admin管理员组文章数量:1655501
信息收集
本文章旨在个人课程学习记录以及课后学习成果分享,文章中如有阐述不当之处欢迎各位大佬指正。
信息收集是渗透测试的关键一步,尽量多的收集目标信息是渗透测试的必要步骤,也是渗透测试过程中所需花费的时间和精力最多的一个环节。
主要收集的信息有:DNS信息、目标IP地址、子域名、旁站和C段、CMS类型、敏感目录、端口信息、操作系统版本、网站架构、漏洞信息、服务器与中间件信息、邮箱、人员、地址等。
目的:增加攻击面。
一般情况下,主站点的防护工作更加全面,渗透难度大。我们可以转换思路,通过信息收集,增加攻击面,从多方面入手
红队打点,从子域名和旁站下手
目录
信息收集
web网站资产收集
1.域名后缀注册
2.查询CDN
3.查询子域名
4. 查找关键信息
5. 旁站查询
6. 搜索引擎语法查询
7. 目录收集
8. Github源码泄露
9. 网络测绘空间
10.威胁情报平台
端口信息收集
旁站C段
整站分析
服务器类型
字典收集
指纹识别
网站指纹(web指纹)
CMS简介
常见的CMS系统:
根据编程语言也可以分为
(1)DedeCMS(织梦)
(2)Discuz
(3)帝国CMS
(4)WordPress
(6)RuoYi
判断CMS的方法
1.查看robots.txt文件
2.查看网页源代码
3.通过版权信息
4.提炼特殊路由
使用工具进行扫描
WAF
后台查找
总结
web网站资产收集
目的:扩大信息面、扩大攻击面
1.域名后缀注册
根域名是一个网站的主站点,防护严密,渗透的一个思路是找子域名,从防护薄弱的子域名下手。通过信息收集增加攻击面,可以寻找其子域名,可能主站点和子域名处于同一个服务器IP地址
在 whois 上面查看目标的域名后缀注册情况:
whois是用来查询域名IP以及所有者等信息的传输协议,可以用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人,域名注册商),查看域名的当前信息状态,包括域名是否已被注册、注册日期、过期日期、域名状态等。
通过域名后缀注册情况可以判断是否有相关的域名网站。如果没有相关的后缀注册情况,则可以初步判断该目标站点存在较多的子网站。
相关网站
爱站网Whois查询(站长工具_whois查询工具_爱站网 )
西部数码Whois查询(whois/的whois查询信息-西部数码,方便快捷的whois查询平台 )
美橙互联Whois查询
(美橙域名whois查询-域名whois查询_whois查询_whois,美橙互联域名whois信息查询中心.)
站长之家:https://tool.chinaz/
站长工具Whois查询(WHOIS查询-网站WHOIS-站长工具-开发者工具网 )
腾讯云域名:https://whois.cloud.tencent/
阿里云中国万网域名:https://whois.aliyun/
天眼查:https://www.tianyancha/
全球whois查询:https://www.whois365/cn/
中国互联网络信息中心:https://ipwhoisnic
whois反查:
是指可以通过一个已知域名的whois信息中的部分信息作为条件反过来查询与此条件相匹配的一系列其它域名列表情况。借此我们可以知道该注册人拥有哪些域名,或者说是拥有哪些站点,那些域名的注册信息具体是什么等等相关信息,因此whois反查也可称之为域名反查。
相关网站:
微步:微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区
中国互联网信息中心:Whois
站长之家:https://whois.chinaz/reverse/email
域名查询网:http://whois.4/reverse
爱站网:https://whois.aizhan/
国外whois查询:https://who.is/
腾讯云:https://whois.cloud.tencent/
HOSTINGER:https://www.hostinger.hk/whois
邮箱反查:http://whois.chinaz/reverse?ddlSearchMode=1
注册人反查:http://whois.chinaz/reverse?ddlSearchMode=1
电话反查:http://whois.chinaz/reverse?ddlSearchMode=1
注:信息的收集与甄别,需要和官网来比对,有用且准确的记录
信息收集中可能会收集到信息泄露的内容,例如子域名
2.查询CDN
CDN加速,即内容分发网络(Content Delivery Network)加速,是一种通过在网络中分布多个节点来提高网站内容传输速度的技术。CDN通过将网站的静态内容缓存到这些节点上,当用户访问网站时,CDN会将用户的请求路由到距离最近的节点,从而加快内容传输速度。这种技术特别适用于静态内容较多的网站,如图片、CSS文件和JavaScript文件等
CDN也尤为重要,可以判断当前域名或者子域名的真是IP状态,旁段域名是不是解析到IP段
判断目标是否使用CDN,若使用CDN,我们对真实IP地址的收集存在干扰。
CDN加速会导致无法查询到真实的IP,CDN加速利用的是最近距离的IP。此CDN不仅可以用来加速网站还可以保护真实域名,但服务价格高昂
解决方法:
1. nslookup
windows的cmd控制台输入命令:nslookup 域名,如果非权威应答只返回一个 IP,那基本可以确定未使用CDN,其为真实IP地址。多个IP则存在CDN加速服务
2. 多地ping
查看IP地址是不是唯一的,不是唯一一般就是cdn,站长之家:http://ping.chinaz/
3.反查IP
反查IP有多个域名,那IP多半不是真实IP
3.查询子域名
可扩充域名测试面,收集边缘资产。
(1)使用 微步社区 查询目标域名,找到子域名
(2)也可以进行IP反查(站长之家),得到子域名,进而增加攻击面
(3)使用各大威胁情报平台的搜索引擎,尽可能收集有用的攻击面,进行信息收集查漏补缺
(4)与目标站点进行比对,将信息进行筛选,确认信息对我们渗透测试流程有用
(5)然后在子域名平台查看子域名中的友链,将进攻面扩充到最大
可以查找登录框或搜索框页面,并检测漏洞,或者注册账号登录,测试内部的功能
目的:扩大信息面,扩大攻击面
4. 查找关键信息
如 ICP备案:
ICP备案也是域名备案、网站备案,是所有服务器架设在国内的就需要备案,ICP证是经营性网站备案,直白点就是你网站有收费业务的就需要办理。
通过查询网站初步收集敏感信息,并且要进行比对信息,确保信息正确(名称,邮箱, 手机号,地址,备案号,法人等)
可以查询该单位备案的其它网站
相关网站:
ICP/IP地址/域名信息备案管理系统:ICP/IP地址/域名信息备案管理系统
全国互联网安全管理服务平台:全国互联网安全管理平台
国家企业信用信息公示系统:国家企业信用信息公示系统
ICP备案查询-站长工具:ICP备案查询_APP及小程序备案查询 - 站长工具
ICP备案查询网:ICP备案查询网 - 网站备案查询 - 工信部域名备案查询实时数据
备案查询网:备案查询 - ICP备案查询网
天眼查:天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统
企查查:企查查 - 查企业_查老板_查风险_企业信息查询系统
5. 旁站查询
可以帮助我们发现与目标网站共享同一IP或同一C段的其他网站。这些信息对于进一步的安全评估 、漏洞挖掘和攻击面分析至关重要。
https://www.webscan/
这个可以用域名:https://stool.chinaz/same
工具
k8旁站:https://github/k8gege/K8CScan
Ladon:https://github/k8gege/Ladon
6. 搜索引擎语法查询
Google,Bing,baidu
| 语法 | 含义 |
| site | 可以限制你搜索范围的域名 |
| inurl | 用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用 |
| intext | 只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字) |
| intitle | 查包含关键词的页面,一般用于社工别人的webshell密码 |
| filetype | 搜索文件的后缀或者扩展名 |
| link | 可以得到一个所有包含了某个指定URL的页面列表 |
| allintitle | 搜索所有关键字构成标题的网页. 但是推荐不要使用 |
示例:
intext:管理
filetype:mdb
inurl:file
site:http://xx filetype:txt 查找TXT文件 其他的依次内推
site:http://xx intext:管理
site:http://xx inurl:login
site:http://xx intitle:后台
7. 目录收集
网站目录本质上就是我们的文件夹,不同的文件夹放着不同的文件,目录收集可以增加我们的测试范围。
基本目录、敏感目录及文件
由于发布网站时,服务器配置问题,导致目录浏览功能打开,从而引起信息泄露,造成安全隐患。在信息收集过程中,需要收集的敏感目录/文件信息包括:
1.robots.txt
2.crossdomin.xml
3.sitemap.xml
4.后台目录
5.网站安装包
6.网站上传目录
7.mysql管理页面
8.phpinfo
9.网站文本编辑器
10.测试文件
11.网站备份文件(.rar、zip、.7z、.tar.gz、.bak)
12.DS_Store 文件
13.vim编辑器备份文件(.swp)
14.WEB—INF/web.xml文件
目录扫描对应信息收集来说特为重要,比如robots文件当中就可能泄露网站的后台或者CMS信息等,安装包中便泄露了网站的源码,phpinfo泄露了服务器的一些配置信息,编辑器、上传页面便可以进行利用相关的漏洞进行渗透,mysql、后台管理页面可以进行枚举爆破来尝试登陆进行下一步的安全测试。
扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏
后台目录:弱口令,万能密码,爆破
安装包:获取数据库信息,甚至是网站源码
上传目录:截断、上传图片马等
mysql管理接口:弱口令、爆破,万能密码,然后脱裤,甚至是拿到shell
安装页面 :可以二次安装进而绕过
phpinfo:会把你配置的各种信息暴露出来
编辑器:fck、ke、等
iis短文件利用:条件比较苛刻 windows、apache等
robots.txt 文件是专门针对搜索引擎机器人robot 编写的一个纯文本文件。我们可以在这个文件中指定网站中不想被robot访问的目录。这样,我们网站的部分或全部内容就可以不被搜索引擎收录了,或者让搜索引擎只收录指定的内容。因此我们可
以利用robots.txt让Google的机器人访问不了我们网站上的重要文件,GoogleHack的威胁也就不存在了。
假如编写的robots.txt文件内容如下:
User-agent: *
Disallow: /data/
Disallow: /db/
Disallow: /admin/
Disallow: /manager/
Allow:/images/
其中“Disallow”参数后面的是禁止robot收录部分的路径,例如我们要让robot禁止收录网站目录下的“data”文件夹,只需要在Disallow参数后面加上 /data/ 即可。如果想增加其他目录,只需按此格式继续添加。文件编写完成后将其上传到网站的根目录,就可以让网站远离Google Hack了。
虽然robots文件目的是让搜索蜘蛛不爬取想要保护的页面,但是如果我们知道了robots文件的内容的话,我们就可以知道目标网站哪些文件夹不让访问,从侧面说明这些文件夹是很重要的了。
基于python编写的工具
GitHack:https://github/BugScanTeam/GitHack
Dirsearch:https : //github/maurosoria/dirsearch
8. Github源码泄露
网站域名,网站js路径,网站备案,网站下的技术支持都可以放进去Github搜索
9. 网络测绘空间
专注于帮助用户收集和分析互联网上的设备和服务信息,从而更好地理解和掌握网络安全领域的各种信息。 好的搜索引擎可以让我们收集更多的资产信息,扩大测试面。
fofa:https://fofa.info/
鹰眼:https://hunter.qianxin/
钟馗之眼:https://www.zoomeye/
shodan:https://account.shodan.io/login
鹰图:鹰图平台
https://quake.360/quake/login#/
https://search.censys.io/
10.威胁情报平台
威胁情报是关于威胁的信息,利用公开的资源,用于发现威胁并指导企业行动以改善安全状况,情报收集可以使我们了解主流的漏洞情况,还可以了解近期公开的漏洞信息。
微步情报社区:https://x.threatbook/
奇安信情报中心:https://ti.qianxin/
绿盟情报中心:https://nti.nsfocus/apt/home
端口信息收集
通过端口扫描可以判断出网站开启的服务,从而通过爆破枚举或者漏洞利用进行突破,进一步提升网站权限,常见的如 135 、137 、138 、139 、445,这几个端口经常爆发漏洞。
扫描到的端口也许是网站的一个旁站,可以尝试对旁站进行漏洞探测,但是有些服务开启的端口可能被管理员修改,通过手工判断分析即可(例如开启了8888端口,通过尝试远程桌面连接确定该端口为3389修改过的端口)。
端口:是设备与外界通讯交流的出口
(1)使用nmap进行端口扫描,获取端口开放的信息
(2)浏览器访问开放端口,可能有惊喜,进一步扩宽攻击面
可以收集域名或IP所开放的端口情况
如常见端口:http-8080、tcp网页-80、ftp-21、ssh-22、telnet远程连接-23、数据库-3306、rdp远程连接-3389、weblogic-7001、zabbic-10051等。
端口扫描工具常见有nmap和masscan。nmap扫描的准确性较高,但是扫描的比较慢。masscan扫描的比较快,但是准确性较低,如果网站存在WAF可以通过调节扫描线程或者利用FTP连接工具、SSH连接工具、Mysql连接等工具进行手工探测
https://github/robertdavidgraham/masscan
namp:https://nmap/download.html
旁站C段
旁站:是和目标网站在同一台服务器上的其它网站
C端:是和服务器IP处在一个C段的其他服务器
对于防护比较强的主站,通常是很难挖掘到漏洞的,这时需要查看该站点的旁站,通过探测旁站的漏洞进行利用,从而拿下主站的权限。
当网站不存在旁站时,就需要进行C段探测(有些网站买断了相邻的几个IP做为分站,如果拿到分站的管理员敏感信息,如密码之类的,可以尝试对主站进行撞库),通过拿下C段中服务器进行ARP欺骗达到劫持域名的效果
对于红蓝对抗和护网,C段扫描比较有意义。对于单独网站的渗透测试,C段扫描意义不大。C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
整站分析
服务器类型
服务器信息包括服务器用的操作系统:Linux 还是 Windows 。现在企业网站服务器的操作系统有百分之九十以上用的是Linux操作系统。知道了服务器的操作系统之后,还需要知道操作系统使用的具体版本。因为很多低版本的操作系统都存在已知的漏洞。
判断是Linux还是Windows最简单就是通过ping来探测,Windows的TTL值都是一般是128,Linux则是64。所以大于100的肯定是Windows,而几十的肯定是Linux。但是,通过TTL值来判断服务器类型也不是百分之百准确的,有些windows服务器的TTL值也是几十,而且有的服务器禁止ping。
而判断目标网站服务器的具体的版本的话,可以采用 nmap 进行扫描, -O 和 -A 参数都能扫描出来
检测服务器平台、版本等,获取后可以制定漏洞挖掘方案(如IIS6.0存在解析漏洞等)。
将首页或者其他页面通过修改大小写辨别网站所使用的系统:
区分大小写(页面报错)--Linux
不区分大小写(页面正常)--Windows
字典收集
(1)可以在github收集
(2)也可以通过在工具,将收集到的信息生成字典
指纹识别
网站指纹(web指纹)
Web指纹的定义:Web指纹是一种对目标网站的识别技术,通过识别网站所使用的服务器、运行的脚本、安装的CMS等信息对目标进行精准的分类和定位。Web指纹识别可以帮助安全研究人员在安全测试中快速了解目标网站的基本信息,有助于搜索其相关漏洞。
可以通过插件等工具,识别网站的指纹,如网站的使用的框架Vue、使用的中间件、数据库、那些编程语言等。指纹识别出来目标资产使用了哪些框架、OA、CMS等,就可以尝试利用专项漏洞工具或者网上搜索相关漏洞从而实现快速打点目的。
CMS简介
内容管理系统(Content Management System,CMS),是一种位于WEB前端(Web 服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里指的“内容”可能包括文件、表格、图片、数据库中的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet网站的信息。
常见的CMS系统:
企业网站系统:MetInfo(米拓)、蝉知、SiteServer CMS
B2C商城系统:商派shopex、ecshop、hishop、xpshop
门建站系统:DedeCMS(织梦)、帝国CMS、PHPCMS、动易、cmstop
博客系统:wordpress、Z-Blog
论坛社区:discuz、phpwind、wecenter
问题系统:Tipask、whatsns
知识百科系统:HDwiki
B2B门户系统:destoon、B2Bbuilder、友邻B2B
人才招聘网站系统:骑士CMS、PHP云人才管理系统
房产网站系统:FangCms
在线教育建站系统:kesion(科汛)、EduSoho网校
电影网站系统:苹果cms、ctcms、movcms
小说文学建站系统:JIEQI CMS、linhuaming
根据编程语言也可以分为
php类cms系统:dedeCMS、帝国CMS、php168、phpCMS、cmstop、discuz、phpwind等
asp类cms系统:zblog、KingCMS等
类cms系统:EoyooCMS等
java类cms系统: RuoYi等
国外的著名cms系统:joomla、WordPress 、magento、drupal 、mambo等
(1)DedeCMS(织梦)
织梦内容管理系统(DedeCMS)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。DedeCMS免费版主要目标锁定在个人站长,功能更加专注于个人网站或中小型门户的构建,当然也有企业用户和学校等在使用本系统。
(2)Discuz
Crossday Discuz! Board(简称Discuz!)是康盛创想(北京)科技有限公司推出的一套通用的社区论坛软件系统,用户可以在不需要任何编程的基础上,通过简单的设置和安装,在互联网上搭建起具备完善功能、很强负载能力和可高度定制的论坛服务。Discuz! 的基础架构采用世界上最流行的web编程组合PHP+MySQL实现,是一个经过完善设计,适用于各种服务器环境的高效论坛系统解决方案。
(3)帝国CMS
帝国CMS又称为Empire CMS,简称Ecms,它是基于B/S结构并且功能强大而易用的网站管理系统。它采用了系统模型功能:用户通过此功能可直接在后台扩展与实现各种系统,因此又被称为是万能建站工具。帝国CMS具有强大的功能,并且现在已经全部开源。
(4)WordPress
WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站,WordPress也被当作一个内容管理系统(CMS)。WordPress是一款个人博客系统,使用PHP和MySQL语言进行开发的。
(6)RuoYi
是一款基于Spring boot框架的权限管理系统,你可以轻松的使用若依来进行开发,更加专注于业务逻辑的开发,而不用在意一些繁琐的增删改查操作。
也是现在红队必会的CMS框架,很多网站都是二开若依
判断CMS的方法
1.查看robots.txt文件
robots.txt文件中存放的是一些禁止被爬虫爬取的目录,因此有些robots.txt文件中就会存放一些关于CMS的敏感信息。例如如果robots.txt文件中存在wp-admin目录,那么就表名这个CMS是WordPress。
2.查看网页源代码
在有些网站中的源代码中会存放着网站的CMS信息和相应的版本信息,通过查看源代码可以发现使用的CMS类别。
3.通过版权信息
有些网站的版权信息中会包含使用的CMS类别和版本信息
4.提炼特殊路由
不同的站点路由其实是不一样的,在这里的话若依站点最特殊的路由是prod-api
因此我们从路由的角度来体验
一种是找超链接的提炼方式
body=prod-api/
可以找到站点中带有若依的超链接路由
打开之后我们就可以发现确实超链接指向的是若依的系统
如果收集的若依系统够多,可以发现存在二开的系统有其他的路由,比如admin-api dev-api 等等
另一种方式可能就需要用到搜索引擎去相辅相成的寻找特殊路由
使用工具进行扫描
1.御剑Web指纹识别 2.WhatWeb 3.WebRobo 4.椰树 5.轻量Web指纹识别 6.在线工具
潮汐指纹识别:TideFinger 潮汐指纹 TideFinger 潮汐指纹
BugScaner:wahtweb.bugscaner
云悉指纹识别:云悉互联网WEB资产在线梳理|在线CMS指纹识别平台 - 云悉安全平台
whatweb:WhatWeb - Next generation web scanner.
插件推荐
Wappalyzer:Wappalyzer 可以够检测出目标站点的Web服务器、内容管理系统、编程语言、 JavaScript库、框架CMS 、javascript 框架、网页面板等。总的来说, Wappalyzer 是一款不错的指纹识别插件。
Ehole:https://github/EdgeSecurityTeam/EHole
TideFinger(潮汐指纹识别工具版):https://github/TideSec/TideFinger
FindSomething:一款轻量级的浏览器插件,帮助用户快速查找网页源代码和JavaScript中的隐藏信息,如API请求、IP地址、敏感数据泄露等,便于开发者和安全人员进行分析。
HacKBar:免费的hackbar插件,可快速使用SQL注入、XSS和Bypass等payload进行测试,可进行多种编码和解码,安装后F12即可使用。浏览器扩展商店可以下载使用
HTTP Header Live
Vulners Web Scanner
https://whatcms/
WAF
判断安全狗,阿里云云盾,360网站卫士,护卫神等WEB应用程序防火墙,便于采取绕过WAF的 办法
1.Nmap探测WAF有两种脚本:
(1)http-waf-detect : nmap -p80,443 --script=http-waf-detect ip
(2)http-waf-fingerprint : nmap -p80,443 --script=http-waf-fingerprint ip
2.手动检测是否拦截页面或HTTP可识别字段
(1)在搜索框输入XSS弹窗代码,WAF拦截后判断WAF
(2)在可能存在的注入页面输入检测注入漏洞代码and 1=2,被WAF拦截后判断WAF。
后台查找
1. 弱口令默认后台:admin,admin/login.asp,manage,login.asp等等常见后台
2. 查看网页链接;一般来说,网站的主页有管理登陆类似的东西,大多数在网站底部版权处或鲁在冒页导肌程等,有些可能被管理员删掉
3. 查看网站图片的属性,有可能是上传管理后台的目录,但是在前端显示
4. 查看网站使用的管理系统,从而确定后台
5. 用工具查找,wwwscan,intellitamper,御剑,进行爬虫,字典穷举扫描
6. robots.txt的帮助,robots.txt文件可以告诉蜘蛛程序在服务器上什么文件可以爬取
7. GoogleHacker通过语法查找后台
8. 查看网站使用的编辑器是否有默认后台,FCK,ewb等默认后台
9. 短文件利用短文件漏洞进行猜解
10. 子域名有可能管理后台为 admin.xxxxxx,login.xxxxx
11. sqlmap-sql-shell load——file('d:/wwroot/index.php')。利用sql注入查看文件源码获取后台
12. 社工,xss利用社会工程学获取后台,利用存储xss获取后台
总结
通过各大威胁情报集团的搜索引擎,尽可能全面的收集有用的攻击面,然后查看他各大子域名平台中是否有关联链接、子域名友情链接等一系列的信息泄露,把我们的信息收集做到极致,我们的攻击面扩充到最大!
特别鸣谢泷羽sec的网络安全课程分享!
版权声明:本文标题:渗透测试 | 信息收集详解 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1729705900a1210728.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论