渗透测试之信息收集知识点讲解

web安全之信息收集基础

信息收集概述和目的

• “知己知彼，百战不殆；不知彼而知己，一胜一负；不知彼，不知己，每战必殆。”——《孙子·谋攻篇》
• 信息收集的方式有2种：主动和被动
• 被动信息收集是指利用第三方服务队目标进行访问了解，eg：谷歌搜索
• 主动信息收集是指通过直接访问，扫描网站，这种将流量流经网站的行为，eg：nmap扫描端口。
• 被动扫描的目的：通过公开渠道，去获取目标主机的信息，从而不与目标系统直接交互，避免留下痕迹。

信息搜集内容：

• 攻击对象:目标的名称和域名
• 目标网络位置：IP地址、DNS服务器、外部网络拓扑结构；
• 真实世界中的对应物：公司注册信息、组织结构、电话号段、网络或安全管理员及联系方式、地理位置等，以便开展实施社工和物理攻击；
• 网络地图：活跃主机IP、操作系统类型、开放的端口与运行的网络服务类型，以及存在的安全漏洞；
• 更详细的信息:包括用户帐户、共享资源、网络服务配置、内部开拓、外部网络连接方式和链路、防火墙端口过滤和访问控制配置状况、身份认证和访问控制机制、加密机制等。

一、域名挖掘

• 子域名在线信息收集

  1. 谷歌语法搜索

   site:指定网站
   filetype:指定文件类型
   inurl:?id=		搜索网址中带有特定的参数		可能存在注入
   intitle:后台	   搜索网站标题存在特定的关键字			  后台页面
   intext:搜索网站正文存在特定关键字的网页		
   -keyword  : 强制结果不要出现关键字
   *keyword  ：模糊搜索
   "keyword" : 强制搜索结果出现关键字
  

  2. 在线网站查询

  (1)在线dnsdumpster网站搜索
  https://dnsdumpster.com/
  (2)站长之家
  https://tool.chinaz.com/subdomain
  (3)在线二级域名子域名查询
  http://tools.bugscaner.com/subdomain/?domain
  (4)在线子域名搜索光速接口版
  http://sbd.ximcx.cn/				#目前好像使用不了
  https://phpinfo.me/domain
  (5)DNSDB
  https://dnsdb.io/zh-cn/				# type: A记录
  (6)子域名收集网
  http://www.hacker.wang/tool.php
  

  子域名搜索：
  http://sbd.ximcx.cn/?#
  http://ce.baidu.com/index/getRelatedSites?site_address=baidu.com
  http://tool.chinaz.com/subdomain
  https://dnsdumpster.com
  https://viewdns.info/
  https://spyse.com/target/domain/sina.com/subdomain-list
  https://pentest-tools.com/information-gathering/find-subdomains-of-domain#
  https://phpinfo.me/domain
  http://dns.aizhan.com
  https://url.fht.im/
  securityTrails平台
  

  cms识别：
  http://whatweb.bugscaner.com/look/
  http://www.yunsee.cn/finger.html
  https://www.godeye.vip/index/
  http://sso.tidesec.com/index.php?m=index&a=nav
  Whatweb本地扫描
  

---

子域名工具查询

1. 子域名挖掘机

   域名暴力枚举 dic.txt域名字典

 ------

2. sublist3r

   该工具会搜索多个数据源，同时该工具也支持暴力枚举

   需要python环境

   github地址：

   GitHub - aboul3la/Sublist3r: Fast subdomains enumeration tool for penetration testers

   #命令举例：python3 sublist3r.py -d ckteam.top -b -v -o ~/ckteam.top.txt
   -d : 指定域名
   -v : 详细信息
   -b : 暴力破解
   -o : 将结果保存到指定文件
   

---

手机站点

情况一：手机网站和PC网站完全不一样

情况二：手机网站和PC网站一样可以自适应

注意：手机版网站一般 前缀 m.xxx.xx eg: m.baidu.com m.17173.com

---

二、目录信息收集

• 站点目录爬取

  appscan

---

awvs-10.5

---

burpsuite

使用burpsuite扫描站点时，需要先使用代理/拦截

---

站点目录爆破

御剑系列

---

---

dirbuster——kali上集成了这款工具

利用谷歌语法发现关键目录信息

(1)搜索可能存在上传页面（也可以是别的等等）
inurl:upload site:指定网站
(2)搜索后台页面
eg:   intilte:后台 site:tflamps.com
intitle:后台	site:指定网站 
inurl:
	一般默认的后台和常用的后台index
	/admin/ 或  /login/	 /system/  /manage/ /guan/
	如果后台目录下是index开头，就不用猜解对应的文件名，如若不是就需要进行猜解文件名，如：
	/admin/loig.php		/admin/admin_admin.php   	/admin/loginlogin.php
(3)搜索可能存在注入的页面
特征：?id= ?cid=
inurl:?id= site:指定站点
(4)搜索文件可能存在包含的页面
特征：?file: ?page=:
inurl:?file= site=

robosts.txt爬虫协议文件

robots是网站跟爬虫间的协议，用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限，也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件
当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面