一、前言
在眾測中,基本上SRC的漏洞收集范圍有如下幾種形式:
形式一:暫時僅限以下系統:www.xxx.com,其他域名不在此次測試范圍內
形式二:只獎勵與*.xxx.com相關的漏洞
形式三:無限制
形式一,基本被限定了范圍
形式二,注重於子域名的收集
形式三,子域名及相關域名的收集
另外,隨着企業內部業務的不斷壯大,各種業務平台和管理系統越來越多,很多單位往往存在着“隱形資產”,這些“隱形資產”通常被管理員所遺忘,長時間無人維護,導致存在較多的已知漏洞。
在滲透測試中,我們需要盡可能多的去收集目標的信息,資產探測和信息收集,決定了你發現安全漏洞的幾率有多大。如何最大化的去收集目標范圍,盡可能的收集到子域名及相關域名的信息,這對我們進一步的滲透測試顯得尤為重要。
在這里,通過介紹一些資產探測和信息收集的技巧,來收集滲透目標的信息。
假設我們只拿到了一個主域名。
二、資產探測
從主域名出發,我們首先需要考慮的是子域名,即*.xxx.com,接下來進行子域名搜集思路的梳理。
2.1 子域名收集
A、搜索引擎查詢
Google、baidu、Bing等傳統搜索引擎
site:baidu.com inurl:baidu.com
搜target.com|公司名字
網絡空間安全搜索引擎
zoomeye(鍾馗之眼):https://www.zoomeye.org
shodan:https://www.shodan.io
Fofa:https://fofa.so
Censys:https://www.censys.io
Dnsdb搜索引擎:https://www.dnsdb.io
PS:可編寫Python腳本批量查詢、獲取
B、在線查詢接口
http://tool.chinaz.com/subdomain/
http://i.links.cn/subdomain/
http://subdomain.chaxun.la/
http://searchdns.netcraft.com/
https://www.virustotal.com/
https://censys.io/
https://x.threatbook.cn/ 微步在線
C、子域名暴力猜解
爆破工具:
Layer子域名挖掘機
wydomain:https://github.com/ring04h/wydomain
subDomainsBrute:https://github.com/lijiejie/
Sublist3r:https://github.com/aboul3la/Sublist3r
D、DNS查詢/枚舉
DNS查詢:
host -t a domainName
host -t mx domainName
優點:非常直觀,通過查詢DNS服務器的A記錄、CNAME等,可以准確得到相關信息,較全。
缺點:有很大的局限性,很多DNS是禁止查詢的。
參考:https://www.cnblogs.com/xuanhun/p/3489038.html
域傳送漏洞
DNS暴力破解:fierce
參考鏈接:http://blog.csdn.net/jeanphorn/article/details/44987549
Passive DNS
參考鏈接:http://www.freebuf.com/articles/network/103815.html
E、HTTPS證書
證書頒發機構(CA)必須將他們發布的每個SSL/TLS證書發布到公共日志中。SSL/TLS證書通常包含域名、子域名和電子郵件地址。因此SSL/TLS證書成為了攻擊者的切入點。
SSL證書搜索引擎:
https://certdb.com/domain/github.com
https://crt.sh/?Identity=%%.github.com
https://censys.io/
基於 HTTPS 證書的子域名收集小程序 :GetDomainsBySSL.py
參考鏈接:http://www.freebuf.com/articles/network/140738.html
F、綜合搜索
提莫:https://github.com/bit4woo/teemo
主要有三大模塊:搜索引擎 第三方站點 枚舉
利用全網IP掃描http端口 在訪問IP的80或者8080端口的時候,可能會遇到配置了301跳轉的,可以在header里獲取域名信息。
全網掃描結果如下:https://scans.io/study/sonar.http
G、子域名篩選
當收集的子域名數量過大,手動篩選工作量太大,如何快速掃描,半自動的篩選出有效的可能存在漏洞的子域名。
參考鏈接:http://www.52bug.cn/%E9%BB%91%E5%AE%A2%E6%8A%80%E6%9C%AF/3413.html
2.2 相關域名收集:
A、旁站及c段收集
同IP網站及C段查詢
IP反查域名
工具:御劍、K8
在線查詢工具:
http://www.hackmall.cn/
http://www.webscan.cc/ 推薦
https://phpinfo.me/bing.php
將C段收集的相關IP,推測該單位所在的IP段,再針對IP段進行服務器端口掃描
B、端口掃描
對1-65535端口掃描,探測Web服務端口
C、主站提取
通過編寫爬蟲,從主站頁面(一般在主頁)獲取相關業務系統
思路是:通過訪問主域名或者子域名,然后爬取頁面上該域名的所有子域名,
然后循環訪問獲取到的子域名,然后再次循環,直到爬完為止
跨域策略文件 crossdomain.xml
如:https://www.baidu.com/crossdomain.xml
D、移動端
隨着移動端的興起,很多單位都有自己的移動APP、微信公眾號、支付寶生活號等,這也是值得重點關注的點。
E、行業系統
同行業可能存在類似的系統,甚至於采用同一家廠商的系統,可互做對比
通用:辦公OA、郵件系統、VPN等
醫院:門戶、預約系統、掌上醫院、微信公眾平台等
三、信息收集
主要是針對單個站點的信息收集技巧,主要圍繞服務器IP、域名、網站。
3.1 服務器IP
A、繞過CDN查找網站真實ip
1、查詢歷史DNS記錄:
查看 IP 與 域名綁定的歷史記錄,可能會存在使用 CDN 前的記錄,相關查詢網站有:
https://dnsdb.io/zh-cn/
https://x.threatbook.cn/
http://toolbar.netcraft.com/site_report?url=
http://viewdns.info/
2、xcdn
https://github.com/3xp10it/xcdn
3、Zmap掃描全網
操作方法:http://bobao.360.cn/learning/detail/211.html
Tips:找到真實ip,綁定host ,是否可以打開目標網站,就是真實IP,對真實IP進行入侵測試,DDOS流量攻擊,CC等等,實現無視CDN防御。
B、識別服務器及中間件類型
遠程操作系統探測
用 NMAP 探測操作系統
C、端口及服務
Nmap 1-65535端口掃描,探測端口服務
D、查詢IP所在位置
IP地址查詢:
http://www.hao7188.com
http://www.882667.com
3.2 域名
A、搜索引擎
Google Hacking
Google Hacking查找,如site:baidu.com inurl:admin,使用類似語法,獲取網站的敏感信息
B、whois信息/DNS解析
在whois查詢中,獲取注冊人姓名和郵箱、電話信息,可以通過搜索引擎,社交網絡,進一步挖掘出更多域名所有人的信息
DNS服務器
http://whois.chinaz.com
https://whois.aliyun.com
域名注冊郵箱,可用於社工或是登錄處的賬號。
3.3 站點
A、robots.txt
網站通過Robots協議告訴搜索引擎哪些頁面可以抓取,哪些頁面不能抓取,可能存在一些敏感路徑。
B、網站架構
網站語言、數據庫,網站框架、組件框架歷史漏洞
常用的網站架構如:LAMP/LNMP
PHP框架:ThinkPHP
C、目錄結構/后台地址
常見的敏感目錄以及文件掃描,這些對以后的突破都可能產生至關重要的作用。
收集的方式有爬蟲采集,目錄掃描
1)使用爬蟲獲取網站目錄結構。如wvs爬蟲功能獲取網站目錄結構。
2)使用目錄猜解工具暴力猜解。如:御劍后台掃描工具、7kbscan-WebPathBrute
D、敏感文件信息泄露
備份文件、測試文件、Github泄露、SVN源碼泄露
E、web 指紋
雲悉在線WEB指紋CMS識別平台:http://www.yunsee.cn
F、安全防護
安全防護,雲waf、硬件waf、主機防護軟件、軟waf
參考鏈接:
我是如何收集廠商ip段,並進行簡單的信息探測的
http://www.91ri.org/15674.html
他山之石 | 滲透測試中的各種子域名枚舉技術介紹
http://www.freebuf.com/articles/web/154809.html
子域名搜集思路與技巧梳理
http://www.freebuf.com/articles/web/117006.html
企業人員信息收集
https://www.zhihu.com/question/24195319