渗透测试之信息收集
2020-10-15 11:18:00 Author: xz.aliyun.com(查看原文) 阅读量:259 收藏

文章原载与公众号:猪猪谈安全

作者:随风kali

信息收集

搞渗透的人应该都清楚,信息收集对于渗透测试来说是非常重要的,我们手上掌握的目标的信息越多,成功渗透的概率就越大,而信息收集又分为两类。

第一类:主动信息收集:通过直接访问、扫描网站,这种流量将流经网站

第二类:被动信息收集:利用第三方的服务对目标进行访问了解,比例:Google搜索、Shodan搜索等

正所谓知己知彼百战百胜,下面就来介绍一些信息收集的常用手段。

域名
域名注册人信息收集
访问https://www.chinaz.com/ 站长之家这个网站

1599268779.png!small

1599268793.png!small

大家还可以点击上面的whois反查,查看更多信息。

子域名爆破
1、利用工具如(wydomain、layer子域名挖掘机、dnsenum)

这里演示一下layer子域名挖掘机使用,工具大同小异

下载链接链接:https://pan.baidu.com/s/126WRnM2du8nm5LUJLWTTbg 提取码:cy0w

打开软件

1599268817.png!small1599268827.png!small

2、域传送漏洞

什么是DNS域传送

1、DNS(域名管理系统)万维网重要基础,建立在一个分布式数据库基础上,数据库里保存了ip地址和域名的相互映射关系。

用户在浏览器输入域名,浏览器将向DNS服务器发送查询,得到目标主机ip地址,再与对应的主机建立http链接,请求网页。

常用DNS记录

A记录 IP地址记录,记录一个域名对应的ip地址
NS记录 域名服务器记录,记录该域名由哪台域名服务器解析
PTR记录 反向记录,从ip地址到域名的一条记录
MX记录 电子邮件交换记录,记录一个邮件域名对应的ip地址
2、域传送:DNS Zone Transfe

DNS服务器分为:主服务器、备份服务器和缓存服务器。
域传送是指后备服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。
在主备服务器之间同步数据库,需要使用“DNS域传送”。

探测漏洞方法

nslookup探测漏洞

输入nslookup命令进入交互式shell;

server 命令参数设定查询将要使用的DNS服务器;

ls命令列出某个域中的所有域名;

exit命令退出;

1599268855.png!small当然这里只是使用方法,我测试的网站不存在域传送漏洞,所以爆出的是这个,大家可以自己去fofa、钟馗之眼等去搜索一下,然后测试一下。

1599268877.png!small

判断网站是否存在CDN,若存在的绕过方式
什么是CDN

CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。通俗点就是一种缓存技术,提高用户上网体验,但是cdn对渗透测试者的渗透工作就有一定阻碍,所以我们要判断cdn的存在与否,和绕过cdn。

检测是否存在cdn的方法

还是利用站长之家这个网站,如下图

点击站长工具1599268901.png!small

输入网址执行ping检测1599268925.png!small原理是实现多地ping一个网址,假如ping出来的ip地址都一样那么将不存在cdn

上图是不存在cdn的情况。

下面测试一下百度

1599268983.png!small

ip地址不一样,证明是存在cdn的。

存在cdn的绕过方法

请参考如下网址

https://www.cnblogs.com/qiudabai/p/9763739.html

https://www.cnblogs.com/xiaozi/p/12963549.html

https://blog.csdn.net/qq_36119192/article/details/89151336

一、google hack语法

googlehack 常用语法

site 指定域名

intext 正文中存在关键字的网页

intitle 标题中存在关键字的网页

info 一些基本信息

inurl URL存在关键字的网页

filetype 搜索指定文件类型

google语法利用实例

1、​site:baidu.com#收集百度子域名

1599269648.png!small

2、intitle:管理登录 #查找后台管理登陆界面

1599270628.png!small

3.filetype:php #查找php类型主页

1599270669.png!small

4、inurl:file #查找url上含file的网址寻找上传漏洞​

1599271023.png!small

当让这些语法还可以一起组合使用起到更大的作用,如下

site:xx.com filetype:txt 查找TXT文件 其他的以此类推
查找后台
site:xx.com intext:管理
site:xx.com inurl:login
site:xx.com intitle:后台
查看服务器使用的程序
site:xx.com filetype:asp
site:xx.com filetype:php
site:xx.com filetype:jsp
site:xx.com filetype:aspx
查看上传漏洞
site:xx.com inurl:file
site:xx.com inurl:load
查找注射点
site:xx.com filetype:asp
二、网络组件搜索引擎

网站如shodanhq.com、zoomeye.org、www.fofa.so

这里语法以fofa为例

1、搜索页面标题中含有“后台管理”关键词的网站和IP

title="后台管理"

1599649260.png!small

2、搜索HTTP响应头中含有“flask”关键词的网站和IP

1599649270.png!small

3、搜索根域名中带有“baidu.com”的网站

1599649280.png!small

4、搜索域名中带有"login"关键词的网站

1599649288.png!small

5、搜索开放3389端口的ip

1599649297.png!small

三、github敏感信息泄露

当确定了公司后,我们可以去互联网上查询与该公司有关的任何信息。比如,公司的邮箱格式,公司的员工姓名,以及与该公司有关的任何信息。并且,我们还可以去Github、码云等代码托管平台上查找与此有关的敏感信息,有些粗心的程序员在将代码上传至代码托管平台后,并没有对代码进行脱敏处理。导致上传的代码中有包含如数据库连接信息、邮箱密码、还有可能有泄露的源代码等。

详细语法请参考一下链接

https://www.cnblogs.com/ichunqiu/p/10149471.html

https://blog.csdn.net/qq_36119192/article/details/99690742

一、判断操作服务器类型

1、利用windows于linux对大小写敏感的特性区别

Linux操作系统大小写敏感,我们将网址url一些字母修改成修改大小写看网站是否还能正常访问,能访问就是windows服务器,不能则是Linux。

例访问一个网站,如下图

1600173544.png!small这是把小写n改为N看是否还能正常访问1600173559.png!small

正常访问证明服务器是windows

2、ping测试

通过ping操作系统判断TTL返回值来判断操作系统

TTL起始值:Windows xp(及在此版本之前的windows) 128 (广域网中TTL为65-128)

Linux/Unix64(广域网中TTL为1-64)

某些Unix:255

如下图1600173578.png!small

通过TTL返回值241可以判断对方操作系统为windows

3、利用nmap工具对目标进行扫描,判断操作系统

如:nmap -O ip地址1600173593.png!small

二、网站指纹识别

在渗透测试中,对目标服务器进行指纹识别是相当有必要的,因为只有识别出相应的Web容器或者CMS,才能查找与其相关的漏洞,然后才能进行相应的渗透操作。这是我们想要识别这些网站的指纹,我们就可以利用以下一些指纹识别在线网站。

云悉指纹:http://www.yunsee.cn/finger.html

ThreatScan:https://scan.top15.cn/web/

WhatWeb:https://whatweb.net/

BugScaner:http://whatweb.bugscaner.com/look/1600173613.png!small

三、网站容器、脚本类型
可以利用ThreatScan:https://scan.top15.cn/web/这个网站获取1600173630.png!small或者利用wappalyzer插件1600173646.png!small

四、敏感文件、目录信息

由于发布网站时,服务器配置问题,导致目录浏览功能打开,从而引起信息泄露,造成安全隐患。在信息收集过程中,需要收集的敏感目录/文件信息包括:

1.robots.txt

2.crossdomin.xml

3.sitemap.xml

4.后台目录

5.网站安装包

6.网站上传目录

7.mysql管理页面

8.phpinfo

9.网站文本编辑器

10.测试文件

11.网站备份文件(.rar、zip、.7z、.tar.gz、.bak)

12.DS_Store 文件

13.vim编辑器备份文件(.swp)

14.WEB—INF/web.xml文件

这个时候我们可以利用一些工具对目标网站进行爬行,爬取网站目录

这里用burpsuite的spider模块进行爬取网站目录演示

首先访问一个网站1600173662.png!small任意点击抓包1600173674.png!small1600173683.png!small爬行中1600173696.png!small爬行后再target模块中查看网站目录1600173713.png!small

五、端口收集

利用nmap工具扫描1600173725.png!small

六、社会工程学

利用一些社工库等等


文章来源: http://xz.aliyun.com/t/8358
如有侵权请联系:admin#unsafe.sh