滲透測試------資訊收集

 

資訊收集的重要性

資訊收集對於滲透測試來說是很重要的，是滲透測試的前期準備工作，俗話說知己知彼，才能百戰不殆。掌握了對目標的足夠資訊，我們才能更好地開展滲透測試。

一般將資訊收集分為兩類    主動和被動

主動資訊收集是指通過各種工具直接對往網站進行檢測。直接使用工具對網站進行資訊探測可以獲得較多較全的資訊，但是可能會被目標主機發現，對你的可疑行為進行記錄，分析，可能會對後期的滲透工作產生影響。

被動資訊收集是指通過各種線上網站等第三方服務對網站進行資訊收集。通過用Google Hacking，shodan，fofa等搜尋引擎對目標進行資訊探測，雖然獲得的資訊可能不多，但是不存在被目標發現的可能。

沒有一種方式可以做到面面俱到，每個方式都有自己的優勢和劣勢，作為一名合格的滲透測試人員，我們要學會各種工具搭配使用，取長補短，對目標進行多次隱祕而有效的探測，獲得自己想要的資訊，完成對目標網站完整的資訊收集報告。

域名資訊的收集

一般我們拿到滲透目標一般是先看到他的域名，我們先來對域名進行資訊收集，收集域名對應的ip，子域名，whois等資訊進行探測。

判斷域名對應的ip

我們可以通過線上網站如站長之家等直接查域名對應ip，大部分網站會使用cdn，一般查出ip不止一個，可以確定使用了cdn，這兒可以根據經驗進行判斷，如果是2個或者3個，並且這幾個地址是同一地區的不同運營商的話，則很有可能這幾個地址是伺服器的出口地址，該伺服器在內網中，通過不同運營商NAT對映供網際網路訪問，同時採用幾個不同的運營商可以負載均衡和熱備份。如果是多個ip地址，並且這些ip地址分佈在不同地區的話，則基本上可以斷定就是採用了CDN了。我們需要繞過cdn來查詢真實ip。

下面是一些繞過cdn檢視真實ip的方法

(1)查詢子域名：畢竟 CDN 還是不便宜的，所以很多站長可能只會對主站或者流量大的子站點做了 CDN，而很多小站子站點又跟主站在同一臺伺服器或者同一個C段內，此時就可以通過查詢子域名對應的 IP 來輔助查詢網站的真實IP。

(2)查詢主域名：以前用CDN的時候有個習慣，只讓WWW域名使用cdn，禿域名不適用，為的是在維護網站時更方便，不用等cdn快取。所以試著把目標網站的www去掉，ping一下看ip是不是變了，您別說，這個方法還真是屢用不爽。

(3)郵件伺服器：一般的郵件系統都在內部，沒有經過CDN的解析，通過目標網站使用者註冊或者RSS訂閱功能，檢視郵件，尋找郵件頭中的郵件伺服器域名IP，ping這個郵件伺服器的域名，就可以獲得目標的真實IP(必須是目標自己的郵件伺服器，第三方或者公共郵件伺服器是沒有用的)。

(4)檢視域名歷史解析記錄：也許目標很久之前沒有使用CDN，所以可能會存在使用 CDN 前的記錄。所以可以通過網站https://www.netcraft.com 來觀察域名的IP歷史記錄。

(5)國外訪問：國內的CDN往往只對國內使用者的訪問加速，而國外的CDN就不一定了。因此，通過國外線上代理網站https://asm.ca.com/en/ping.php 訪問 ，可能會得到真實的ip地址。

(6)Nslookup查詢：查詢域名的NS記錄、MX記錄、TXT記錄等很有可能指向的是真實ip或同C段伺服器。傳送門：各種解析記錄

(7)網站漏洞：利用網站自身存在的漏洞，很多情況下會洩露伺服器的真實IP地址

(8)Censys查詢SSL證照找到真實IP：利用“Censys網路空間搜尋引擎”搜尋網站的SSL證照及HASH，在https://crt.sh上查詢目標網站SSL證照的HASH，然後再用Censys搜尋該HASH即可得到真實IP地址。

檢視域名的whois資訊

whois是用來查詢域名註冊所有者等資訊的傳輸協議。簡單說，whois就是一個用來查詢域名是否已經被註冊，以及註冊域名的詳細資訊的資料庫（如域名所有人、域名註冊商）。通過whois來實現對域名資訊的查詢。早期的whois查詢多以命令列介面存在，但是現在出現了一些網頁介面簡化的線上查詢工具，可以一次向不同的資料庫查詢。網頁介面的查詢工具仍然依賴whois協議向伺服器傳送查詢請求，命令列介面的工具仍然被系統管理員廣泛使用。whois通常使用TCP協議43埠。每個域名/IP的whois資訊由對應的管理機構儲存。

通常，我們進行whois查詢是去： 站長之家whois查詢  。然後查出來資訊之後，可以根據查詢出來的郵箱、註冊人、公司、電話等進行反查。

對網站整體進行分析

（1）對網站使用的伺服器型別進行分析

檢視伺服器是win還是linux我們可以通過ping來檢視，一般TTL大於100的是windows，幾十的為linux，一般伺服器使用的是linux，我們可以通過獲取系統的版本號來利用一些該版本的已知漏洞，使用nmap -o   -A引數可以掃描出來伺服器版本。

（2）對網站使用的指令碼語言進行判斷

一般網站使用的指令碼語言PHP，jsp，asp，aspx

不過現在語言變得更多樣化了，比如python，go等正在興起。

我們可以通過網站的URL來判斷

通過搜尋引擎hacking來判斷

通過一些工具來判斷，這裡推薦firefox的wappalyzer，簡單好用.

 

（3）對網站的指紋進行探測

知道網站使用何種語言後，有的網站是使用cms即整站系統進行開發的，可以通過探測確認是何種cms，來利用通用漏洞，常見的cms有：WordPress、Dedecms、Discuz、PhpWeb、PhpWind、Dvbbs、PhpCMS、ECShop、、SiteWeaver、AspCMS等

想知道網頁使用什麼cms可以通過一些工具來進行探測

如雲悉，鍾馗之言，fofa等線上工具。

（4）對網站的語言框架進行探測

有的網站是自主開發的，沒有使用cms，那麼可以瞭解開發使用的框架，尋找通用漏洞如常見的pythonflask模板注入，java Strust2 遠端程式碼執行漏洞等，

可以通過一些框架的特性來進行確認使用什麼框架。

還可以使用一些線上工具進行探測。

（5）確認網站使用的資料庫型別

我們還需要知道網站使用的資料庫型別：MySQL，Oracle，SQLserver，我們不僅需要知道使用資料庫型別，還要探測出資料庫版本。

Access 全名是Microsoft Office Access，是由微軟釋出的關聯式資料庫管理系統。小型資料庫，當資料庫達到100M左右的時候效能就會下降。資料庫字尾名： .mdb   一般是asp的網頁檔案用access資料庫
SQL Server是由Microsoft開發和推廣的關聯式資料庫管理系統（DBMS），是一個比較大型的資料庫。埠號為1433。資料庫字尾名 .mdf
MySQL 是一個關係型資料庫管理系統，由瑞典MySQL AB 公司開發，目前屬於 Oracle 旗下產品。MySQL是最流行的關係型資料庫管理系統，在 WEB 應用方面MySQL是最好的應用軟體之一，MySQL資料庫大部分是php的頁面。預設埠是3306
Oracle又名Oracle RDBMS，或簡稱Oracle。是甲骨文公司的一款關聯式資料庫管理系統。常用於比較大的網站。預設埠是1521

從資料庫的規模來看，access是小型資料庫，，mysql 是中小型資料庫，sql server是中型資料庫，Oracle是大型資料庫。

一些常見的資料庫與語言的搭配

ASP 和 ASPX：ACCESS、SQL Server

PHP：MySQL、PostgreSQL

jSP：Oracle、MySQL

（6）對網站進行目錄掃描

使用工具對網站的目錄結構進行掃描，檢視是否可以進行目錄遍歷，以及敏感資訊是否洩漏

後臺目錄：弱口令，萬能密碼，爆破
安裝包：獲取資料庫資訊，甚至是網站原始碼
上傳目錄：截斷、上傳圖片馬等
mysql管理介面：弱口令、爆破，萬能密碼，然後脫褲，甚至是拿到shell
安裝頁面 ：可以二次安裝進而繞過
phpinfo：會把你配置的各種資訊暴露出來
編輯器：fck、ke、等
iis短檔案利用：條件比較苛刻  windows、apache等
常見的目錄掃描工具有：wwwscan，御劍等

（7）對網站使用的waf進行探測

很多網站為了防止入侵，提高安全性都會使用Waf，Waf也叫Web應用防火牆，是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。我們可以瞭解使用的什麼waf，通過搜尋引擎查詢對應waf的繞過。

探測waf的方法

手動提交惡意資料，有的waf會將攔截顯示出來，我們便可以知道使用了什麼waf

還通過一些工具如WAFW00F,nmap等進行探測。

對網站主機進行的掃描

使用一些工具如nessus，goby，nmap等對網站主機進行掃描，瞭解開放哪些埠，埠對應的服務，可以對一些可能存在弱口令的埠進行爆破。

22——>ssh弱口令

873——>rsync 未授權訪問漏洞

3306——>mysql弱口令

6379——>redis未授權訪問漏洞

對旁站與c段的掃描

旁站：是和目標網站在同一臺伺服器上的其它的網站。

C端：是和目標伺服器ip處在同一個C段的其它伺服器。

在紅藍對抗中，對旁站和c段的掃描很重要，主站可能防守嚴密，我們對一些邊緣資產進行探測，木桶能放多少水往往是由最短的那個木板決定的，所以我們可以從一些薄弱點進行探測，攻擊，由小見大。

 常見的查詢方式

（1）利用Bing.com，語法為：http://cn.bing.com/search?q=ip:111.111.111.111 

（2）站長之家：http://s.tool.chinaz.com/same 

（3）利用Google，語法：site:125.125.125.*

（4）利用Nmap，語法：nmap  -p  80,8080  –open  ip/24

（5）K8工具、御劍、北極熊掃描器等

（6）線上：http://www.webscan.cc/ 

 最後放幾個常用的工具網站

鍾馗之眼：https://www.zoomeye.org/ 

FoFa：https://fofa.so/ 

Dnsdb：https://www.dnsdb.io/zh-cn/ 

Shodan：https://www.shodan.io/ 

Censys：https://censys.io/ 

御劍全家桶：http://www.moonsec.com/post-753.html 

goby：https://gobies.org/

whatweb：https://whatweb.net/

雲悉：http://www.yunsee.cn/finger.html