0x01 前言
对于一个网站来讲,掌握此网站信息的多少是我们整个渗透过程能否顺利进行的关键,俗话说:“兵马未动粮草先行”也就是这么个意思,只有先掌握网站较多的信息才会有利于接下来操作的顺利进行,这样在原先的基础上也许会繁生出新的思路,更利于后期的测试。
刚开始拿到一个网站可能会比较蒙蔽,不知道需要收集哪些信息?通过什么方式收集?没关系,我们一步步来,请静下心来往下看。
0x02 信息收集
信息收集分为主动信息收集和被动信息收集两种类型,如下:
主动信息收集:与目标主机直接交互【缺点:无法避免留下访问痕迹、会被封IP】。
被动信息收集:不与目标主机进行直接交互,通过搜索引擎或者社工等方式间接的获取目标的信息。
(1)收集那些信息?
使用whois收集该站域名注册人的信息,如:注册商、联系邮箱、联系人、联系电话、DNS解析服务 器;通过其他方式收集该站公网IP、端口、网站目录、robots.txt文件、网站框架、中间件、编程语言、旁站、C段等信息,收集的信息越多越好。
(2)使用那些工具?
whios信息、企业信息查询工具(爱查查、企查查、天眼查)、ICP备案查询、windows下cmd命令,工具网址等详细信息如下章节。
0x03 Whois信息
如下收集工具:
(1)Whois查询在线工具:
https://www.whois.com/whois/
http://whoissoft.com/
http://whois.bugscaner.com/
https://who.is/
https://whois.aizhan.com/
http://whois.chinaz.com/
https://whois.tj/
http://mwhois.chinaz.com/
注意:whois上查询该站信息被数据脱敏处理,可通过其他whois查询(遇到英文用工具翻译)
(2)在线反查工具:
IP反查域名:https://dns.aizhan.com/
whois反查:https://whois.aizhan.com/reverse-whois/
(3)其他:
同IP网站查询:http://stool.chinaz.com/same
爱企查:https://aiqicha.baidu.com/
企查查:qcc.com
天眼查:https://www.tianyancha.com/
ICP备案查询:https://www.beianx.cn/bacx
国家企业信用信息公示系统:http://www.gsxt.gov.cn/corp-query-homepage.html
根据域名查IP:ping、nslookup【windows环境cmd命令】
微步在线whois:https://x.threatbook.cn/
注意:国内网站备案的基本都查得到,国外网站因不备案基本查不到;
0x04 子域名
[子域名](https://baike.baidu.com/item/%E5%AD%90%E5%9F%9F%E5%90%8D/10937658?fr=aladdin "子域名")
收集子域名可以在线通过浏览器(百度、google、Bing、火狐)语法( site:指定域名),个人觉得这种方法效率不高;推荐使用“Layer子域名挖掘机工具”收集子域名。
在线工具:
潮汐指纹:http://finger.tidesec.com
微步在线:https://x.threatbook.cn
其他工具:
1. subDomainsBrute(Python、爆破DNS服务器)
下载链接:https://github.com/subDomainsBrute
2. Layer子域名挖掘机(网页内蜘蛛爬虫)
链接:https://pan.baidu.com/s/1_6xmF8H91_tBwaezHWxITA 提取码:1pnq
0x05 旁站
同IP站点(同IP不代表同服务器):
1. 同IP同服务器(注释:同一个服务器上存在多个对外映射服务,服务=公网IP+端口,端口代表不同服务)
2. 同IP不同服务器同一个内网(注释:服务映射共用同一个公网IP,在内网分布在不同的服务器(不同的内网IP)上+端口,前提是同一局域网内)
在线工具:https://www.webscan.cc
0x06 C段
和目标服务器ip处在同一个网段的其它服务器(主站 --> 旁站 --> C段)
例如:222.222.222.222 相同C段地址:222.222.222.XXX
目录扫描:御剑、Dirsearch
注意:安全的防护,讲究外紧内松。内网弱密码还有通杀漏洞(windows的漏洞 永恒之蓝 RDP)
0x07 端口探测
一些网站存在CDN加速,这个时候看到的公网IP不是真实的IP,所以需要查询到真实的IP地址(通过网站ping判断是否存在SDN),或者使用工具发现端口。
首先获取真实IP:
1. 网站在互联网资产很多,不会每一个都存在CDN加速,可以从子域名入手,获取真实IP;
2. 通过让对方服务器发邮件给你(邮箱头源ip)找真实ip(最可靠);
方法:订阅该站的订阅服务,查找该站邮箱地址并发送需求连接等等,这里可以使用社工,最终只要收到对方邮件服务器向你发邮件即可。
3. 通过查询域名历史ip
4. ping、nslookup命令获取地址,最好验证一下
确定该网站的真实IP之后,再使用nmap/kali自带工具进行端口探测
在线工具:https://tool.chinaz.com/port/
nmap工具:链接:https://pan.baidu.com/s/1DQ6yRpuQR9XZsY-xYHI1sg 提取码:wsvw
0x08 网站架构探测
通过工具识别网站ip、物理地址、JavaScript Frameworks;识别是否cms,如果该网站是cms可以到源码网站或者cms官网下载对应的cms版本源码,在本地进行白盒审计,挖掘漏洞。
1. 指纹识别
在线指纹识别:http://whatweb.bugscaner.com/
微步社区:https://x.threatbook.cn
潮汐指纹:http://finger.tidesec.com
2. google插件、火狐插件
识别网站插件:Wappalyzer
3. robots.txt文件
文件格式:
User-agent:*
Disallow:
或者
User-agent:*
Allow:/
注意:测试时多数会查看该文件是否允许访问,一些情况下可能存在源码信息文件