渗透测试——信息收集思路

信息收集

IP地址比域名更容易做渗透测试

域名与 IP

通过域名获取IP

ping testfire.net
1

OSINT

OSINT即开源情报收集，是指从媒体、网络、官方渠道等平台，整理一些公开的数据资料，形成系统性情报信息的过程。

它分为主动和被动两种采集方式，被动采集即利用第三方平台进行收集信息，如shodan、fofa、censy3等，优点在于查询成本低、行为比较隐蔽：而主动扫描需要与目标进行交互，存在一定的风险，但可以获取到更新、更多样化的数据。

CDN

CDN（Content Delivery Network）是一个分布式网络系统，旨在通过将内容缓存到位于全球各地的多个服务器上，提供高效、可靠的内容传输和分发服务。

CDN 的工作原理是将网站、应用程序或其他在线内容复制到位于各个地理位置的服务器节点上。这些服务器节点被称为边缘节点，它们位于网络的边缘，靠近用户所在的地理位置。当用户请求访问某个内容时，CDN 系统会自动根据用户的地理位置选择最近的边缘节点来提供该内容，以降低延迟和提高加载速度。

CDN的作用

1、提高用户访问速率，优化用户使用体验。

2、隐藏真实服务器的IP。

3、防御功能，访问请求会先经过CDN节点的过滤，该过滤可对SQL注入、XSS、Webshell上传、命令注入、恶意归描等攻击行为进行有效检测和拦截。CDN节点将认为无害的数据提交给真实的主机服务器。

如何检测是否存在CDN

多地ping，是否存在多个IP

nslookup www.baidu.com

CDN 绕过

https://tools.ipip.net/cdn.php

多地Ping

如果多地ping的ip不一样，说明具有CDN

站长工具：

• https://ping.chinaz.com/

• https://www.itdog.cn/ping/

邮件服务器

邮件测试（一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件，寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，就可以获得目标的真实IP(必须是目标自己的邮件服务器，第三方或者公共邮件服务器是没有用的）。） ，总的来说就是通过获取邮件服务器的Ip，就相当于目标服务器的IP。

很多情况下邮件服务器和Web服务器在同一台主机上。

foxmall客户端 Foxmail for Windows

子域名

为什么要收集子域名？因为我们获取的第一个资产往往是一个主站，范围太小了，几乎很难找到漏洞，我们就需要通过他的子域名去挖掘，因为很多子域名也是属于这个厂商的，而且子域一般安全防范做的相对来说不高，所以需要进行子域名收集，扩大挖掘广度。

一般都是对主站进行使用CDN，子域名不需要，所以可以通过子域名来找到真实的IP

1. 与主域名在同一台服务器上。
2. 与主域名一个网段

子域名爆破，查询子域名IP地址

子域名查询网站

https://site.ip138.com/

真实IP寻找

域名查找IP：

• https://get-site-ip.com/

• http://crimeflare.org:82/cfs.html

如果更换了CDN，但是历史的DNS会被记录下来，除非服务器进行了更换。在电脑上的高速缓存上记录着域名和IP的对应关系。

国外地址请求

因为很多的企业没有在国外部署CDN，要是用国外的地址请求、就容易找到他的真实地址。

查找老域名

网站换了个新的域名，但是老域名的映射关系没有解除。

查找关联域名

.com

.cn

.org

信息泄露/配置文件

• phpinfo.php在源服务器上执行。

• 网页源码

  • 有可能在代码中有链接地址

• 前端代码

  • 有可能在代码中有链接地址

• Shodan/fofa/zoomeye

  • Shodan
  • FOFA网络空间测绘系统
  • ZoomEye

网站漏洞

SSRF

命令执行

SQL注入

DNS记录，证书

1. 通过https网址旁边的url的锁，查看证书，可以发现相关的子域。

2. https://crt.sh/

3. Censys查询SSL证书找到真实IP

https://search.censys.io/

Censys 是一个互联网搜索引擎和安全分析平台，旨在帮助用户发现和理解网络上的设备、服务和漏洞。它通过主动扫描和收集全球范围内的互联网数据，并提供给用户进行搜索和分析。

域名历史

微步

m.baidu.com 这里的 m. 是面向手机的，只是域名上的不同

搜索引擎语法

Google hacking：可以找特殊的页面

site：		# 限制搜索范围为某一网站，例如：site:baidu.com "admin" 可以搜索baidu.com网站上包含关键词“admin”的页面。
    
inurl：		# 限制关键字出现在网址的某个部分，例如：inurl:php?id= 可以搜索网址中包含php?id=的页面。
    
intitle：	# 限制关键字出现在页面标题中，例如：intitle:index of / 定位网站目录索引页面。
    
filetype：	# 限制搜索特定文件类型，例如：filetype:pdf site:example.com 可以搜索example.com网站上的pdf文件。
    
cache：		# 查看Google对某个页面的快照，例如：cache:example.com 查看Google对example.com的快照。
1
2
3
4
5
6
7
8
9

site

• 找子域名，例如：site.baidu.com

  

• 限定地点

  • site.tw site.jp

更多资料

• https://ght.se7ensec.cn/#

• https://github.com/KOrz3n/GoogleHacking-Page

WHOIS

域名Whois查询 - 站长之家 (chinaz.com)

域名的whois信息可以提供以下作用：

• 确认域名的所有者、注册商、注册日期和到期日期等基本信息。

• 了解域名的注册历史，对于判断一个域名的可信度和信誉程度有很大帮助。

• 判断一个域名是否正在被使用及其使用方式，是否涉及到滥用、欺诈等问题。

可以通过whois信息获得自己的域名信息，及时检查域名是否即将到期，避免域名失效带来的影响。

https://viewdns.info/

端口对外开放情况

Nmap

Nmap是一个网络连接端口扫描软件，用来扫描网上电脑开放的网络连接端口。确定哪些服务运行在哪些连接端口，并且推断计算机运行哪个操作系统。

-sS:	# 进行TCP SYN(半开放式)扫描。这是一种常用的扫描方式，通过发送TCP SYN包，判断目标主机的端口是否开放。

-sT:	# 进行TCP连接扫描。这种扫描方式也是基于TCP,通过建立TCP连接，判断目标主机的端口是否开放。

-sU:	# 进行UDP扫描，UDP是一种无连接的协议，因此不能像TCP一样建立连接来确定目标主机的端口是否开放。这种扫描方式需要发送UDP数据包，通过响应的数据包判断端口是否开放。

-o:		# 进行操作系统信息探测。通过使用不同的特征扫描目标主机，判断其使用的操作系统。

-p:		# 指定瑞口扫描范围。可以指定端口范围、单个端口或多个离散的端口。

-A:		# 激活“操作系统指纹识别”、“版本检测”、“脚本扫描”等高级扫描选项。

-sV:	# 进行服务版本检测。这种扫描方式可以探测出目标主机运行的具体服务以及其版本号。

-T:		# 设置扫描速度。可以设置不同的速度等级，以适应不同的扫描环境。速度级别从0到5,级别越高，扫描速度越快，但也越容易被防火墙拦截
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

网站的三种部署模式

主域名与子域名的方式
a.com 1.a.com：切换不同的域名切换不同的网站

目录
a.com/admin/：切换不同的目录实现网站之间的切换

端口
a.com:8080：域名加不同的端口号实现不同的页面显示

网站架构/服务器指纹/CMS识别

网页源代码

请求头响应头

网站底部，顶部，左上角右上角

网站报错信息

域名install

CMS漏洞

CMS网站模板

• https://github.com/s7ckTeam/Glass
• https://github.com/EdgeSecurityTeam/EHole

定位版本对应已知漏洞检查

CMS未知漏洞挖掘

显示网站使用的技术

• Firefox插件 Wappalyzer

• https://whatcms.org/

• https://builtwith.com/

备案信息资产收集

备案信息资产收集

• 站长之家：https://icp.chinaz.com

• 天眼查：https://www.tianyancha.com/

• 企查查：企查查

• 爱企查：爱企查

• ICP备案查询网：http://www.beianbeian.com/

• 爱站备案查询：https://icp.aizhan.com/

• 域名助手备案信息查询：http://cha.fute.com/index

同 IP 网站

IP反查

渗透测试时发现同一IP下装订了多个网站，而客户提供的资产形式就是这个IP，就证明所有的域名都在测试的范围之内。

如果说客户给的资产是域名，那么这个域名对应的IP下如果还有其他网站，这些网站都不在测试的范围之内。

子域名

gobuster

fofa：FOFA网络空间测绘系统

通过https网址旁边的url的锁，查看证书，可以发现相关的子域。

同样架构或源码的网站

如果A公司的网站很难攻破，但是发现该A公司网站是由B公司提供的，B公司的业务就是给其他公司写业务模板的，那么我们可以从B公司进行突破，找到B公司的网站的模板进行审计。

C 段收集

旁站：是和目标网站在同一台服务器上的其它的网站。

旁注：通过入侵安全性较差的旁站，之后可以通过提权跨目录等手段拿到目标服务器的权限。

工具：K8_C段旁注工具、WebRobot、御剑、明小子 …

C段：每个IP有ABCD四个段，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务。比如192.168.3.0-255的设备都处于同一个c段。

C段入侵：目标ip为192.168.1.128，可以入侵192.168.1.*的任意一台机器，然后利用一些黑客工具嗅探获取在网络上传输的各种信息。

工具：Cain、Sniffit 、Snoop、Tcpdump、Dsniff …

http://www.cz88.net/

webfinder

WebFinder 是一个用于在互联网上查找网站、域名和相关信息的工具或服务。它提供了一个简单的界面，让用户可以输入关键词、域名或其他查询条件，以快速搜索和发现与之相关的网站。

通过 WebFinder，你可以执行以下操作：

1. 域名搜索：输入一个域名，WebFinder 将返回与该域名相关的信息，包括 DNS 记录、IP 地址、WHOIS 信息等。这对于了解一个网站的基本情况非常有帮助。
2. 关键词搜索：输入一个关键词或短语，WebFinder 将搜索互联网上与该关键词相关的网站。它可以帮助你发现与特定主题或领域相关的网站，以便进行进一步的研究和信息收集。
3. 网站分类：WebFinder 可以将网站按照不同的分类进行组织和展示。你可以选择特定的网站类别，例如新闻、商业、科技、艺术等，以查找你感兴趣的类型的网站。
4. 相似网站推荐：当你访问一个特定的网站时，WebFinder 可以推荐与该网站类似或相关的其他网站。这可以帮助你扩展你的浏览范围，发现更多类似的资源和内容。

网页缓存

http://www.cachedpages.com/

社交

QQ、weibo、支付宝、脉脉、咸鱼、短视频、人人、贴吧、论坛

外网信息，推特、ins、fb等

注册过的网站

https://www.reg007.com/

默认密码

https://default-password.info/

http://routerpasswords.com

注册

Email

http://24mail.chacuo.net/enus

历史DNS解析记录

● https://x.threatbook.cn/ 微步在线

● https://tools.ipip.net/cdn.php

● https://dnsdb.io/zh-cn/

目录爆破

一定要取得客户的同意，会对业务造成影响。

dirsearch -u 目标url
dirsearch -e php,html,js -u url
dirsearch -e php,html,js -u url -w 字典文件
dirsearch -e php,html,js -u url -r    	#递归扫描
dirsearch -e php,html,js -u url -r -R 3  #设置最大递归深度
dirsearch -e php,html,js,bak,zip,tgz,txt -u url -t 30    	#设置线程
dirsearch -e asp,aspx,htm,js -u url -X php,jsp,jspx     	#排除扩展
1
2
3
4
5
6
7