專欄講解滲透測試網站資訊獲取

上一節講到滲透測試中的程式碼審計講解,對整個程式碼的函式分析以及危險語句的避讓操作,近期很多客戶找我們Sine安全想要了解如何獲取到網站的具體資訊，以及我們整個滲透工作的流程，因為這些操作都是透過實戰累計下來的竟然,滲透測試是對網站檢查安全性以及穩定性的一個預防針,前提是必須要有客戶的授權才能做這些操作！

2.2. 站點資訊

• 判斷網站作業系統
• Linux大小寫敏感
• Windows大小寫不敏感
• 描敏感檔案
• robots.txt
• crossdomain.xml
• sitemap.xml
• xx.tar.gz
• xx.bak
• 等
• 確定網站採用的語言
• 如PHP / Java / Python等
• 找字尾，比如php/asp/jsp
• 前端框架
• 如jQuery / BootStrap / Vue / React / Angular等
• 檢視原始碼
• 中間伺服器
• 如 Apache / Nginx / IIS 等
• 檢視header中的資訊
• 根據報錯資訊判斷
• 根據預設頁面判斷
• Web容器伺服器
• 如Tomcat / Jboss / Weblogic等
• 後端框架
• 根據Cookie判斷
• 根據CSS / 圖片等資源的hash值判斷
• 根據URL路由判斷（如wp-admin）
• 根據網頁中的關鍵字判斷
• 根據響應頭中的X-Powered-By
• CDN資訊
• 常見的有Cloudflare、yunjiasu
• 探測有沒有WAF，如果有，什麼型別的
• 有WAF，找繞過方式
• 沒有，進入下一步
• 掃描敏感目錄，看是否存在資訊洩漏
• 掃描之前先自己嘗試幾個的url，人為看看反應
• 使用爬蟲爬取網站資訊
• 拿到一定資訊後，透過拿到的目錄名稱，檔名稱及副檔名瞭解網站開發人員的命名思路，確定其命名規則，推測出更多的目錄及檔名

2.3. 埠資訊

2.3.1. 常見埠及其脆弱點

• FTP 21
• 預設使用者名稱密碼 anonymous:anonymous
• 暴力破jie密碼
• VSFTP某版本後門
• SSH 22
• 暴力破jie密碼
• Telent 23
• 暴力破jie密碼
• SMTP 25
• 無認證時可偽造發件人
• DNS 53 UDP
• 測試域傳送漏洞
• SPF / DMARC Check
• DDoS（DNS Query Flood / DNS 反彈）
• SMB 137/139/445
• 未授權訪問
• 弱口令
• SNMP 161
• Public 弱口令
• LDAP 389
• 匿名訪問
• 注入
• Rsync 873
• 任意檔案讀寫
• RPC 1025
• NFS匿名訪問
• MSSQL 1433
• 弱密碼
• Java RMI 1099
• RCE
• Oracle 1521
• 弱密碼
• NFS 2049
• 許可權設定不當
• ZooKeeper 2181
• 無身份認證
• MySQL 3306
• 弱密碼
• RDP 3389
• 弱密碼
• Postgres 5432
• 弱密碼
• CouchDB 5984
• 未授權訪問
• Redis 6379
• 無密碼或弱密碼
• Elasticsearch 9200
• 程式碼執行
• Memcached 11211
• 未授權訪問
• MongoDB 27017
• 無密碼或弱密碼
• Hadoop 50070

除了以上列出的可能出現的問題，暴露在公網上的服務若不是最新版，都可能存在已經公開的漏洞

2.3.2. 常見埠掃描方式

2.3.2.1. 全掃描

掃描主機嘗試使用三次握手與目標主機的某個埠建立正規的連線，若成功建立連線，則埠處於開放狀態，反之處於關閉狀態。 全掃描實現簡單，且以較低的許可權就可以進行該操作。但是在流量日誌中會有大量明顯的記錄。

2.3.2.2. 半掃描

在半掃描中，僅傳送SYN資料段，如果應答為RST，則埠處於關閉狀態，若應答為SYN/ACK，則埠處於監聽狀態。不過這種方式需要較高的許可權，而且部分防火牆已經開始對這種掃描方式做處理。

2.3.2.3. FIN掃描

FIN掃描是向目標傳送一個FIN資料包，如果是開放的埠，會返回RST資料包，關閉的埠則不會返回資料包，可以透過這種方式來判斷埠是否開啟。 這種方式並不在TCP三次握手的狀態中，所以不會被記錄，相對SYN掃描要更隱蔽一些。

2.3.3. Web服務

• Jenkins
• 未授權訪問
• Gitlab
• 對應版本CVE
• Zabbix
• 許可權設定不當

2.3.4. 批次搜尋

• Censys
• Shodan
• ZoomEye

2.4. 搜尋資訊收集

2.4.1. 搜尋引擎利用

恰當地使用搜尋引擎（Google/Bing/Yahoo/Baidu等）可以獲取目標站點的較多資訊。

常見的搜尋技巧有：

• site:域名
• 返回此目標站點被搜尋引擎抓取收錄的所有內容
• site:域名 keyword
• 返回此目標站點被搜尋引擎抓取收錄的包含此關鍵詞的所有頁面
• 此處可以將關鍵詞設定為網站後臺，管理後臺，密碼修改，密碼找回等
• site:域名 inurl:admin.php
• 返回目標站點的地址中包含admin.php的所有頁面，可以使用admin.php/manage.php或者其他關鍵詞來尋找關鍵功能頁面
• link:域名
• 返回所有包含目標站點連結的頁面，其中包括其開發人員的個人部落格，開發日誌，或者開放這個站點的第三方公司，合作伙伴等
• related:域名
• 返回所有與目標站點”相似”的頁面，可能會包含一些通用程式的資訊等
• intitle:”500 Internal Server Error” “server at”
• 搜尋出錯的頁面
• inurl:”nph-proxy.cgi” “Start browsing”
• 查詢代理伺服器

除了以上的關鍵字，還有allintile、allinurl、allintext、inanchor、cache等。

還有一些其他的tips

• 查詢不區分大小寫
• * 代表某一個單詞
• 預設用and
• OR 或者 | 代表邏輯或
• 單詞前跟+表強制查詢
• 引號引起來可以防止常見詞被忽略
• 括號會被忽略

搜尋引擎的快照中也常包含一些關鍵資訊，如程式報錯資訊可以會洩漏網站具體路徑，或者一些快照中會儲存一些測試用的測試資訊，比如說某個網站在開發了後臺功能模組的時候，還沒給所有頁面增加許可權鑑別，此時被搜尋引擎抓取了快照，即使後來網站增加了許可權鑑別，但搜尋引擎的快照中仍會保留這些資訊。

另外也有專門的站點快照提供快照功能，如 Wayback Machine 和 Archive.org 等。

2.5. 目標人員資訊收集

針對人員的資訊收集考慮對目標重要人員、組織架構、社會關係的收集和分析。其中重要人員主要指高管、系統管理員、運維、財務、人事、業務人員的個人電腦。

最容易的入口點是網站，網站中可能包含網站的開發、管理維護等人員的資訊。從網站聯絡功能中和程式碼的註釋資訊中都可能得到的所有開發及維護人員的姓名和郵件地址及其他聯絡方式。

在獲取這些資訊後，可以在Github/Linkedin等網站中進一步查詢這些人在網際網路上釋出的與目標站點有關的一切資訊，分析並發現有用的資訊。 如有對此需求滲透測試服務檢查網站漏洞可以聯絡專業的網站安全公司來處理解決,國內推薦Sinesafe,綠盟,啟明星辰。

此外，可以對獲取到的郵箱進行密碼 baopo的操作，獲取對應的密碼。