文章目录
一:信息收集简介
二:信息收集的具体内容
(一)WEB信息收集
1:域名信息收集
2:whois查询
3:真实IP信息收集
4:旁站信息收集
5:C段主机信息收集
6:端口信息收集
7:APP信息收集
8:小程序信息收集
9:公众号信息收集
(二)服务器信息收集
1:服务器操作系统信息收集
2:服务器中间件版本信息收集
3:指纹识别
4:敏感信息收集
一:信息收集简介
《孙子兵法》中写道:知己知彼,百战不殆。信息收集是网络攻击或是渗透测试中的第一步,也是最关键的阶段,同时也是耗费时间最长的阶段。换句话说:渗透测试/网络攻击的本质就是信息收集。
信息收集技术也被称为打点技术,信息收集的方式分为是主动信息收集和动信息收集;息收集的方法分为技术方法和非技术方法。
主动信息收集:主动信息收集指通过直接访问、扫描网站等与站点发生直接交互的一种信息收集方式。其优点在于:①信息获取的针对性强 ②信息时效性高 ③能收集到未公开的敏感数据。其缺点是:①信息收集者信息容易暴露,风险高 ②信息收集覆盖面相对小 。注意:主动信息搜集之前一定要挂上代理,一方面是为了隐藏自己,另一方面是为了防止测试的时候被封ip导致无法进行继续的渗透活动。
被动信息收集:被动信息收集是指利用第三方服务或工具对目标进行各类信息(如域名、子域名、C段、IP等)的收集。
技术方法:指利用第三方平台(如搜索引擎、网络空间探测引擎、各类扫描工探测工具等)进行信息收集。
非技术方法:社会工程学等(如通过钓鱼、联系攻击目标相关人员获取所需信息等)。
二:信息收集的具体内容
(一)WEB信息收集
1:域名信息收集
在实际工作中,可能面临客户可能将目标资产信息很详细列表并给测试人员,但是也可能面临客户就给目标主域甚至是企业名字,这个时候作为渗透测试人员就需要通过主域或是企业名称进行域名信息收集。
(1)通过企业备案制度进行目标企业信息查询。
①ICP备案查询网: https://www.beianx.cn
②工业和信息化部备案信息查询系统: https://beian.miit.gov.cn
③公安机关互联网站点信息备案平台:https://www.beian.gov.cn/portal/registerSystemInfo
(2)通过商业信息查询软件查询目标企业资产(包括主域、子域、web站点、小程序、APP、公众号等)
①小蓝本 : https://www.xiaolanben.com
②企查查 : https://www.qcc.com
③爱企查 : https://www.aiqicha.baidu.com
(3)子域名信息收集:通过对目标企业所拥有的子域名进行信息收集,可以扩大攻击面,提升攻击成功率。
①枚举:通过枚举的方式对子域进行暴力破解。枚举相关工具: layer子域名挖掘机
②使用搜索引擎进行子域信息收集。如:site:baidu.com。
③使用空间搜索引擎进行子域信息收集。如:domain=“baidu.com”。(空间搜索引擎有:Fofa、zoomeye、shodan、360quake、鹰图等)
④利用证书进行子域信息收集 https://crt.sh/
⑤使用聚合工具:oneforall、subDomainsBrute等
2:whois查询
whois是用来查询域名或者IP其所有者等信息的传输协议。简单而言,whois就是一个查询域名是否被注册、注册域名时注册人的信息,比如域名注册人的邮箱、电话号码、姓名等。根据这些信息可以尝试制作社工密码,或者查出更多的资产等等,也可以反查注册人,邮箱,电话,机构及更多的域名等等。
①工信部备案信息查询: https://beian.miit.gov.cn/#/Integrated/recordQuery
②公安备案网:https://www.beian.gov.cn/portal/registerSystemInfo
③站长之家:https://www.beian.gov.cn/portal/registerSystemInfo
④爱站网:https://whois.aizhan.com/
⑤中国互联网信息中心:https://webwhois.cnnic.cn/WelcomeServlet
⑥腾讯云:https://whois.cloud.tencent.com/
⑦阿里云:https://whois.aliyun.com/
3:真实IP信息收集
真实IP就是指目标企业在公网的IP地址。找到真实IP就可以访问这个IP的C段和端口,方便进一步渗透。但有的站点挂了CDN,所以必须绕过CDN获取真实IP。(注意:一般能通过IP访问站点的就是真实IP)。
(1)第一步:先判断站点是否使用CDN技术
1):使用不同的主机通过PING域名
①站长工具:http://ping.chinaz.com
②爱站网:https://ping.aizhan.com
③https://asm.ca.com/en/ping.php
2):使用nslookup命令 如:nslookup baidu.com
注意:使用nslookup命令对域名进行解析,若发现存在多个IP地址,则存在CDN;反之,若仅出现一个IP地址,则不存在CDN。
(2)第二步:绕过CDN
①通过对子域名进行查询。原因:CDN加速需要一定的费用,很多站点只对主站做了CDN加速,子域名并未做CDN加速。而子域名和主站可能在同一服务器或同一C段中,可用通过探测子域名的方式,收集子域名的信息,查询子域名的IP地址来辅助判断主站的IP信息。
②查询历史DNS解析记录。通过查询DNS于IP绑定的历史记录就有可能发现之前的真实IP。
I:DNSdb: https://dnsdb.io/zh-cn/
II:微步在线:https://x.threatbook.cn
III:360威胁情报中心:https://ti.360.net/#/homepage
IV:查询网 :https://site.ip138.com
V:https://tools.ipip.net/cdn.php
③使用国外主机对域名进行解析。原因:部分国内的CDN加速服务商只对国内的线路做了CDN加速,但国外的线路没有做加速,因此可用通过国外主机来探测真实的IP信息。
④通过站点漏洞进行绕过。
⑤通过邮件信息进行IP信息获取。原因:邮件信息中会记录邮件服务器的IP信息。
4:旁站信息收集
旁站是指与攻击目标在同一服务器上的不同站点。在攻击目标站点没有漏洞的情况下,可通过查找旁站的漏洞攻击旁站,再通过提权拿到服务器的最高权限,进而达到拿下攻击目标。
(1)查找旁站的方式
①站长工具:https://stool.chinaz.com/same
②通过搜索引擎进行查询
③利用空间搜索引擎查询
5:C段主机信息收集
C段是指同一内网段内的其他服务器或主机。每个IP有ABCD四个段,如192.168.0.1,A段就是192,B段是168,C段是0,D段是1。则和这个IP地址位于同一C段的IP地址有 192.168.0.0 ~~ 192.168.0.255。
(1)查询C段的方式
①使用Nmap工具扫描
②利用搜索引擎搜索C段信息
③通过空间搜索引擎进行C段信息查询
6:端口信息收集
端口(Port)可以认为是设备与外界通讯交流的出口,不同的端口对应不同的服务。计算机的端口有0 ~~ 65535个,当常用的80端口、443端口无法攻击下来的时候,可以通过端口测试,扫描其他端口,从而实现渗透。
(1)端口信息收集方式
①使用Nmap工具
②利用御剑端口扫描工具
7:APP信息的收集
在移动应用的爆发时代,APP作为企业的重要资产,在渗透测试工作中其信息的收集也是至关重要的。
①使用小蓝本、爱企查、企查查等商业信息搜索平台进行信息收集。
②通过七麦数据移动商业产品分析平台:https://www. qimai.cn
8:小程序信息收集
①使用小蓝本、爱企查、企查查等商业信息搜索平台进行信息收集。
9:公众号西信息收集
①搜狗微信公众号搜索平台: https://weixin.sogou.com/
(二):服务器信息收集
1:服务器操作系统信息收集
①使用PING协议查看TTL值。如:ping baidu.com或ping IP地址。原因:默认情况下,Linux系统的TTL值为64或255,Windows NT/2000/XP系统的TTL值为128,Windows 98系统的TTL值为32,UNIX主机的TTL值为255。(注意: 因为TTL值的范围为0 ~~ 255,且可以被修改,并不是固定不变)
②对域名进行大小写输入判断。原因:Windows操作系统:大小写不敏感;Linux操作系统:大小写敏感。
③端口判断:22端口被开启表示为Linux系统。
④使用Nmap工具
2:服务器中间件版本信息收集
①让网页报错,查看报错信息。原因:部分站点为关闭服务器中间件版本信息回显的功能。
②抓取站点响应包,查看server字段信息。
3:指纹识别
对于站点指纹的理解可以参考人的指纹概念,每个人的指纹都是唯一的,在办理个人身份证时进行指纹收集,之后可以快速匹配分辨出个人信息,WEB应用也有自己的指纹。主要表现为:站点的特有文件、MD5,文件的命名规则、返回头的关键字、网页的关键字等等。
①云悉:http://www.yunsee.cn/finger.html
②微步在线:https://x.threatbook.cn/
③工具:Webfinger、whatweb、cmseek等等
4:敏感信息收集
(1) 站点漏洞信息收集
通过漏洞扫描工具对站点进行漏洞扫描,或者通过漏洞库查询站点历史漏洞信息。
(2)站点目录扫描
通过目录扫描可以发现目标站点存在多少个目录、多少个页面,探测出站点的整体结构。还可以扫描出站点的敏感信息、隐藏的目录和api、代码仓库、备份文件、后台文件、数据库文件等等。
(3)站点JS代码信息收集
在JS源代码文件中可能存在大量的敏感信息,包括API、业务逻辑漏洞信息、站点密码等等。