进行信息收集是做渗透测试工作最重要的一步,在信息收集中最主要就是收集服务器的配置信息和网站的敏感信息,其中包括域名以及子域名信息,目标网站系统,CMS指纹,目标网站真实IP,开放的端口等。换句话说,只要是与目标网站有关的信息都要收集。
1.收集域名信息
1.1 Whois查询
Whois是一个标准的互联网协议,可以用于收集网络注册信息,注册的域名,IP地址等信息。简单说,whois是一个用于查询域名是否已经被注册以及注册域名的详细信息的数据库(域名所有人,域名注册商等)
1.2 备案信息查询
网站备案是根据国家法律法规,需要网站的所有者向国家有关部门申请的备案,这是国家对网站的一种管理,为了防止在网络上从事非法的网站经营活动的发生,国外网站不在限制范围内。
常用的网站:
- ICP站长工具:http://icp.chinaz.com/
- 天眼查:https://m.tianyancha.com/
2.敏感信息收集
2.1 搜索引擎收集
| 关键字 | 说 明 |
|---|---|
| site | 指定域名 |
| inurl | URL中存在关键字的网页 |
| intext | 网页正文中的关键字 |
| filetype | 指定文件类型 |
| Intitle | 网页标题中的关键字 |
| link | link:baidu.com 即表示返回所有和baidu.com做了连接的URL |
| Info | 查找指定站点的一些基本信息 |
| cache | 搜索Google里关于某些内容的缓存 |
举例,在谷歌搜索引擎直接使用语法:
Site:edu.cn intext:后台管理
//搜索网页正文中含有“后台管理”,并且域名后缀是edu.cn的网站
这只是使用搜索引擎进行收集,通过Burp的repeater功能同样也可以获取到一些服务器的信息,比如运行的server的类型和版本,PHP的版本信息等。针对不同的Server,可以用不同的漏洞进行测试。
收集子域名信息
3.1 子域名检测工具
用与子域名检测的工具主要有layer子域名挖掘机,k8, wydomain…
layer子域名挖掘机使用方法简单,在域名对话框中直接输入域名即可扫描,它的显示界面比较细致,有域名,解析IP,CDN列表,web服务器和网站状态。
3.2搜索引擎枚举
利用谷歌语法搜索子域名
site:baidu.com
此外,还可以利用一些在线网站查询子域名
子域名爆破网站:http://phpinfo.me/domain
IP反查绑定域名网站:http://dns.aizhan.com
4.收集常用端口信息
端口扫描工具,第一反应想到的就是Nmap
nmap -sT 192.168.96.4 //TCP连接扫描,不安全,慢
nmap -sS 192.168.96.4 //SYN扫描,使用最频繁,安全,快
nmap -Pn 192.168.96.4 //目标机禁用ping,绕过ping扫描
nmap -sU 192.168.96.4 //UDP扫描,慢,可得到有价值的服务器程序
nmap -sI 僵尸ip 目标ip //使用僵尸机对目标机发送数据包
nmap -sA 192.168.96.4 //检测哪些端口被屏蔽
下面是一些常见端口号
5. 指纹识别
这里的指纹识别指的是网站CMS指纹识别,计算机操作系统及web容器的指纹识别等。
CMS又称为整站系统或文章系统。
CMS详细信息
经常见的工具有御剑Web指纹识别,whatweb等
还有一些在线网站查询CMS指纹识别
BugScaner:http://whatweb.bugscaner.com/look/
云悉指纹:https://www.yunsee.cn/
whatweb:https://www.whatweb.net/
6.查找真是IP
什么是CDN?
cdn全称是内容分发网络。其目的是让用户能够更快速的得到请求的数据。简单来讲,cdn就是用来加速的,他能让用户就近访问数据,这样就更更快的获取到需要的数据。举个例子,现在服务器在北京,深圳的用户想要获取服务器上的数据就需要跨越一个很远的距离,这显然就比北京的用户访问北京的服务器速度要慢。但是现在我们在深圳建立一个cdn服务器,上面缓存住一些数据,深圳用户访问时先访问这个cdn服务器,如果服务器上有用户请求的数据就可以直接返回,这样速度就大大的提升了。
如果目标服务器不存在CDN,可以直接通过www.ip138.com获取目标的一些IP及域名信息。
6.1 目标服务器存在CDN
如果目标网站存在CDN服务,难么我们直接ping目标的域名,但是得到的并不是目标的真正的web服务器,知识离我们最近的一台节点发CDN服务器,这就导致我们无法非法哦目标网站的真实IP段范围。
6.2 判断目标是否使用CDN
通常通过ping目标主域,观察域名解析情况,以此来判断其是否使用了CDN
利用在线网站17CE:https://www.17ce.com/进行全国多地区的ping服务,查看IP是否一致,如果都是一样的IP,那就可能不存在CDN,如果大部分都不一样,可以查询IP归属地,判断是否存在CDN.
6.3绕过CDN查找真是IP
7 收集敏感目录文件
在渗透测试中,探测web目录结构和隐藏的敏感文件是很重要的一个环节,从中可以获取网站的后台管理页面,文件上传界面,甚至可能扫描到网站的源码。
网站目录扫描工具:DirBuster,御剑后台扫描珍藏版;在线工具:webscan
8 社会工程学
社会工程学是一种通过人际交流的方式获得信息的非技术渗透手段。
什么是社工库?
社工库就是一个数据库,里面包含了很多数据信息,例如之前互联网著名的泄漏事件,csdn数据泄露,a站数据泄露,等等,基本上各大社交平台各大企业网站都曾遭到过数据泄露事件!而这些数据泄露之后被人收集起来,搭建一个数据库,整合起来,当你在数据库里输入一个人的相关信息,例如输入QQ号码或者手机号码之类的,就可以直接查询到该用户的其他相关信息!
渗透测试中获取的已知信息去撞库,获取更多的信息