收集信息采用一种由外到内的收集方式,保证信息的收集尽可能的全面。在渗透测试过程中,我们从各个角度进行测试,需要尽可能的找出网站中的漏洞来编写测试报告,所以只要是与目标网站相关的信息,我们都要尽可能的去收集。
我们得到一个网站的地址,以 https://www.baidu.com 为例。
- 直观信息:利用Google搜索语法搜索网站的信息,可能可以找到后台,或者找到注入点。
- 应用层:我们需要收集网站的域名信息,这个网站是谁注册的?这个人的邮箱号是多少?(可以用于密码爆破等)当前域名有多少子域名?
- 传输层:我们要知道传输层的UDP和TCP通常没有什么信息,他们通常用于保证网络质量等功能,所以这一层我们不做任何操作。
- 网络层:目标网站有哪些IP?那些IP上有哪些服务?那些IP上有哪些端口对外开放?真实世界中域名很有可能会使用CDN的技术,而CDN中只有通常没有我们想要的信息,我们的目标是网站的服务器主机,所以我们需要找到。
- 数据链路层:也没有什么关键的信息。
还有一种比较特殊且常用的方法,指纹识别。
0x01 直观信息
圈内常说的Google hacker(逃
常用语法:
- site:指定域名。site:edu.cn(所有edu.cn的网站)
- inurl:URL中存在关键词。inurl:?id=(SQL注入等功能)
- intext:网页正文存在关键词。intext:后台(找后台)
- filetype:指定文件类型。filetype:pdf(找电子书)
- link:和当前链接有关联的网页。link:slug01sh.github.com(和我的博客做了友链的博客)
- cache:Google中的缓存
还可以进行组合搜索。site:edu.cn inurl:?id=
同理可以在其他搜索引擎进行搜索
- 百度
- 雅虎
- Bing
- Shodan
- Github
0x02 应用层
问:这个网站是谁注册的?他的邮箱是多少?
收集域名注册。域名服务商、注册人信息(姓名、邮箱信息、地址)、IP地址、备案信息查询
- whois查询
- 站长之家
- 爱站工具网
- VirusTotal
- ICP备案查询网
- 天眼查
通常主域名会设立一些防护,而一些刚刚开的新子域名没来得及防护,就可以考虑从侧面进行攻击。而在这之前我们最好先把子域名的信息先收集好。收集方法:
- 搜索引擎枚举。site:baidu.com,简单暴力
- 第三方应用。DNSdumpster、在线DNS侦查、子域名爆破网站(https://phpinfo.me/domin )、IP反查绑定域名网站(http://dns.aizhan.com )
- 日志透明度公开日志枚举。https://crt.sh 和 https://censys.io
- 子域名扫描器。如:Layer子域名挖掘器、subDomainBrute、Sublist3r
0x03 网络层
问:如何判断是否采用CDN?
采用多地ping服务的在线网站(https://www.17ce.com )
问:如果使用了CDN,应该如何获取真实IP?
- 国外访问当前域名(CDN国内外收费不同)
- 查看域名的解析记录(可能过去有IP的记录)
- 扫描网站测试文件。如phpinfo、test(测试文件没有挂CDN)
- ping分站(分站没有挂CDN)
- 抓包分析(数据交互会和真正的服务器交互)
- 内部邮箱溯源。邮件服务器IP、ping邮件服务器域名(网站自己的邮件服务器)
问:如何验证找到的IP的真实性?
测试「80端口的网站」是否和「你域名访问得到的网站」相同。
问:找到IP之后做什么?
- 端口信息
- Web路径信息
问:收集端口信息常用工具有哪些?
- nmap
- masscan
- zmap
- 御剑高速TCP端口扫描工具
TCP/UDP端口列表:https://zh.wikipedia.org/wiki/TCP/UDP%E7%AB%AF%E5%8F%A3%E5%88%97%E8%A1%A8
常见的URL:http://localhost:4000/article 。URL中的域名端口信息都已经进行搜集,在确定了需要攻击的域名和端口之后,如果想要攻击Web服务,就需要先搜集Web目录文件。
问:如何搜集Web目录文件?
使用扫描器扫描,常用工具:dirsearch。
0x04 指纹识别(博客类)
CMS是用来管理网站的文章的,通常会有一些框架来套用。这些框架可能由于种种原因被挖掘出了漏洞存在,而管理员又没有及时的更新。可以采用在线的工具进行识别,也可以采用本地识别。
常用的本地工具有:
- 御剑Web指纹识别
- WhatWeb
- WebRobo
- 椰树
- 轻量Web指纹识别
常用在线工具: - BugScaner
- 云悉指纹
- WhatWeb