1. 信息收集概述
(1)渗透测试流程:
前期交互:授权书(确定范围,规则,需求)
信息收集
威胁建模
漏洞分析
渗透攻击(POC验证)
后渗透攻击(后门)
报告
(2)常见名词:
语言:静态语言,动态语言,脚本语言,网页语言
网页语言:html,css
脚本语言:asp,php,jsp,JavaScript,python
静态语言:java,c++,c(静态语言与动态语言的区别)
(3)Web架构:
语言:java,PHP,JavaScript,net,asp,python
中间件:Apache,Tomcat,jboos,net
数据库:mysql,Oracle,db2,mssql,access
操作系统:Windows,linux,Unix,ios
CMS:内容管理系统,用来统一快速创建网站。例如wordpress是著名的个人 网站CMS。
补充:
中间件:中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源。中间件位于客户机/ 服务器的操作系统之上,管理计算机资源和网络通讯。是连接两个独立应用程序或独立系统的软件。常见中间件有IIS、apache、nginx、weblogic等。
(4)常见系统架构:
Java=linux+Nginx+Tomcat+mysql
Asp=Windows+IIS+SQL sserver/access+asp
J2EE=Unix+Tomcat+oracl
Lamp=linux+Apache+mysql+PHP
(5)学习资源推荐
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-sufs4P1B-1674035032383)(file:///C:\Users\25764\AppData\Local\Temp\ksohtml\wpsAA41.tmp.png)]
2.信息收集详情
(1)资产收集概述
旁站
Ip
域名信息
c段:网络测绘空间,黑暗引擎
微信公众号
移动APP
系统
源码泄露
(2)判断语言
浏览器的URL路径文件后缀
http response headers响应体:如,x-powered-by,product
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QolwQmp3-1674035032384)(file:///C:\Users\25764\AppData\Local\Temp\ksohtml\wps23B9.tmp.jpg)]
(3)判断操作系统
- 使用ping命令判断ttl:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-A5kpuCvf-1674035032384)(file:///C:\Users\25764\AppData\Local\Temp\ksohtml\wps1984.tmp.jpg)]https://www.lixh.cn/archives/3672.html
TTL(Time To Live,生存时间)是IP协议包中的一个值
看到操作系统默认的TTL值,应该想到,在使用ping时,值也不一样!因为经过一个路由TTL就会减1,所以,我们只要判断,当前ping时,得到的TTL向上接近哪个操作系统的默认TTL值,那么,操作系统就很有可能是对应的操作系统。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-g8jW2mBB-1674035032385)(file:///C:\Users\25764\AppData\Local\Temp\ksohtml\wps1994.tmp.jpg)]
- 大小写访问
大写后不报错,一般可以判断为Windows系统,
大写后如果报错, 一般可以判断为Linux系统
-
工具查找
这里利用kali的p0f查询。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6s1pVJHX-1674035032385)(C:\Users\25764\AppData\Roaming\Typora\typora-user-images\image-20220616085946353.png)]
也可以使用nmap工具来扫描。
nmap -O 域名
(4)域名相关信息查询
Whois 查询: 爱站工具网和站长网都可以查询到域名的相关信息 如域名服务商,域名拥有者,以及邮箱电话,地址等信息) 网站的关于页面/网站地图
(可查询到企业的相关信息介绍,如域名 备案信息查询: http://www.beianbeian.com,http://www.tianyancha.com) 域传输漏洞:dig baidu.com。
用途: 利用以上收集到的邮箱、QQ、电话号码、姓名、以及域名服务商可以用来社工客 户或者渗透域服务商,拿下域管理控制台,然后做域劫持;通过收集到邮箱,可 以在社工库查找到是否有出现泄漏密码以及通过搜索引擎搜索到社交账号等信 息,通过社交和社工得到的信息构造成密码字典,然后对 mail 和 oa 进行爆破 或者撞裤。
(5)子域名信息收集
子域名爆破: layer,K8,subDomainsBrute,dnsmaper,Sublist3r,google 搜索语法, MaltegoCE
在线子域名: http://i.links.cn/subdomain/
用途:可以从子域名入侵 到主站。
(6)开放端口和服务收集
CMD中需要管理员权限打开,并输入netstat -anbo查看开放的端口。
常用端口:
HTTP服务器默认端口号为:80/tcp(木马Executor开放此端口)
HTTPS服务器默认端口号为:443/tcp、443/udp
Telnet(远程登录)默认端口号为:23/tcp(木马Tiny Telnet Server所开放的端口)
FTP默认端口号为:21/tcp(木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash等所开放的端口)
TFTP(Trivial File Transfer Protocol)默认端口号为:69/udp
SSH(安全登录)、SCP(文件传输)、端口号重定向,默认端口号为:22/tcp
SMTP(E-mail)默认端口号为:25/tcp(木马Antigen、Email Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都开放这个端口)
POP3 Post Office Protocol(E-mail)默认端口号为:110/tcp
Webshpere应用程序默认端口号为:9080
TOMCAT默认端口号为:8080
MySQL数据库默认端口号为:3306
Oracle 数据库默认的端口号为:1521
WIN2003远程登录默认端口号为:3389
MS SQL*SERVER数据库server默认的端口号为:1433/tcp、1433/udp
常用的工具扫描:
nmap -A -v -T4 192.168.1.1
masscan -p80 192.168.1.1/24 --rate=10000
线上工具扫描:
在线网站:http://tool.chinaz.com/port/
ThreatScan在线网站:https://scan.top15.cn/
(7) 旁站和C段扫描
旁站指的是同一服务器上的其他网站,很多时候,有些网站可能不是那么容易入侵。那么,可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell,然后再提权拿到服务器的权限,最后就自然可以拿下该网站了.
对于红蓝对抗和护网,C段扫描比较有意义。对于单独网站的渗透测试,C段扫描意义不大。C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
旁站和C段在线查询地址:
- http://www.webscan.cc/
- https://phpinfo.me/bing.php
- https://scan.top15.cn
(8)备案信息查询
IPC备案查询方法包括:
https://www.beian88.com/
http://beian.miit.gov.cn/publish/query/indexFirst.action
https://www.tianyancha.com/
http://www.beianbeian.com/
(9)CMS指纹识别
在渗透测试中,对目标服务器进行指纹识别是相当有必要的,因为只有识别出相应的Web容器或者CMS(内容管理系统),才能查找与其相关的漏洞,然后才能进行相应的渗透操作。CMS又称整站系统。常见的CMS有:WordPress、Dedecms(织梦)、Discuz、PhpWeb、PhpWind、Dvbbs、PhpCMS、ECShop、、SiteWeaver、AspCMS、帝国、Z-Blog等。
CMS又称为整站系统或文章系统,用于网站内容管理。用户只需要下载对应的CMS软件包,就能部署搭建,并直接利用CMS。但是各种CMS都具有其独特的结构命名规则和特定的文件内容,因此可以利用这些内容来获取CMS站点的具体软件CMS与版本。
常见识别工具:
(1) 在线工具
BugScaner:http://whatweb.bugscaner.com/look/
云悉指纹:http://www.yunsee.cn/finger.html
WhatWeb:https://whatweb.net/
BGP:he.bgp.net
(2) 本地工具
御剑Web指纹识别程序
大禹CMS识别程序(https://github.com/Ms0x0/Dayu)
(10)敏感目录信息
针对目标Web目录结构和敏感隐藏文件探测是非常重要的,在探测过程中很可能会探测到后台页面、上传页面、数据库文件,甚至是网站源代码文件等。
常见的探测工具包括:
御剑后台扫描工具
wwwscan命令行工具
dirb命令工具
dirbuster扫描工具
同时,提到网站敏感目录我们就不得不提robots.txt文件。robots.txt文件是专门针对搜索引擎机器人robot 编写的一个纯文本文件。我们可以在这个文件中指定网站中不想被robot访问的目录。从而让我们网站的部分或全部内容不被搜索引擎收录,或者让搜索引擎只收录指定的内容。
虽然robots文件目的是让搜索蜘蛛不爬取想要保护的页面,但是如果我们知道了robots文件的内容的话,我们就可以知道目标网站哪些文件夹不让访问,从侧面说明这些文件夹是很重要。
(11)浏览器敏感信息收集
Google Hacking语法
Google Hack是指使用Google、百度等搜索引擎对某些特定网站主机漏洞(通常是服务器上的脚本漏洞)进行搜索,以达到快速找到漏洞主机或特定主机的漏洞的目的。
(黑暗引擎也不错,非常强大)
(12)CDN检测
直接利用超级ping等工具,查看目标网站的cdn情况,从而判断目标网站的真实IP。
http://ping.chinaz.com/
国外访问:https://asm.ca.com/en/ping.php
查询域名解析记录:https://viewdns.info/
(CDN很贵,很有可能分站就不再使用CDN,这有助于找到真实IP)
常见的信息收集网站
常见的信息收集网站包括:
Whois站长之家:http://whois.chinaz.com/
微步在线:https://x.threatbook.cn/
阿里云中国万网:https://whois.aliyun.com/
Whois Lookup查找目标网站所有者信息:http://whois.domaintools.com/
Netcraft Site Report显示目标网站使用的技术:http://toolbar.netcraft.com/site_report?url=
Robtex DNS查询显示关于目标网站的全面的DNS信息:https://www.robtex.com/
全球Whois查询:https://www.whois365.com/cn/
站长工具爱站查询:https://whois.aizhan.com/
爱站网ping检测\IP反查域:https://dns.aizhan.com/
DNS服务器解析:http://tool.chinaz.com/nslookup
多地ping 检查dns是否存在:http://ping.chinaz.com/ping.chinaz.com
同ip查旁站:http://s.tool.chinaz.com/same
转载:https://blog.csdn.net/qq_56438857/article/details/128728824