长亭百川云 - 文章详情

web渗透测试——信息收集上(超详细)

LULU

93

2024-06-26

1、信息收集介绍

信息收集

渗透测试流程中最重要的就是进行信息收集,在这个阶段,我们要尽可能多的收集目标组织的信息。所谓“知己知彼,百战不殆”,我们越是了解测试目标,渗透测试的工作就越容易。

常见的信息收集有哪些

子域名查询    
whois信息收集  
IP段的收集  
开放端口探测  
目录  
指纹识别  
旁站、C段  
敏感文件、敏感目录探测  
waf探测  
整站分析:操作系统(Linux Windows) web容器(Apache Nginx Tomcat IIS ) 数据库 (mysql sqlserver access oracle) 脚本类型 (PHP jsp asp\aspx python)

信息收集的方式

主动信息收集:通过直接访问、扫描网站、流量将流经第三方网站

被动信息收集:利用第三方的服务对目标网站进行访问,如Google搜索、FOFA 等

2、域名信息收集

什么是域名

域名是指互联网中的网站地址,也就是只是网站网址的名称。这些名称由一系列字符串组成,通常是以“.com”、“.net”、“.cn”等结尾。

域名的是以若干个英文字母和数字组成,由“.”分隔成几份,形成唯一的访问地址。a.baidu.com

什么是域名系统

域名系统(Domain Name  System,缩写DNS)是互联网的一项核心服务,它可以将域名和IP地址进行相互映射,相当于一个分布式数据库。域名系统可以使人更方便地访问互联网,而无需记住复杂的IP地址。此外,域名系统还提供了如域名注册、域名解析等功能。简单来说就是一个将域名翻译成IP地址的系统

域名解析

域名是为了方便大家记忆而专门建立的一套地址翻译系统。用户想在互联网上访问服务器,最终访问服务器必须通过IP地址来进行访问。域名解析是将域名重新转换为IP地址的过程,域名解析由DNS服务器完成。

子域名收集

什么是子域名

收集子域名的目的是获取更多的资产信息,子域名也就是二级域名,是指顶级域名下的域名。a.baidu.com

为什么收集子域名

如果目标的网络规模比较大,直接从主域入手显然是很不理智的,因为一般其主域都是重点防护区域,这种情况下可以选择“曲线渗透”,即先进入目标的某个子域,然后再想办法迂回接近真正的目标。

1、常见的域名检测工具

Layer子域名挖掘机、subDomainsBrute,oneforall,dnsmaper,K8,wydomain ,Sublist3r,,Maltego等

Layer子域名挖掘机

这个工具俗称断网挖掘机,只做介绍,了解即可。

subDomainsBrute

SubDomainsBrute是一个子域名爆破工具,该工具使用字典暴力破解的方式来尝试各种可能的子域名,并通过DNS解析来确定是否存在有效的子域名。

在kali 中使用   
下载:git clone https://github.com/lijiejie/subDomainsBrute.git  
使用:python3 subDomainsBrute.py -t 10 域名  (-t 指定线程数量)

2、通过在线工具集

3.1 DNSdumpster: https://dnsdumpster.com/

3.2 潮汐指纹识别 http://finger.tidesec.com/

3.3.站长工具:http://tool.chinaz.com/subdomain/

3.4在线子域名爆破 :http://z.zcjun.com/

3、在线子域名查询

1、FOFA搜索子域名

地址:https://fofa.info  
语法: domain="bilibili.com"

2、利用搜索引擎发现子域名

利用谷歌语法site:bilibili.com查询

whois信息收集

什么是whois

Whois是用来查询域名的IP以及所有者等信息的传输协议,可用于查询域名是否被注册,以及注册域名的详细信息(如域名所有人、域名注册商等)。

为什么要收集whois

通过Whois收集可以获得域名注册者 姓名 手机号 邮箱地址等信息,一般情况下对于中小型网站域名注册者就是网站管理员,可以尝试社工、套路、查询是不是注册了其他域名扩大攻击范围。

whois信息收集重点关注:注册商、注册人、邮件、DNS解析服务器、注册人联系电话。

web接口查询

常见的信息收集网站包括:

Whois站长之家:http://whois.chinaz.com

国外的whois:https://www.whois.com

微步在线:https://x.threatbook.cn/

阿里云中国万网:https://whois.aliyun.com/

Whois Lookup查找目标网站所有者信息:http://whois.domaintools.com/

Netcraft Site Report显示目标网站使用的技术:http://toolbar.netcraft.com/site\_report?url=

Robtex DNS查询显示关于目标网站的全面的DNS信息:https://www.robtex.com/

全球Whois查询:https://www.whois365.com/cn/

站长工具爱站查询:https://whois.aizhan.com/

爱站网ping检测\IP反查域:https://dns.aizhan.com/

备案信息查询

网站备案是根据国家法律法规规定,需要网站的所有者向国家有关部门申请的备案,这是国家信息产业部对网站的一种管理,为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站,如果网站搭建在其他国家,则不需要进行备案。

IPC备案查询方法包括:

http://icp.chinaz.com/

https://www.beian88.com/

https://www.tianyancha.com/

http://www.beianbeian.com/

以及企查查、天眼查,小蓝本等查询更多信息

域名反查ip站长工具:https://ip.tool.chinaz.com/

3、CDN信息收集

什么是CDN

CDN就是缓存服务器,存储网站的静态资源,提高网站响应速度和用户体验。

从图中可以看到,如果没有CDN,那么我们得到的IP应该就是真实IP,但是如果有CDN的话,我们得到的IP可能就是CDN服务器的IP地址。

如何检测是否存在CDN

1、采用多地点ping

https://www.17ce.com/

http://ping.chinaz.com

2、ping 和ip138结合起来进行辅助判断

如果ping和ip138的ip地址是一样的,那么没有CDN,反之

3、命令:nslookup判断

nslookup(Name Server Lookup)是一种网络管理命令,用于从 DNS 服务器查询域名、IP 或其他 DNS 记录信息

绕过CDN查找真实ip地址

内部邮箱:一般邮件系统都在系统内部,没经过CDN,通过注册或者RSS订阅收到的邮件查找。(必须是目标自己的邮件 服务器)

子域名:一般网站主站访问量过大需要挂CDN,而子站没有。https://ping.chinaz.com/

国外访问:一般国内CDN只针对国内用户,国外不好说。https://tools.ipip.net/cdn.php

查询历史DNS记录:查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录 https://viewdns.info/

国外查ip:https://get-site-ip.com/

4、端口扫描

什么是端口

**端口是计算机或其他设备与外界进行通信交流的出口。**它既可以指物理上的连接点,也可以指逻辑上的抽象概念。

物理端口:也称为接口,如USB端口,用于物理连接

虚拟端口:一般是指TCP/IP 协议中的端口,如用网页浏览的80端口、21端口、23端口等。

计算机端口有0-65535端口

为什么要进行端口探测

有些危险端口开放了我们就可以尝试入侵、比如445、3306、22、3389、6379可以利用端口存在的漏洞服务进行入侵或者尝试爆破。

常见的端口

端口号

端口说明

22

SSH远程连接

23

Telnet远程连接

3389

远程桌面连接

3306

MySQL数据库

1521

Oracle数据库

6379

Redis数据库

25

SMTP邮件服务

80/443/8080

常见的web服务端口

53

DNS域名系统

端口探测方法

nmap

nmap(Network Mapper)是一款开源免费的针对大型网络的端口扫描工具,nmap可以检测目标主机是否在线、主机端口开放情况、检测主机运行的服务类型及版本信息、检测操作系统与设备类型等信息

nmap主要功能

1、检测主机是否在线

2、扫描指定主机/主机列表端口开放状态

3、检测主机运行服务类型及版本等等

利用可视化界面Zenmap来进行扫描

指令

用法

namp url/ip

最常用的扫描指令

nmap –p 80,22 url/ip

自定义想扫描的端口

nmap –p 1-255 url/ip

自定义扫描的端口范围

nmap –r url/ip

随机扫描端口

nmap –O –fuzzy url/ip

推测操作系统

nmap  -sV url/ip

版本探测

nmap -A -T4 url/ip

-A 这个选项启用了操作系统检测(-O) 和版本扫描(-sV)  -T4 使用时间模板4

在线工具扫描

站长工具 https://tool.chinaz.com/port/

5、目录扫描

在渗透测试中,探测Web目录结构和隐藏的敏感文件是一个必不可少的环节,从中可以获取网站的后台登录、文件上传等重要页面,其至可能扫出网站的源代码,从而进行白盒审计。

目录扫描工具

御剑、 Dirsearch、awvs、 DirBuster  dirmap Webdirscan

6、指纹识别

指纹识别介绍

对于每个网站来说,他们具有可标识性,我们一般通过网站CMS识别、计算机操作系统识别以及web容器识别来标识网站。

指纹识别的目的

在渗透测试中,对目标服务器进行指纹识别,并识别出相应的web容器或者CMS,才能查看与其相关的漏洞,然后利用可用的漏洞进行相应的渗透测试。

cms介绍

CMS(Content Management System)又称整站系统或文章系统,用于网站内容管理,内容管理系统=快速搭建网站的源码。因为这种cms是开源的,可能存在一个通杀的漏洞,如果使用了CMS建站,我们可以用通杀漏洞直接攻击。

常见的cms

dedecms(织梦)、 phpcms、帝国cms、 shopex、ECShop、 PHPWind Discuz

指纹识别方法

线上识别

微步社区:https://x.threatbook.cn/

潮汐识别:http://finger.tidesec.com/

云悉指纹:https://www.yunsee.cn/

wappalyzer插件:https://www.wappalyzer.com/

WhatWeb:https://www.whatweb.net/

测试网站:http://www.superwing.com.cn/识别CMS

GITHUB上面的工具:

Webfinger指纹识别,2000+条指纹数据 https://github.com/se55i0n/Webfinger

CMSeek,超过170个CMS的基本CMS检测 https://github.com/Tuhinshubhra/CMSeek

常见工具

whatweb网站探测,该工具kali自带

whatweb http:域名/ip

wappalyzer浏览器插件工具

7、旁站扫描

“旁站”一般指同一IP或者域名在同一台服务器的其他网站,都是为了找到更多的资产。

旁站就是找和目标网站在同服务器下的某一个网站,同服务器说明同ip,所以只要找ip相同的网站就好了。它们不一定是同一家公司。

通过在线工具来查询旁站

站长之家同ip查询:https://stool.chinaz.com/same

wenscan:https://www.webscan.cc/

8、C段嗅探

什么是C段

ip有四个段,分为ABCD,比如说192.168.0.1 A段:192 B段:168 C段:0  D段:1

什么是C段嗅探

拿下它同一C段中的其它服务器,也就是说拿下D段1-255中的一台服务器。比如说192.168.0.1这台主机无法拿下,那么尝试从C端入侵突破,探测192.168.0.2-255下存在的主机进行渗透。

C段:同网段不同服务器的渗透方案---更多的是针对于内网的渗透

nmap进行扫描

nmap -sn -PE -n ip/24  
-sn 不扫描端口  
-PE ICMP扫描(ping服务器的时候就是用的ICMP协议)  
-n 不进行dns解析

fofa

https://fofa.info/  
ip="ip/24"

9、敏感内容泄露

敏感信息包括但不限于: 口令、密钥、证书、会话标识、License、隐私数据、授权凭据、个人数据等、程序文件、配置文件、日志文件、备份文件、敏感路径等

robots.txt

robots文件写了反爬策略,介绍了可以爬取的路径和不能爬取的路径,那么可能会存在敏感路径,比如后台,备份文件路径等等

目录浏览

目录浏览(目录遍历)漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑

备份文件泄露

网站遗留的过时文件、备份页面、开发文件残留的测试文件等。一旦泄露,测试人员可以通过分析确定网站大体的结果,甚至推算出网站源代码。  
比如:sql备份文件则直接泄露用户数据,密码等信息。

报错页面敏感信息泄漏

服务器代码信息、数据库连接信息、泄露物理路径 、泄露网站源代码

物理路径泄露

物理路径单纯泄露没啥大问题,但当网站存在漏洞时,通过sql注入,上传等写webshell时就有用了。  
比如在用sqlmap进行获取shell时,前提条件就是有权限,并且知道绝对路径。

加下方wx,拉你一起进群学习

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2