报错获得
容错不好网站 404
动态url加单引号 错误sql语句保出真实路径
4.工具爬虫
awvs爬虫
结构最为可靠

burp的爬虫功能
5.爆破工具
御剑后台爆破
dirbuster

web框架及操作系统及服务信息

1.服务平台即脚本类型通过通过http响应包
可能会返回目标系统的框架及操作系统信息
2.nmap

nmap -O 1.1.1.1 /获取操作系统
nmap -sV 1.1.1.1 /获取服务信息
nmap -A -T4 1.1.1.1 /同时获取两者

推荐使用-A,注意大小写
这里先带过nmap后续详谈

3.一定注意数据库和web框架和操作系统搭配,如mssql智能在windows ,iis只能在windows

cms查询

1.手工法
打开网站 f12 进行手工搜索url中特殊路径,可能搜出cms信息
2.爆破法
使用
御剑web指纹识别等指纹识别工具
3.网站大法
http://whatweb.bugscaner.com/
最好使用

端口扫描

nmap -sS 1.1.1.1  /默认扫描1000个常用端口 半开扫描
等同
nmap 1.1.1.1

nmap -sT 1.1.1.1 /全开扫描

后续详谈nmap

whois

通过whois可以获取一些其他类别信息
1.命令
whois xxx.com
2.网站
https://whois.chinaz.com/
不好使

特殊工具详解篇

dig

dns信息收集工具
被动信息收集神器

dig xxx.com a @8.8.8.8 /a查询ipv4 cname查询cname记录 @8.8.8.8指定8.8.8.8为dns服务器
dig www.xxx.com any @8.8.8.8 /查询所以信息,包括mx ns txt 记录
dig +noall +answer -x 1.1.1.1 /反向解析域名1.1.1.1

netdiscover

二层发现工具
使用arp协议发现同局域网ip存活

netdiscover -i eth0 -r 192.168.124.0/24        /-i指得网卡 
netdiscover -p /混杂模式，被动收包探测 

fping

三层发现工具
基于icmp/ip协议
可路由
速度慢于二层发现

fping 1.1.1.1 -c 1
fping -g 1.1.1.0/24
fping -g 1.1.1.1 1.1.1.255

nmap

nmap是一款主机探测/端口扫描工具
首先针对扫描目标进行阐述：
可以是ip,ip段,域名

nmap 1.1.1.1
nmap www.xxx.com
nmap 1.1.1.1-255
namp 1.1.1.0/24

端口阐述

nmap 1.1.1.1 -p1-65535
默认不加-p扫描1000常用端口
nmap 1.1.1.1 -p80,8080,21,443

常用主机存活发现指令

nmap -sn 1.1.1.0/24   /不进行端口扫描,会更具ip切换二层三层扫描
nmap -Pn 1.1.1.0/24   /默认所有端口在线，可能结果比-sn准确
nmap -PU 1.1.1.0/24  /进行udp探测主机存活
nmap -PS 1.1.1.0/24 /进行tcp发送syn包探测主机存活
nmap -PA 1.1.1.0/24 /进行tcpack包探测

常用端口存活主机发现

nmap -sS 1.1.1.1  /进行端口扫描以发现syn形式 也称半开扫描  发现过程 Syn——syn/ack——rst
namp 1.1.1.1 /等同-sS
nmap 1.1.1.1 -sT /进行全开扫描,建立完整tcp连接
nmap 1.1.1.1 -sU /udp方式扫描

防护墙识别

nmap -sA 1.1.1.1 /结合-sS判断端口的状态可以判断出是否存在防火墙  比如-sA 出现 filtered

服务识别

nmap 1.1.1.1 -p 80 -sV

操作系统识别

nmap 1.1.1.1 -O

waf识别

nmap www.baidu.com --script=http-waf-detect.nse

snmpwalk

snmpwalk 1.1.1.1 -c public -v 2c /若开启snmp服务，并设置public可读,将会获取大量信息

wafw00f

waafwoof www.xxx.com