渗透测试学习笔记（信息收集）

渗透测试学习笔记（信息收集）

信息收集目的：信息收集作为渗透前期的准备工作扮演着极为重要的角色，我们的

最终目的是拿下目标，那么信息收集的目的就是为拿下目标进行铺路。良好的信息

收集能够更全面的掌握对方情况，并为你下一步的操作起到帮助决策的作用。

这里主要是web的信息收集，即针对web服务器对象的

1. 域名信息

   - a. 对应ip收集：
   
     i. ping域名
   
     ii. ip138查找历史ip
   
     iii. 全国ping
   
   b. 子域名收集：（17:35）
   
   ​	i. Layer子域名挖掘机，subdomain（优先选择版本较低的服务器）
   
   ​	ii. 自己找个好用的工具和更新字典
   
   c. whois（注册人）信息查询：（35:27） 
   
   ​	▪ 爱站，站长工具，微步在线，ip138，searchdns.netcraft.com
   
   ​	▪ 查找注册人的一些信息，注册日期，注册人姓名，注册人邮箱、电话等，
   
   反查其他注册的域名，然后搞别的站寻找密码再回来，或者查询社工信
   
   息，查看曾用密码来进行生成字典推测
   

2. 敏感目录

   ​ 收集方向：robots.txt，后台，安装包，上传目录，安装页面，mysql管理接
   口，phpinfo等

   a. 字典爆破：御剑，dirbuster，wwwscan等
   b. 爬行：爬行菜刀，webrobot，burp等 ○ 有的站会有防护，如阿里云的封锁ip，安全狗使扫描器的一堆误报，需要用代
   理进行访问，用代理池跑
   ○ 扫扫二级目录
   

3. 段口分析

   通过nmap，portscan或其他工具扫一下端口，看一下服务开启
   常见的端口：
       i. 21：FTP
       ii. 22：SSH
       iii. 23：telnet
       iv. 25：smtp
       v. 80：http
       vi. 443：https
       vii. 445：smb
       viii. 1433：sql server
       ix. 1521：oracle
       x. 3306：mysql
       xi. 3389：rdp
   

4. 旁站c段

   a. 旁站：同服务器的其他站点，一个ip的其他所有域名
   b. c段：指某个服务器的C段ip地址（即0/24）的所有域名
   

5. 整站分析

   • 服务器类型

     i. 服务器平台：windows，linux，通过文件大小写来判断，Linux区分大小
     写，或者看报错信息
     ii. 服务器版本：nmap探测，报错信息
     

   • 网站容器

     iis：
     windows搭建容器，windows2003,2008,2012,2016版本对应
     iis6.0，iis7.0/7.5，iis8.0，iis10.0
     apache：
     一般为linux搭建，如果apache（win32）表示用windows搭建
     的apache环境，一般为集成环境，如phpstudy，upupw，宝塔
     nginx：
     一般为linux搭建，nginx（win32）同上
     tomcat
     检测方法：看报错信息，审查元素network查看
     

   • 脚本类型

     iis一般用asp，aspx，php
     apache，nginx一般用php
     tomcat一般用jsp
     

   • 数据库类型

     asp + access，少部分会用sqlserver
     aspx + sqlserver，少部分用access
     php + mysql，也有用postgresql，oracle不常见
     jsp + mysql/sqlserver，oracle少一些，金融，大学，证券一般是oracle
     

   • cms类型(找对应的cms漏洞，进行漏洞利用)

     登录后台
     网站页脚泄露
     工具自动化识别
     

   • waf

     构造一下sql语句，查看网站是否拦截

6. google黑客

   shodan，censys，fofa，钟馗

   inurl：xxx
   intitle：xxx
   site：
   filetype
   

7. URL采集

后台查找总结

1.弱口令默认后台：
    admin，admin/login.asp，manage等
    a. discuz，phpv9，phpweb：默认为 admin.php
    b. 科讯：默认为 admin/login.asp
    c. 帝国：默认为 e/admin
    d. aspcms：默认为 admin_aspcms
2. 御剑，dirbuster等扫描目录
3. 爬行网站（asp/aspx/php）
4. robots.txt 查看
5. 借助谷歌语法，像dedecms
6. 寻找编辑器后台
7. 查找关联性信息，像同一个建站商，注册人或者注册邮箱
 寻找网站页脚，通过搜索引擎搜索相同建站商，通过上面的方法再找后台，找到后用相同的后台名称去试要测试的站点。
8. 博彩，资金盘的站点
    a. 高位端口：xxx.com:8888
    b. 子域名：admin.xxx.com
    c. 可能是完全独立的另一个域名
    i. 如果是同一个服务器可以查旁站
    ii. 不在同一个服务器就打xss
    d. 查看css样式，js代码
9. 短文件利用：
    a. 像apache在windows上搭建，如果后台地址是admin_151351834，那么输入admin~1可以自动补全
    b. sqlmap --sql-shell load_file('d:/wwwroot/index.php');查看源代码寻找地址，前提有管理员权限	

CDN绕过

CDN是内容分发网络，是建立并覆盖在承载网之上，由分布在不同区域的边缘节点服务器群组成的分布式网络。即在不同区域放置缓存服务器以避免一台服务器负荷来达到加速的效果。

判断：

使用站长工具超级ping，查看各地ping的ip是否一致

寻找真实ip：

a. 查看子域名ip
b. 敏感文件泄露
c. 历史ip判断（ip138）
d. 让服务器主动发包（邮件），一般邮件服务器和网站服务器在一个服务器上

绕过cdn访问：修改hosts文件

其他

非web服务的网络服务攻击方式：
1. 密码破解（爆破）
2. 漏洞利用（像溢出漏洞，用已经有的exp秒）
3. ddos攻击，使服务器瘫痪
4. 欺骗
5. 钓鱼（配合社工）

拿到一台内网服务器作为跳板机：
1. web提权
2. 邮件钓鱼
3. 社工
4. 木马（植入客服）

目标对象分析：
1. 单个目标服务器（非web）
2. web服务器
3. 整个网络拓扑：
a. 内网
b. 外网

一般流程：
1. 收集目标信息
2. 对目标进行分析
3. 通过各种漏洞实施攻击，进行入侵
4. 留后门，方便下次进入
5. 抹去痕迹，清理入侵记录