对于渗透测试而言,信息收集是一个非常关键的阶段,信息收集的越多,渗透起来就容易
那么信息收集主要是收集什么信息呢?
我们主要是收集渗透目标的域名信息(whois、备案信息、子域名),服务器信息(端口、服务、真实 IP),网站信息(网站架构、操作系统、中间件、数据库、编程语言、指纹信息、WAF、敏感目录、敏感文件、源码泄露、旁站、C 段)
域名信息收集
域名是互联网上用于标识和定位网站的一串字符,它为用户提供了一个易于记忆的方式来访问互联网上的资源。每个域名都是独一无二的,并且与一个特定的IP地址相对应。IP地址是一串数字,用于在网络中唯一地标识设备或服务器,而域名则提供了一个人类可读的形式,使得用户无需记住复杂的IP地址就能访问网站。
域名通常由几个部分组成,从右至左分别为顶级域、二级域等。例如,在www.example.com这个域名中:
.com是顶级域(TLD),指明了该域名属于哪种类型的组织或地理区域。example是二级域,这是用户自定义的部分,用来识别具体的组织或个人。www是子域,通常用来表示网站的主页面,但也可以有其他用途,比如指向不同的服务或内容。
WHOIS(通常写作whois)是一个用于查询关于域名、IP地址块以及自治系统号码等互联网资源信息的协议。通过WHOIS服务,用户可以获取到与特定互联网资源相关的注册信息和管理联系信息。这项服务对于了解域名的所有权、注册日期、过期日期、域名服务器信息等非常有用。
WHOIS提供的信息可能包括:- 域名注册人:显示拥有该域名的个人或组织名称。
- 联系方式:包括电子邮件地址、电话号码及物理地址等。
- 注册商:提供域名注册服务的公司名称。
- 注册日期:域名首次被注册的时间。
- 过期日期:域名当前注册周期结束的日期。
- 更新日期:最后一次更新记录的时间。
- 域名服务器:负责将域名转换为IP地址的DNS服务器列表。
- 状态:表明域名是否处于锁定状态、是否即将到期等信息。
如何进行whois查询?
不同的后缀域名whois信息需要用到不同whois数据库查询。每个域名或IP的WHOIS信息由对应的管理机构保存,例如,以.com结尾的域名的WHOIS信息由.com域名运营商VeriSign管理,中国国家顶级域名.cn域名由CNNIC管理。国科云whois查询工具支持威瑞信和CNNIC机构主流后缀域名查询,如.cn、.com、.net、.中国等。
whois查询地址:https://www.guokeyun.com/queryWhois.html
whois反查功能
WHOIS 反查,是指可以通过一个已知域名的 WHOIS 信息中的部分信息作为条件反过来查询与此条件相匹配的一系列其它域名列表情况。借此我们可以知道该注册人拥有哪些域名,或者说是拥有哪些站点,那些域名的注册信息具体是什么等等相关信息,因此 WHOIS 反查也可称之为域名反查。
域名反查:https://whois.chinaz.com/reverse?ddlSearchMode=0
邮箱反查:https://whois.chinaz.com/reverse?ddlSearchMode=1
注册人反查:https://whois.chinaz.com/reverse?ddlSearchMode=2
电话反查:https://whois.chinaz.com/reverse?ddlSearchMode=3
子域名信息收集
子域名是指顶级域名(一级域名)的下一级域名,如mail.qq.com和www.qq.com都是qq.com的子域。从旁站查找漏洞往往比主站容易,因此子域名信息的收集显得尤为重要。
https://www.boce.com/
Google搜索引擎:
site:xxx.com
-
FOFA:https://fofa.info/
Fofa 主要用于网络资产管理、漏洞扫描和威胁情报收集。安全人员可以使用 Fofa 来发现企业内部暴露的服务和设备,及时进行修补或保护。
-
鹰图:https://hunter.qianxin.com/
该工具在为企业搜集暴露面的场景下非常实用
-
360:https://quake.360.net/
Quake积累海量测绘数据,覆盖多种网络协议和资产类别,实现了网络空间与现实世界的虚实映射,提升了资产识别率。
-
灯塔ARL资产收集
里面功能很齐全,whois,子域名信息收集都很方便
- Shodan:Shodan是一个面向网络安全的搜索引擎,搜索和发现连接到互联网的设备、服务和漏洞。地址:**https://www.onyphe.io/search
- Censys:Censys提供类似于Shodan的功能,可用于搜索和监视互联网上的网络设备和服务。
-地址:**https://search.censys.io/
- ZoomEye:ZoomEye是一款网络空间搜索引擎,可用于发现和识别互联网上的设备、服务和漏洞。地址:**https://www.zoomeye.org/
- Nmap:Nmap是一个强大的网络扫描工具,可用于发现主机、端口和服务,并识别潜在的安全漏洞。(kali自带)
操作系统判断:通过大小写判断网站服务器系统。windows系统类服务器是不区分大小写的 然而linux系统则区分大小写
服务器信息
查询开放端口
fscan:./fscan -h ip -p 1-65535
goby也可以扫
IP查询
先判断是否存在CDN(是一种分布式网络基础设施,旨在通过将内容缓存到全球各地的服务器上来提高网站加载速度、减少延迟并减轻源服务器负载。CDN的工作原理是将用户请求的内容从离用户最近的服务器上提供,而不是总是从原始服务器获取,这样可以显著改善用户体验,尤其是在处理大量流量或跨地理区域访问时。)
多地ping:用各种多地ping的服务,查看对应IP地址是否唯一
https://ping.aizhan.com/
http://ping.chinaz.com/
http://www.webkaka.com/Ping.aspx
绕过CDN查询真实IP
方法一:使用phpinfo等探针的方式找到真实IP
方法二:网站根域或子域查找真实IP
大部分CDN服务都是按流量进行收费的,所以一些网站管理员只给重要业务部署CDN,也有很多人忘了给“根域”部署CDN,所以我们可以尽可能的多搜集一些子域名来尝试得到真实IP地址。
方法三:域名历史解析记录查找真实IP
查询目标域名历史解析记录可能会找到部署CDN前的解析记录(真实IP地址),可用以下几个网站查询。
https://x.threatbook.cn
https://webiplookup.com
https://viewdns.info/iphistory
https://securitytrails.com/#search
https://toolbar.netcraft.com/site_report
方法四:fofa网站标题查找真实IP
方法五:利用目标网站的漏洞来找到真实IP
web漏洞:XSS、SSRF、命令执行、文件上传等 信息泄露:phpinfo等
方法六:社工找到CDN部署的控制台来找到真实IP
服务
推荐使用Google的插件Wappalyzer,它可以显示网站服务
网站信息
这里主要介绍敏感目录及js信息泄露
敏感目录可以通过dirsearch和御剑扫描还有SWebScan
js信息泄露
js里面通常会存在大量接口信息,这些接口会泄露一些关键的信息,甚至可能会产生一个未授权漏洞
对于js的信息收集就有很多种类了
urlfinder.exe工具
urlfinder.exe -u 网址
网站内JS文件链接
网站内url跳转信息
domain信息
手机号,身份证等敏感信息
FindSomething
这是火狐和Google插件市场里的插件,下载简单快捷,也挺好用的
还有burp插件:https://github.com/shuanx/BurpAPIFinder?tab=readme-ov-file
抓包即可看见
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
