滲透測試------信息收集

 

信息收集的重要性

信息收集對於滲透測試來說是很重要的，是滲透測試的前期准備工作，俗話說知己知彼，才能百戰不殆。掌握了對目標的足夠信息，我們才能更好地開展滲透測試。

一般將信息收集分為兩類    主動和被動

主動信息收集是指通過各種工具直接對往網站進行檢測。直接使用工具對網站進行信息探測可以獲得較多較全的信息，但是可能會被目標主機發現，對你的可疑行為進行記錄，分析，可能會對后期的滲透工作產生影響。

被動信息收集是指通過各種在線網站等第三方服務對網站進行信息收集。通過用Google Hacking，shodan，fofa等搜索引擎對目標進行信息探測，雖然獲得的信息可能不多，但是不存在被目標發現的可能。

沒有一種方式可以做到面面俱到，每個方式都有自己的優勢和劣勢，作為一名合格的滲透測試人員，我們要學會各種工具搭配使用，取長補短，對目標進行多次隱秘而有效的探測，獲得自己想要的信息，完成對目標網站完整的信息收集報告。

域名信息的收集

一般我們拿到滲透目標一般是先看到他的域名，我們先來對域名進行信息收集，收集域名對應的ip，子域名，whois等信息進行探測。

判斷域名對應的ip

我們可以通過在線網站如站長之家等直接查域名對應ip，大部分網站會使用cdn，一般查出ip不止一個，可以確定使用了cdn，這兒可以根據經驗進行判斷，如果是2個或者3個，並且這幾個地址是同一地區的不同運營商的話，則很有可能這幾個地址是服務器的出口地址，該服務器在內網中，通過不同運營商NAT映射供互聯網訪問，同時采用幾個不同的運營商可以負載均衡和熱備份。如果是多個ip地址，並且這些ip地址分布在不同地區的話，則基本上可以斷定就是采用了CDN了。我們需要繞過cdn來查找真實ip。

下面是一些繞過cdn查看真實ip的方法

(1)查詢子域名：畢竟 CDN 還是不便宜的，所以很多站長可能只會對主站或者流量大的子站點做了 CDN，而很多小站子站點又跟主站在同一台服務器或者同一個C段內，此時就可以通過查詢子域名對應的 IP 來輔助查找網站的真實IP。

(2)查詢主域名：以前用CDN的時候有個習慣，只讓WWW域名使用cdn，禿域名不適用，為的是在維護網站時更方便，不用等cdn緩存。所以試着把目標網站的www去掉，ping一下看ip是不是變了，您別說，這個方法還真是屢用不爽。

(3)郵件服務器：一般的郵件系統都在內部，沒有經過CDN的解析，通過目標網站用戶注冊或者RSS訂閱功能，查看郵件，尋找郵件頭中的郵件服務器域名IP，ping這個郵件服務器的域名，就可以獲得目標的真實IP(必須是目標自己的郵件服務器，第三方或者公共郵件服務器是沒有用的)。

(4)查看域名歷史解析記錄：也許目標很久之前沒有使用CDN，所以可能會存在使用 CDN 前的記錄。所以可以通過網站https://www.netcraft.com 來觀察域名的IP歷史記錄。

(5)國外訪問：國內的CDN往往只對國內用戶的訪問加速，而國外的CDN就不一定了。因此，通過國外在線代理網站https://asm.ca.com/en/ping.php 訪問 ，可能會得到真實的ip地址。

(6)Nslookup查詢：查詢域名的NS記錄、MX記錄、TXT記錄等很有可能指向的是真實ip或同C段服務器。傳送門：各種解析記錄

(7)網站漏洞：利用網站自身存在的漏洞，很多情況下會泄露服務器的真實IP地址

(8)Censys查詢SSL證書找到真實IP：利用“Censys網絡空間搜索引擎”搜索網站的SSL證書及HASH，在https://crt.sh上查找目標網站SSL證書的HASH，然后再用Censys搜索該HASH即可得到真實IP地址。

查看域名的whois信息

whois是用來查詢域名注冊所有者等信息的傳輸協議。簡單說，whois就是一個用來查詢域名是否已經被注冊，以及注冊域名的詳細信息的數據庫（如域名所有人、域名注冊商）。通過whois來實現對域名信息的查詢。早期的whois查詢多以命令行接口存在，但是現在出現了一些網頁接口簡化的線上查詢工具，可以一次向不同的數據庫查詢。網頁接口的查詢工具仍然依賴whois協議向服務器發送查詢請求，命令行接口的工具仍然被系統管理員廣泛使用。whois通常使用TCP協議43端口。每個域名/IP的whois信息由對應的管理機構保存。

通常，我們進行whois查詢是去： 站長之家whois查詢  。然后查出來信息之后，可以根據查詢出來的郵箱、注冊人、公司、電話等進行反查。

對網站整體進行分析

（1）對網站使用的服務器類型進行分析

查看服務器是win還是linux我們可以通過ping來查看，一般TTL大於100的是windows，幾十的為linux，一般服務器使用的是linux，我們可以通過獲取系統的版本號來利用一些該版本的已知漏洞，使用nmap -o   -A參數可以掃描出來服務器版本。

（2）對網站使用的腳本語言進行判斷

一般網站使用的腳本語言PHP，jsp，asp，aspx

不過現在語言變得更多樣化了，比如python，go等正在興起。

我們可以通過網站的URL來判斷

通過搜索引擎hacking來判斷

通過一些工具來判斷，這里推薦firefox的wappalyzer，簡單好用.

 

（3）對網站的指紋進行探測

知道網站使用何種語言后，有的網站是使用cms即整站系統進行開發的，可以通過探測確認是何種cms，來利用通用漏洞，常見的cms有：WordPress、Dedecms、Discuz、PhpWeb、PhpWind、Dvbbs、PhpCMS、ECShop、、SiteWeaver、AspCMS等

想知道網頁使用什么cms可以通過一些工具來進行探測

如雲悉，鍾馗之言，fofa等在線工具。

（4）對網站的語言框架進行探測

有的網站是自主開發的，沒有使用cms，那么可以了解開發使用的框架，尋找通用漏洞如常見的pythonflask模板注入，java Strust2 遠程代碼執行漏洞等，

可以通過一些框架的特性來進行確認使用什么框架。

還可以使用一些在線工具進行探測。

（5）確認網站使用的數據庫類型

我們還需要知道網站使用的數據庫類型：MySQL，Oracle，SQLserver，我們不僅需要知道使用數據庫類型，還要探測出數據庫版本。

Access 全名是Microsoft Office Access，是由微軟發布的關聯式數據庫管理系統。小型數據庫，當數據庫達到100M左右的時候性能就會下降。數據庫后綴名： .mdb   一般是asp的網頁文件用access數據庫
SQL Server是由Microsoft開發和推廣的關系數據庫管理系統（DBMS），是一個比較大型的數據庫。端口號為1433。數據庫后綴名 .mdf
MySQL 是一個關系型數據庫管理系統，由瑞典MySQL AB 公司開發，目前屬於 Oracle 旗下產品。MySQL是最流行的關系型數據庫管理系統，在 WEB 應用方面MySQL是最好的應用軟件之一，MySQL數據庫大部分是php的頁面。默認端口是3306
Oracle又名Oracle RDBMS，或簡稱Oracle。是甲骨文公司的一款關系數據庫管理系統。常用於比較大的網站。默認端口是1521

從數據庫的規模來看，access是小型數據庫，，mysql 是中小型數據庫，sql server是中型數據庫，Oracle是大型數據庫。

一些常見的數據庫與語言的搭配

ASP 和 ASPX：ACCESS、SQL Server

PHP：MySQL、PostgreSQL

jSP：Oracle、MySQL

（6）對網站進行目錄掃描

使用工具對網站的目錄結構進行掃描，查看是否可以進行目錄遍歷，以及敏感信息是否泄漏

后台目錄：弱口令，萬能密碼，爆破
安裝包：獲取數據庫信息，甚至是網站源碼
上傳目錄：截斷、上傳圖片馬等
mysql管理接口：弱口令、爆破，萬能密碼，然后脫褲，甚至是拿到shell
安裝頁面 ：可以二次安裝進而繞過
phpinfo：會把你配置的各種信息暴露出來
編輯器：fck、ke、等
iis短文件利用：條件比較苛刻  windows、apache等
常見的目錄掃描工具有：wwwscan，御劍等

（7）對網站使用的waf進行探測

很多網站為了防止入侵，提高安全性都會使用Waf，Waf也叫Web應用防火牆，是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。我們可以了解使用的什么waf，通過搜索引擎查找對應waf的繞過。

探測waf的方法

手動提交惡意數據，有的waf會將攔截顯示出來，我們便可以知道使用了什么waf

還通過一些工具如WAFW00F,nmap等進行探測。

對網站主機進行的掃描

使用一些工具如nessus，goby，nmap等對網站主機進行掃描，了解開放哪些端口，端口對應的服務，可以對一些可能存在弱口令的端口進行爆破。

22——>ssh弱口令

873——>rsync 未授權訪問漏洞

3306——>mysql弱口令

6379——>redis未授權訪問漏洞

對旁站與c段的掃描

旁站：是和目標網站在同一台服務器上的其它的網站。

C端：是和目標服務器ip處在同一個C段的其它服務器。

在紅藍對抗中，對旁站和c段的掃描很重要，主站可能防守嚴密，我們對一些邊緣資產進行探測，木桶能放多少水往往是由最短的那個木板決定的，所以我們可以從一些薄弱點進行探測，攻擊，由小見大。

 常見的查詢方式

（1）利用Bing.com，語法為：http://cn.bing.com/search?q=ip:111.111.111.111 

（2）站長之家：http://s.tool.chinaz.com/same 

（3）利用Google，語法：site:125.125.125.*

（4）利用Nmap，語法：nmap  -p  80,8080  –open  ip/24

（5）K8工具、御劍、北極熊掃描器等

（6）在線：http://www.webscan.cc/ 

 最后放幾個常用的工具網站

鍾馗之眼：https://www.zoomeye.org/ 

FoFa：https://fofa.so/ 

Dnsdb：https://www.dnsdb.io/zh-cn/ 

Shodan：https://www.shodan.io/ 

Censys：https://censys.io/ 

御劍全家桶：http://www.moonsec.com/post-753.html 

goby：https://gobies.org/

whatweb：https://whatweb.net/

雲悉：http://www.yunsee.cn/finger.html