渗透测试第一步—如何进行信息收集

一、信息收集（广度与深度）

       为对目标资产信息的搜集主要包括但不限于：whois 信息,子域名,目标 IP,旁站 C 段查询,邮箱搜集,CMS 类型, 敏感目录,端口信息,服务器与中间件信息等。 广度,而从渗透测试的本质来看渗透测试其实就是信息搜集。

        时间差---0day

• 主动信息收集

        主动扫描目标主机或网站，优点为获取到的信息更为准确，能获取到的信息更多，缺点为通过主动信息收集容易留下明显的攻击访问痕迹，易发现和被溯源。

• 被动信息收集

        通过搜索引擎等公开渠道进行相关信息的检索收集信息，优点为不直接与目标建立交互访问连接，避免了留下访问痕迹，缺点为但收集到的信息依赖于搜索引擎，准确性和质量无法保证。

二、DNS 信息查询

        在收集 DNS 信息的时候，主要关注域名注册商，管理员联系方式，电话和邮箱，子域名等信息。 顶级域名：.edu(教育机构)、.net(网络服务机构)、.gov(政府)、.org(民间团体组织)、.mil(军事) 。

• nslookup www.topsec.com.cn 114.114.114.114 202.106.0.20
•  whois www.topsec-edu.cn
• 在“站长之家”中还可以进行反查。

三、子域名信息查询

        子域名是某个主域的二级域名或者多级域名，在防御措施严密情况下无法直接拿下主域，那么就可以采用迂回战术拿下子域名，然后无限靠近主域。

        例如：http://www.jd.com 主域不存在漏洞，并且防护措施严密。而二级域名 http://edu.jd.com 存在漏洞，并且防护措施松散，相对来说，使用人数比较少的，网站藏的比较深--脆弱资产。

• 搜索引擎+谷歌黑客语句

• 搜索网站：fofa、shodan、钟馗之眼、站长之家。
• 搜索工具：子域名挖掘机 layer。
• dnsenum 工具，通过字典爆破子域名，以及对一个网段进行反向查询。
• 爬虫工具，如 bp、appscan、awvs。

四、IP 信息收集

• ping 、nslookup、whois
• dig 可以从 DNS 域名服务器查询主机地址信息,获取到详细的域名信息

                简单的查询： dig testfire.net

                指定 DNS 服务器： dig @8.8.8.8 testfire.net

                获取域名的详细解析过程： dig +trace testfire.net

                验证域传送漏洞： dig axfr @dnsServer dns

五、网络空间搜索引擎

        钟馗之眼（创宇公司）、fofa （华顺信安）、 Shodan （谷歌黑客）等。

        公网设备指纹检索和 Web 指纹检索，网站指纹包括应用名、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管 理系统 cms 和数据等。

• 搜素语句：

        app：组件服务器名称，如 Apache

        ver：组件版本

        os: 搜索指定的操作系统，如 linux

        site: 搜索指定的网站，如 www.xxx.cn

        country: 搜索指定的国家，如 us

        port: 搜索指定的端口，如 3389

        city: 搜索指定的城市，如 beijing

        cidr: 搜索指定网段，如 8.8.8.8/24

        domain=“qq.com” ，搜索 QQ 的所有子域名

        host="qq.com" ，url 中带有 qq.com

        title="漏洞“ ，搜索 title 标题包含有“漏洞”

        body="管理后台" ，搜索 html 正文含有”管理后台“的关键字

六、网站指纹信息收集

1、操作系统探针

• 大小写：windows 不敏感      linux 敏感
• 通过端口： windows—80 IIS、3389 RDP       linux—22 ssh
• 通过 TTL 值 ：Windows—128     linux—64     Unix—255
• nmap    -O

2 、数据库类型探针

数据库类型：mysql、oracle、Microsoft sql server、 acces 、mariadb、mongoDB

• nmap
• 常见搭建组合：ASP+access 、php+mysql 、jsp+ms sql 、python+mongoDB
• 端口号：mysql—3306 、SqlServer—1433 、Oracle—1521

3 、中间件探针

中间件类型：数据库（管理和访问数据库）： MySQL Proxy 、 PostgreSQL PgBouncer

                     缓存（加速数据访问，减轻数据库负载）：Redis、 Memcached

                     Web 服务器（处理 HTTP 请求和响应）： Nginx 、 Apache 、 IIS

                     应用服务器（托管和管理应用程序的执行环境）：Tomcat、Jboss

• 端口：Nginx—80 443、Apache—80 443、IIS—80 443、Tomact—8080
• nmap、netcat

4 、脚本程序探针

5 、网站 CMS 指纹识别

类型： MetInfo( 米拓 ) 、 DedeCMS( 织梦 ) 、帝国 CMS 、 PHPCMS 、 cmstop 、 discuz 、

           phpwind、 wecenter 、 wordpress 、 Z-Blog等

• 手动识别：查看 HTTP 响应头的字段、分析 HTML 源代码、检查特定文件和路径
• 工具识别：WhatWeb、御剑、CmsVulScan
• 在线平台识别：BugScaner、云悉指纹识别
• 浏览器插件：Wappalyzer