常见的信息收集方式
流程
在渗透测试的第一步,通常目标会提供一个要进行渗透测试的域名。那么今天我们就从域名开始来做文章。
我们需要确定测试目标所控制的主域名和其对应的子域名(包括DNS解析记录)、测试目标的IP段、测试目标的系统、测试目标的邮件系统地址、测试目标的员工信息。
首先是对于域名注册信息,通过域名注册信息我们可以获取到目标控制的域名列表。我们可以通过 whois.chinaz.com 进行查询,如图所示,我们输入acfun.cn这个域名后,会显示出域名的注册信息。以及whois反查控制的子域名
接着利用子域名扫描工具对于以上收集的主域名列表进行扫描,常见的子域名扫描工具包括 dnsbrute、subDomainsBrute、Sublist3r 等。如图所示我们扫描了acfun.tv和acfun.cn两个域名的子域名列表。
接着是对于目标的IP地址的收集。将域名列表整理好后,可以通过挖掘域名解析出的IP关联来确认目标公司可能存在的IP段。不过需要注意的是,在当前大部分公司都将业务迁到云上的情况下,可能没有一个完整连续的C段。
对于一些大型公司,可能会拥有一个AS号。AS号码即自治系统号码,是用来标识独立的自治系统的,在同一个自治系统内,使用相同内部路由协议,自治系统间使用外部路由协议。查询AS号我们可以通过bgp.he.net来进行查询。如图所示,我们查询了腾讯所控制的IP段列表。通过这些IP段,我们可以进行进一步的扫描。
对于有CDN的域名,可以通过SSRF、信息泄露、发送邮件的方式进行获取真实IP地址。
第一种方式是通过SSRF漏洞来获取。SSRF的全称是服务端请求伪造,通俗的来讲就是服务端会请求用户输入的地址,导致真实IP的泄露。常见的一些CMS都存在SSRF漏洞,比如Discuz、Wordpress等,对于非常见的系统,需要针对业务去进行漏洞的挖掘。
第二种为信息泄露。有些时候网站存在注入phpinfo.php之类的文件,此类文件会显示出服务器的真实IP地址。
获取邮件的方式一般是在目标网站上进行注册、找回密码等操作后,目标网站会发送一封邮件到邮箱内,通过查看邮件的原文可以获取到发送邮件的IP地址。
可以利用zoomeye、shodan.io进行全网搜索。这一步我们之后在讲。获取到真实IP地址后,不仅可以做到信息收集,还可以绕过云WAF、CDN,有助于我们下一步的渗透测试。
对于目标网站的信息的收集。网站上的信息收集方式包括了对于网站敏感目录、邮箱、Web服务器的指纹、Web应用的指纹的信息收集等等。
对于网站敏感目录,我们可以通过查看 robots.txt 来进行收集
对于邮箱的收集可以通过查看网站的contact me等信息,通过会提供一个联系邮箱。针对于Web服务器和Web应用的指纹,我们可以利用服务器返回的Headers、报错信息等来确认
以确认Web服务器为nginx,Web应用返回的Cookie为fuelfid,通过查询可以确认Web应用为此Web应用为FuelPHP编写的。我们还可以通过X-Powered-By等返回头来进行指纹的识别。
有些时候,网站开发者会在网站的HTML源码里嵌入一些未公开的接口或者其他的信息等等,所以访问网站的时候也要注意HTML源码的内容。
对于网站目录收集还有一种方式是利用一些工具去进行目录的扫描,这里我推荐dirsearch这个工具,如果大家有一些更顺手的工具也可以。-u 指定域名,-e指定扫描后缀
常见的Google hack
inurl: intext: intitle: Filetype: cache: Site: info:
利用一些搜索引擎来进行信息收集。这里我们讲解三个平台,分别是Google、Github和Shodan ; Github是一个开源代码托管平台,很多开发者都将代码上传到Github来开源代码,与此同时,有很多开发者将一些敏感配置文件、公司代码等上传到Github上,这就造成了一些安全隐患。Shodan是一个网络空间搜索引擎,我们可以利用Shodan搜索网络空间上的内容,在我们绕过CDN、寻找某公司目标的时候大有裨益。
通常Github上搜索到源代码后,我们可以利用代码中的信息进行代码审计,挖掘到漏洞后,再去对应的网站上经测试。很多时候,Github上有着目标网站的数据库配置文件,利用这个文件去进行连接到目标数据库,甚至可以一步到位的完成渗透测试。虽然这个需要运气成分,但是并不能否认这是一个非常便利的方法。通过Github,我们可以获取到大量敏感信息,具体情况需要结合企业的各种信息进行搜索。推荐一个工具 GSIL:https://github.com/FeeiCN/GSIL ,大家可以自行安装尝试。GSIL会自动利用配置的规则去进行搜索,然后将搜索的结果发送到邮箱。
smtp password + 企业域名
.secretKey
Shodan 是一个网络空间搜索引擎,下面我们演示一下利用Shodan来进行企业的搜索。比如我们想搜索FIFA这个组织的所有服务器,可以通过:org:"Federation Internationale de Football Association" 来进行搜索。如图所示,我们搜索到了119个服务器,甚至SHodan将这些服务器所开放的端口、用的Web服务都列了出来。这就比我们手动一个个去测试方便得多。