⚡️Web 渗透测试之信息收集姿势大赏(内行干货)⚡️
1️⃣、信息收集?这玩意儿可比你想象的有料!
信息收集
信息收集,堪称渗透测试的“开胃菜”,也是整个流程里最勾人心弦的环节!在这个阶段,咱们得化身“情报狂魔”,使出浑身解数,尽可能多地扒出目标组织的各种小秘密。正所谓“知己知彼,百战不殆”,对测试目标了解得越透彻,渗透测试就越像开了挂一样顺畅!
常见的信息收集都有啥?
子域名查询、Whois 信息挖掘、IP 段“扫荡”、开放端口“侦察”、目录“寻宝”、指纹识别、旁站和 C 段“摸底”、敏感文件和目录“深扒”、WAF“探查”、整站分析(操作系统是 Linux 还是 Windows?Web 容器是 Apache、Nginx、Tomcat 还是 IIS?数据库是 MySQL、SQL Server、Access 还是 Oracle?脚本类型是 PHP、JSP、ASP/ASPX 还是 Python?)
信息收集的骚操作
主动信息收集:就像你直接去撩妹/撩汉,通过直接访问、扫描网站,流量会流经第三方网站,留下你的“足迹”。
被动信息收集:这招更像是“暗中观察”,利用 Google 搜索、FOFA 等第三方服务来“窥探”目标网站,神不知鬼不觉!
2️⃣、域名信息收集:扒开网站的“老底”!
啥是域名?
域名嘛,说白了就是互联网上网站的“门牌号”,也就是网站网址的名字。这些名字由一串字符组成,通常以“.com”、“.net”、“.cn”等结尾,洋气得很!
域名由一堆英文字母和数字组成,中间用“.”隔开,形成独一无二的“身份ID”,比如 a.baidu.com。
域名系统又是啥?
域名系统(Domain Name System,简称 DNS)可是互联网的“中枢神经”!它能把域名和 IP 地址“牵线搭桥”,实现双向映射,就像一个超级智能的“通讯录”。有了它,咱们上网冲浪就更方便啦,再也不用去记那些又臭又长的 IP 地址了!而且,域名系统还提供域名注册、域名解析等服务,简直不要太贴心!简单来说,它就是一个把域名翻译成 IP 地址的“翻译官”。
域名解析
域名这玩意儿,就是为了方便大家记忆而搞出来的一套“暗号”。但要想在互联网上找到服务器,最终还得靠 IP 地址。域名解析就是把域名重新转换成 IP 地址的过程,这事儿由 DNS 服务器来搞定。
子域名收集:扩大你的“狩猎范围”!
啥是子域名?
收集子域名,目的就是为了搞到更多的“家底”!子域名,也叫二级域名,就是顶级域名下面的那些“小弟”,比如 a.baidu.com。
为啥要收集子域名?
如果目标的“地盘”太大,直接从主域下手,那简直是“自讨苦吃”!一般来说,主域都是“重点保护对象”,防御严密得很。这时候,咱们就可以玩一招“曲线救国”,先溜进目标的某个子域,然后再想办法迂回接近“大Boss”!
1、域名“挖掘机”大比拼
Layer 子域名挖掘机、subDomainsBrute、OneForAll、dnsmaper、K8、wydomain、Sublist3r、Maltego 等
Layer 子域名挖掘机
这工具江湖人称“断网挖掘机”,咱们就简单认识一下,知道有这么个玩意儿就行。
subDomainsBrute
SubDomainsBrute,这名字听起来就够猛!它是一款子域名爆破工具,简单粗暴,就是用字典里的各种组合去尝试,然后通过 DNS 解析来判断是不是“真货”。
在 Kali 中使用:
下载:git clone https://github.com/lijiejie/subDomainsBrute.git
使用:python3 subDomainsBrute.py -t 10 域名 (-t 参数用来指定线程数量,加个速!)
2、在线工具集:一站式“情报站”!
- 1 DNSdumpster: https://dnsdumpster.com/
- 2 潮汐指纹识别:http://finger.tidesec.com/
- 3 站长工具: http://tool.chinaz.com/subdomain/
- 4 在线子域名爆破:http://z.zcjun.com/
3、在线子域名查询:搜索引擎也来凑热闹!
1、FOFA 搜索子域名
地址:https://fofa.info
语法:domain="bilibili.com" ("bilibili.com" 换成你要查的域名)
2、搜索引擎“骚操作”
用 Google 语法 site:bilibili.com 就能查到!(把 “bilibili.com” 换成你想查的域名)
Whois 信息收集:挖出域名的“前世今生”!
啥是 Whois?
Whois,这玩意儿是用来查询域名、IP 地址以及域名所有者等信息的“协议”。你可以用它来查域名有没有被注册,还能查到域名注册的详细信息,比如域名所有人、域名注册商等等。
为啥要收集 Whois 信息?
通过 Whois 收集,能搞到域名注册者的姓名、手机号、邮箱地址等信息。一般来说,中小型网站的域名注册者就是网站管理员,这时候就可以试试“社工”、套路,或者查查他是不是还注册了其他域名,扩大你的“攻击面”!
Whois 信息收集重点关注:注册商、注册人、邮箱、DNS 解析服务器、注册人联系电话。
Web 接口查询:动动手指,信息到手!
常见的信息收集网站包括:
- Whois 站长之家:http://whois.chinaz.com
- 国外 Whois:https://www.whois.com
- 微步在线:https://x.threatbook.cn/
- 阿里云中国万网:https://whois.aliyun.com/
- Whois Lookup 查找目标网站所有者信息:http://whois.domaintools.com/
- Netcraft Site Report 显示目标网站使用的技术:http://toolbar.netcraft.com/site_report?url=
- Robtex DNS 查询显示关于目标网站的全面的 DNS 信息:https://www.robtex.com/
- 全球 Whois 查询:https://www.whois365.com/cn/
- 站长工具爱站查询:https://whois.aizhan.com/
- 爱站网 ping 检测\IP 反查域:https://dns.aizhan.com/
备案信息查询:看看网站有没有“身份证”!
网站备案,就是根据国家法律法规,网站所有者需要向有关部门申请备案。这是国家信息产业部对网站的一种管理,主要是为了防止有人在网上搞事情。主要针对国内网站,如果网站搭在国外,那就不用备案了。
IPC 备案查询方法包括:
- http://icp.chinaz.com/
- https://www.beian88.com/
- https://www.tianyancha.com/
- http://www.beianbeian.com/
- 以及企查查、天眼查、小蓝本等,可以查到更多信息哦!
域名反查 IP 站长工具:https://ip.tool.chinaz.com/
3️⃣、CDN 信息收集:揪出网站的“幕后推手”!
啥是 CDN?
CDN 就是“内容分发网络”,说白了就是一堆“缓存服务器”,它们分布在各地,存储着网站的静态资源(比如图片、CSS、JS 文件等)。当用户访问网站时,CDN 会自动选择离用户最近的服务器,把内容“嗖”的一下送到用户眼前,这样网站的响应速度就快多了,用户体验也更棒!
从图中可以看到,如果没有 CDN,那我们得到的 IP 应该就是网站服务器的“真身”。但如果有了 CDN,我们得到的 IP 可能就是 CDN 服务器的地址了。
如何检测网站有没有用 CDN?
1、多地点 Ping:让网站“原形毕露”!
2、Ping 和 ip138 强强联手,让 CDN 无所遁形!
如果 Ping 和 ip138 查到的 IP 地址一样,那基本就没用 CDN。反之,嘿嘿嘿……
3、nslookup 命令:火眼金睛辨真伪!
nslookup(Name Server Lookup)是一种网络管理命令,可以用来查询 DNS 服务器的域名、IP 地址等信息。
绕过 CDN 查找真实 IP 地址:斗智斗勇的时候到了!
- 内部邮箱:一般来说,邮件系统都在公司内部,没经过 CDN。可以通过注册或者 RSS 订阅收到的邮件来查找。(前提是目标用的是自己的邮件服务器!)
- 子域名:一般网站的主站访问量大,需要挂 CDN,而子站可能就没那么“金贵”了。https://ping.chinaz.com/
- 国外访问:国内的 CDN 一般只针对国内用户,国外的嘛,就不好说了。https://tools.ipip.net/cdn.php
- 查询历史 DNS 记录:看看 IP 地址和域名的绑定历史记录,说不定能找到用 CDN 之前的记录呢!https://viewdns.info/
- 国外查 IP:https://get-site-ip.com/
4️⃣、端口扫描:打开网站的“隐藏入口”!
啥是端口?
端口就像是计算机或其他设备与外界“沟通”的“窗口”。它可以是物理上的连接点(比如 USB 端口),也可以是逻辑上的抽象概念(比如 TCP/IP 协议中的端口,像网页浏览常用的 80 端口、21 端口、23 端口等)。
计算机有 0-65535 个端口,简直就是一个“千疮百孔”的家伙!
为啥要进行端口探测?
有些端口“门户大开”,很危险!咱们可以尝试“入侵”,比如 445、3306、22、3389、6379 端口,可以利用这些端口存在的漏洞服务来“搞事情”,或者试试爆破。
常见的端口
| 端口号 | 端口说明 |
|---|---|
| 22 | SSH 远程连接 |
| 23 | Telnet 远程连接 |
| 3389 | 远程桌面连接 |
| 3306 | MySQL 数据库 |
| 1521 | Oracle 数据库 |
| 6379 | Redis 数据库 |
| 25 | SMTP 邮件服务 |
| 80/443/8080 | 常见的 Web 服务端口 |
| 53 | DNS 域名系统 |
端口探测方法
Nmap:网络扫描神器!
Nmap(Network Mapper)是一款开源免费的端口扫描工具,专门对付大型网络。它能检测目标主机是否在线、主机端口开放情况、检测主机运行的服务类型及版本信息、检测操作系统与设备类型等,简直就是网络世界的“侦察兵”!
Nmap 主要功能
- 检测主机是否在线
- 扫描指定主机/主机列表端口开放状态
- 检测主机运行服务类型及版本等等
Zenmap:Nmap 的“颜值担当”!
| 指令 | 用法 |
|---|---|
namp url/ip | 最常用的扫描指令,简单粗暴! |
nmap –p 80,22 url/ip | 自定义想扫描的端口,想扫哪几个就扫哪几个! |
nmap –p 1-255 url/ip | 自定义扫描的端口范围,想扫多大范围就扫多大范围! |
nmap –r url/ip | 随机扫描端口,看运气的时候到了! |
nmap –O –fuzzy url/ip | 推测操作系统,让目标“坦白”自己的身份! |
nmap -sV url/ip | 版本探测,看看目标运行的都是些啥版本的服务! |
nmap -A -T4 url/ip | -A 选项启用了操作系统检测 (-O) 和版本扫描 (-sV),-T4 使用时间模板 4,加快扫描速度!这个组合拳,够猛! |
在线工具扫描:懒人必备!
站长工具 https://tool.chinaz.com/port/
5️⃣、目录扫描:找到网站的“秘密通道”!
在渗透测试中,探测 Web 目录结构和隐藏的敏感文件,这可是“必修课”!通过这一步,咱们可以找到网站的后台登录、文件上传等重要页面,甚至可能扫出网站的源代码,然后就可以进行“白盒审计”了!
目录扫描工具
御剑、Dirsearch、AWVS、DirBuster、dirmap、Webdirscan
6️⃣、指纹识别:给网站“验明正身”!
指纹识别介绍
每个网站都有自己的“特征”,咱们可以通过网站 CMS 识别、计算机操作系统识别以及 Web 容器识别来“识别”网站。
指纹识别的目的
在渗透测试中,对目标服务器进行指纹识别,找出它用的 Web 容器或者 CMS,才能找到相关的漏洞,然后利用这些漏洞来“搞事情”!
CMS 介绍
CMS(Content Management System)也叫整站系统或文章系统,用来管理网站内容。内容管理系统 = 快速搭建网站的“积木”。因为这些 CMS 是开源的,可能存在“通杀”漏洞。如果网站是用 CMS 搭建的,咱们就可以用“通杀”漏洞来“一招制敌”!
常见的 CMS
DedeCMS(织梦)、PHPCMS、帝国 CMS、ShopEx、ECShop、PHPWind、Discuz
指纹识别方法
线上识别:足不出户,搞定一切!
- 微步社区:https://x.threatbook.cn/
- 潮汐识别:http://finger.tidesec.com/
- 云悉指纹:https://www.yunsee.cn/
- Wappalyzer 插件:https://www.wappalyzer.com/
- WhatWeb:https://www.whatweb.net/
- 测试网站:http://www.superwing.com.cn/ 识别 CMS
GitHub 上的“神器”:
- Webfinger 指纹识别,2000+ 条指纹数据 https://github.com/se55i0n/Webfinger
- CMSeek,超过 170 个 CMS 的基本 CMS 检测 https://github.com/Tuhinshubhra/CMSeek
常见工具
WhatWeb 网站探测,Kali 自带的“神器”!
whatweb http:域名/IP
Wappalyzer 浏览器插件工具
7️⃣、旁站扫描:顺藤摸瓜,找到更多“猎物”!
“旁站”一般指同一 IP 地址或者域名在同一台服务器上的其他网站,目的就是为了找到更多的“资产”。
旁站,就是找和目标网站在同一台服务器下的某个网站。同服务器就意味着 IP 地址相同,所以只要找到 IP 地址相同的网站就行了。它们不一定是同一家公司的哦!
通过在线工具来查询旁站
- 站长之家同 IP 查询:https://stool.chinaz.com/same
- Wenscan:https://www.webscan.cc/
8️⃣、C 段嗅探:扩大“战果”!
啥是 C 段?
IP 地址有四个段,分为 A、B、C、D 段。比如说 192.168.0.1,A 段是 192,B 段是 168,C 段是 0,D 段是 1。
啥是 C 段嗅探?
拿下目标服务器同一 C 段中的其他服务器,也就是说拿下 D 段 1-255 中的一台服务器。比如说,192.168.0.1 这台主机搞不定,那就试试从 C 段入手,探测 192.168.0.2-255 下存在的主机,然后进行渗透。
C 段:同网段不同服务器的渗透方案,更多的是针对内网的渗透。
Nmap 扫描
nmap -sn -PE -n ip/24
-sn 不扫描端口
-PE ICMP 扫描(Ping 服务器的时候就是用的 ICMP 协议)
-n 不进行 DNS 解析
FOFA
https://fofa.info/
ip="ip/24"
9️⃣、敏感内容泄露:小心驶得万年船!
敏感信息包括但不限于:口令、密钥、证书、会话标识、License、隐私数据、授权凭据、个人数据等、程序文件、配置文件、日志文件、备份文件、敏感路径等。
robots.txt
robots 文件写了“反爬虫”策略,介绍了可以爬取的路径和不能爬取的路径。那么,这里面可能就藏着“猫腻”,比如后台、备份文件路径等等。
目录浏览
目录浏览(目录遍历)漏洞,是因为网站配置有缺陷,存在目录可浏览漏洞。这会导致网站很多隐私文件和目录泄露,比如数据库备份文件、配置文件等。攻击者利用这些信息,可以更容易地“拿下”网站权限,导致网站“沦陷”。
备份文件泄露
网站遗留的过时文件、备份页面、开发文件残留的测试文件等。一旦泄露,测试人员可以通过分析确定网站的大体结构,甚至推算出网站源代码。比如,SQL 备份文件会直接泄露用户数据、密码等信息。
报错页面敏感信息泄漏
服务器代码信息、数据库连接信息、泄露物理路径、泄露网站源代码
物理路径泄露
物理路径泄露本身问题不大,但如果网站存在漏洞,通过 SQL 注入、上传等方式写入 WebShell 时,它就“派上用场”了。比如,在用 SQLMap 获取 Shell 时,前提条件就是有权限,并且知道绝对路径。
黑客/网络安全学习包
资料目录
-
成长路线图&学习规划
-
配套视频教程
-
SRC&黑客文籍
-
护网行动资料
-
黑客必读书单
-
面试题合集
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
1.成长路线图&学习规划
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
2.视频教程
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享
3.SRC&黑客文籍
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦!
4.护网行动资料
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
5.黑客必读书单
**
**
6.面试题合集
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
更多内容为防止和谐,可以扫描获取~
因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
