信息收集是整个渗透测试最重要阶段之一,可任意让测试者选择合适和准确的渗透测试攻击方式,缩短渗透测试的时间,通常这个阶段占据整个渗透测试时间的40%~60%。
文章目录
前言
信息收集是整个渗透测试最重要阶段之一,可任意让测试者选择合适和准确的渗透测试攻击方式,缩短渗透测试的时间,通常这个阶段占据整个渗透测试时间的40%~60%。
最终能否成功渗透进入目标网络,很大程度上取决于测试者在这个阶段的工作成果。
一、信息收集
在渗透测试时,首先要做的事情就是进行信息的收集,俗称“踩点”。
渗透测试中“踩点”是指尽可能多的收集关于目标网络信息以找到多种入侵组织网络系统方法的过程。
当然,渗透测试的入侵是通过黑客的方式帮助网站找到薄弱点,以帮助其对网站的维护与整改。
踩点就是主动或被动获取信息的过程,而信息收集一般通过扫描来实现,通过扫描可以发现远程服务的各种端口、提供的服务及版本等信息。
情报搜集的工作可能会包含从网页中搜索信息、Google hacking、为特定目标的网络拓扑进行完整的扫描映射等。
情报搜集的目的是获取渗透目标的准确信息,以了解目标组织的运作方式,确定最佳的进攻路线。
这些工作往往需要较长的时间。
没必要对搜集的信息设定条条框框,即使起初看起来零零碎碎毫无价值的数据,都可能在后续工作中派上用场。
对于“踩点”的目的,分为四部分内容:
(1)了解安全架构
该公司使用了哪些安全设备,比如防火墙,WAF等一些硬件或软件的设备,防火墙的话使用的是哪个厂家的,哪个版本的,然后在之后的渗透中就可以针对该防火墙的一些薄弱点进行相对应的渗透,其他的安全设备也是同理;
该公司的网络安全人员或者是网络管理人员的配置等情况,如果该公司只配备有网站管理人员,而没有配备专门的网络安全工程师,那么就可通过一些比较隐秘的、具有迷惑性的方式来进行渗透测试;
该公司的规范制度是否完善,如果说某公司的安全制度并不是很完善,比如说机房没有严格的管理,任意人员都可随意进出机房,那么无论这家公司针对互联网做了多严密的防护措施,作用都几乎为零;
通过踩点后获得的目标公司的IP地址范围、网络、域名、远程访问点等信息,以便于在之后的渗透测试中缩小攻击的范围。
(2)缩小攻击范围
通过缩小攻击范围之后,就可确定哪些敏感数据面临风险,它们在哪里。
初步的‘踩点’是为了获得足够的信息,然后通过锁定那些敏感数据,以及易受攻击的点,以便于针对性的进行攻击渗透,而非通过大范围的攻击,费时费力。
(3)建立信息数据库
(4)绘制网络拓扑
渗透测试人员在对渗透目标有了充分的了解之后,就能够绘制出该公司的网络拓扑图,然后可通过这个网络拓扑图,进行分析,找到最容易进行入侵的攻击路径。
二、信息收集的内容
1.被动收集的类型
分为被动收集和主动收集
被动信息收集:利用第三方的服务对目标进行访问:Google搜索、Shodan搜索、其他综合工具,被动信息收集是指尽可能多地收集与目标相关的信息
主动信息收集:通过直接扫描目标主机或者网站,主动方式能获取更多的信息,目标系统可能会记录操作信息
2.需要收集的信息
我们要收集相关域名的信息,比如域名注册人,联系方式,邮箱,子域名,c段,旁站等;以及目标服务器的相关信息:版本,内核,它使用的是什么中间件,使用的什么数据库,开放了哪些端口和服务,我们还需要收集目标是什么样的一个CMS系统,或者使用什么样的框架,因为不同的CMS系统、框架都存在着已知的漏洞,利用漏洞进行渗透攻击。
3.信息收集顺序
首先可进行被动收集,确定网络范围内目标,与目标相关的人员的邮箱,地址等信息;
然后在选择出重点渗透的目标,在针对性的进行主动信息收集。
三、信息收集涉及的技术
ip资源收集的相关技术
1,cdn判断
先判断有无cdn,有两种办法
(1)使用站长之家超级ping https://ping.chinaz.com/
https://ping.aizhan.com/
有多个ip,说明有多个cdn节点
https://www.17ce.com这个网站也可以查看
(2)nslookup域名,看是否会有很多节点
(3)有时ping可以直接发现存在cdn
2,有cdn,绕过cdn
很详细的cdn绕过总结
(1)子域名查询:有的网站主域名会做CDN,但是子域名可能不会做,可根据子域名的IP信息来辅助判断主站的真实IP地址
(2)内部邮箱源:我们访问别人,可能通过CDN,但别人访问我们通常不会走CDN。(但注意,必须是自己的邮箱,第三方或公共邮件服务器是没用的。
(3)国外地址请求:大部分 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的DNS查询,很可能获取到真实IP。
通过国外在线代理网站:http://host-tracker.com/
https://ping.aizhan.com/可看国际
通过https://get-site-ip.com/这个网站可进一步确定哪个是真实ip(不过也只能作为参考)
如果国外访问也存在多个ip,那要通过别的方法,下面有
(4)查询域名的解析记录
https://viewdns.info/iphistory/
从这里其实就可以得出www.xueersi.com这个网站的真实ip是xueersi.com 两个ip的其中一个(这其实也是因为配置不当的原因可以看出)
在配置CDN的时候,需要指定域名、端口等信息,有时候小小的配置细节就容易导致CDN防护被绕过。
案例1:为了方便用户访问,我们常常将www.test.com 和 test.com
解析到同一个站点,而CDN只配置了www.test.com,通过访问test.com,就可以绕过 CDN 了。
案例2:站点同时支持http和https访问,CDN只配置 https协议,那么这时访问http就可以轻易绕过。
(5)扫描网站测试文件,敏感文件泄露,例如:phpinfo,test
通过phpinfo信息泄露寻找真实IP,phpinfo的server_addr记录了服务器的真实IP
(6)ssl证书查询
https://censys.io
假如你在xyz123boot.com上托管了一个服务,原始服务器IP是136.23.63.44。 而CloudFlare则会为你提供DDoS保护,Web应用程序防火墙和其他一些安全服务,以保护你的服务免受攻击。为此,你的Web服务器就必须支持SSL并具有证书,此时CloudFlare与你的服务器之间的通信,就像你和CloudFlare之间的通信一样,会被加密(即没有灵活的SSL存在)。这看起来很安全,但问题是,当你在端口443(https://136.23.63.44:443)上直接连接到IP时,SSL证书就会被暴露。
此时,如果攻击者扫描0.0.0.0/0,即整个互联网,他们就可以在端口443上获取在xyz123boot.com上的有效证书,进而获取提供给你的Web服务器IP。
目前Censys工具就能实现对整个互联网的扫描,Censys是一款用以搜索联网设备信息的新型搜索引擎,安全专家可以使用它来评估他们实现方案的安全性,而黑客则可以使用它作为前期侦查攻击目标、收集目标信息的强大利器。Censys搜索引擎能够扫描整个互联网,Censys每天都会扫描IPv4地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。
而攻击者唯一需要做的就是把上面用文字描述的搜索词翻译成实际的搜索查询参数。
xyz123boot.com证书的搜索查询参数为:parsed.names:xyz123boot.com
只显示有效证书的查询参数为:tags.raw:trusted
攻击者可以在Censys上实现多个参数的组合,这可以通过使用简单的布尔逻辑来完成。
组合后的搜索参数为:parsed.names: xyz123boot.com and tags.raw: trusted
Censys将向你显示符合上述搜索条件的所有标准证书,以上这些证书是在扫描中找到的。
要逐个查看这些搜索结果,攻击者可以通过单击右侧的“Explore”,打开包含多个工具的下拉菜单。What’s using this certificate? > IPv4 Hosts
此时,攻击者将看到一个使用特定证书的IPv4主机列表,而真实原始 IP就藏在其中。
你可以通过导航到端口443上的IP来验证,看它是否重定向到xyz123boot.com?或它是否直接在IP上显示网站?
使用给定的SSL证书
如果你是执法部门的人员,想要找出一个隐藏在cheesecp5vaogohv.onion下的儿童色情网站。做好的办法,就是找到其原始IP,这样你就可以追踪到其托管的服务器,甚至查到背后的运营商以及金融线索。
隐藏服务具有SSL证书,要查找它使用的IPv4主机,只需将"SHA1 fingerprint"(签名证书的sha1值)粘贴到Censys IPv4主机搜索中,即可找到证书,使用此方法可以轻松找到配置错误的Web服务器。
https://crt.sh/
验证获取的ip:
(1)直接尝试ip访问
(2)如果目标段比较大的情况下,可以使用masscan的工具批扫描对应开了80、443、8080端口的ip,然后尝试ip访问,观察响应结果是否为目标站点
3,C段和旁站扫描
(1)概念
C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
旁站指的是同一服务器上的其他网站,很多时候,有些网站可能不是那么容易入侵。那么,可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell,然后再提权拿到服务器的权限,最后就自然可以拿下该网站了。
(2)在线查询
http://www.webscan.cc //查旁站
https://c.webscan.cc/
https://fofa.info/ 查c段
(3)工具
nmap
nmap -sV -p 1-65535 ip //扫旁站
nmap -sn ip/24 //扫C段
k8Scan,Ladon
域名发现
1,子域名信息收集
子域名是在域名系统等级中,属于更高一层域的域。比如,mail.example.com和calendar.example.com是example.com的两个子域。
企业可能有多个、几十个甚至很多的子域名应用。由于子域名数量多,且企业在人员和防护的投入可能会没有主站及时。攻击者在主站域名找不到突破口时,就可进行子域名的信息收集,然后通过子域名的漏洞进行迂回攻击。
域名类别
(1)渗透测试工具之Layer子域名挖掘机
(2)子域名枚举工具OneForAll
(3)搜索引擎发现子域
服务器与人力资源情报
(1)利用nmap
检测目标主机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。 进行服务器版本识别,操作系统识别。
(2)whois
Whois是用来查询域名的IP以及所有者等信息的传输协议。
Whois是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商),通过whois来实现对域名信息的查询。
站长之家进行查询,查询域名的所有人、注册商等相关信息,查询的地址为:
http://tool.chinaz.com/ipwhois
利用https://who.is/进行Whois信息查询
(3)社会工程学
(4)利用客服进行信息收集,官方联系方式,招聘信息收集
网站关键信息收集
(1)指纹识别
企业或者开发者为了能够提高开发效率,很多都使用已有的CMS(Content Management
System,内容管理系统)或者在此基础上做二次开发。CMS种类繁多,开发者水平参差不齐,导致CMS漏洞一度成为Web渗透的重灾区。
(2)指纹识别工具
Wappalyzer指纹识别工具
Wappalyzer是一个开源的跨平台实用程序,可发现网站指纹,能够识别1200多种不同的Web技术。它可以检测CMS系统、Web框架、服务器软件等。
云悉指纹识别
https://www.yunsee.cn/
总结
学习小结,信息搜集还有很多很多,后面再更新!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
