信息收集(渗透测试的灵魂)
一.为什么要信息收集?
正所谓知己知彼、百战不殆,往往最了解你的人就是你的敌对手,当你的掌握到的信息比别人更多更详细的时候那么你就占据了先机
二.信息收集都收集那些?
- whois信息
whois是用来查询域名的IP以及所有者等信息的传输协议。简单说,whios就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库。(如:管理员的名字,域名注册商,手机号码,邮箱号)不同的域名后缀的whios信息需要到不同的whios数据库查询,(如:.com的whois数据库和.edu的就不同,每个域名或IP的whois信息由对应的管理机构保存)
域名注册人可能就是网站管理员,可以通过社工,套路,查询是不是注册 了其他域名,获取更多域名注册者的信息,扩大攻击范围。
- 子域名
顶级域名:".com" “.net” " .org" ".cn"等等,类别域名:
科研机构.ac,教育机构.edu,政府部门.gov,互联网络信息中心和运营中心.net 用于非盈利组织.org 。百度百科https://baike.baidu.com/item/域名/86062#5
子域名是某个主域名或者多级域名,在防御措施严密的情况下无法直接拿下主域,同一个域名下的二级域名都属于相同资产,一般而言都有相关的联系那么就可以采取迂回战术拿下子域名,扩大攻击范围,然后无限靠近主域
列如:www.xxxx.com 主域名不存在漏洞,防护措施严密
而二级域名 edu.xxxx.com存在漏洞,并且防护措施松散
- cms指纹识别
CMS是一个内容管理系统,用于网站管理。不用懂代码就可以搭建网站,只需要下载对应的CMS软件包,就可以部署搭建,简单方便。常见的CMS:dedecms(织梦),Discuz,Phpcms等
cms可能存在通杀漏洞,如果使用了CMS建站我们可以用通杀漏洞直接攻击
4.目录扫描
针对目标web目录结构和敏感隐藏文件探测是非常重要的,在探测过程中很有可能会探测出后台页面,上传页面,数据库文件,网站源代码文件压缩包等
5.端口扫描
在计算机中每一个端口代表一个服务,在windows命令行中使用netstat -anbo显示开放端口
有些危险端口开放了我们就可以尝试入侵,可以尝试爆破,或者使用某些端口存在漏洞的服务
6.旁站查询
旁站指的是在同一个ip上面的多个网站,如果你成功拿下旁站,运气好跟主站一起是不是就拿到了主站
7 .c段扫描
例如192.168.1.1 ,那么192.168.1.1-192.168.1.255 都属于同一个C段,有些学校或者大公司,他们会持有整个IP段,这个ip段中所有的ip都是那个公司的资产,拿下一台可能有有用的信息,可能在同一内网
8 .敏感信息泄露
尝试Google语法,找到某些敏感内容,比如包含身份证号码的表格、包含服务器账号密码的文件、某些敏感文件、备份数据库
三.信息收集的方法
whois查询:
5. web接口查询:https://www.netcraft.com,http://whois.chinaz.com/,https://www.whois365.com/
- 通过whios命令查询
在kali linux下自带了whios查询工具,通过命令whios域名,进行查询
挖掘子域名:
- 第三方网站查询:https://phpinfo.me/domain,https://dns.aizhan.com/ ,站长之家
- 子域名挖掘工具 如:Maltego CE,wydomain,dnsmaper,Layer子域名挖掘机,可以百度查询使用方法
- 搜索引擎挖掘 如:在Google中输入site:xxx.com,表示搜索包含此域名的网址
- 证书公开日志枚举:https://crt.sh/, https//censys.io/
CMS指纹识别:
- CMS在线识别工具:http://whatweb.bugscaner.com/look/, http://www.yunsee.cn/finger.html
- 本地工具:大禹CMS识别程序https://github.com/Ms0x0/Dayu
对于查询到的cms可以利用https://www.cnvd.org.cn/flaw/list.htm?flag=true查询指定CMS漏洞,查询到的漏洞本地搭建测试漏洞
目录扫描:
- 御剑后台扫描工具、
- wwwscan命令行工具
- dirb命令行工具
- dirbuster扫描工具
端口收集:
- 使用nmap探测,nmap -A -v -T4 目标ip
- 使用masscan探测
- 使用在线网站探测站长之家 http://tool.chinaz.com/port/,
针对不同端口的攻击方法:
列如:端口 22 SSH远程连接 爆破,SSH隧道及内网转发,文件上传
23 ,Telnet远程连接 ,爆破,嗅探,弱口令
3389,rdp远程桌面 ,Shift后门,爆破
5990,VNC远程连接 ,弱口令,RCE
5623,PcAnywhere远程连接, 嗅探,代码执行
可以百度搜索相关端口的漏洞攻击和攻击方法以及最新爆出的漏洞
旁站查询:
- 站长工具查询:http://s.tool.chinaz.com/same,https://phpinfo.me/bing.php
真实ip地址查询
判断cdn存在 ping www.baihe.com 上面写有cdn,就是存在cdn
站长之家ping检测
绕过CDN:
1,内部邮箱源,收集到内部邮箱服务器ip
2,网站phpinfo文件phpinfo.php
3, 分站ip地址,查询子域名,cdn很贵,很有可能分站就不再使用cdn
4,国外访问 https://asm.ca.com/ping.php
5, 查询域名解析记录 http://viewdns.info/
c段扫描
- 找到真实的ip,比如真实ip 1.1.1.1 那么C端范围就是1.1.1.1-1.1.1.255
https://phpinfo.me/bing.php
敏感信息泄露收集:
- 使用谷歌语法:
site:指定域名 site:edu.cn
inurl: 指定url inurl:php?id=123 公司
intext:指定网页中是否存在某些关键子 intext:网站管理
filetype:指定文件类型 xls doc txt
intitle:指定网页标题是否纯在某些关键字 intitle:后台管理
link:指定网页连接 列如 link:baidu.com指定与百度做了外链的站点
info:指定搜索网页信息 info:baidu.com
使用网络搜索引擎
如:钟馗之眼http://www.zoomeye.org
shodan https://www.shodan.io
fofa https://fofa.so/