为什么要做信息收集?
最了解你的人往往都是你的对手,知己知彼,百战不殆,当你所掌握的信息比别人多且更详细的时候那么你就占据了先机,这一条不仅仅用于商业、战争,在渗透测试中也同样适用。
信息收集对于渗透测试来说是非常重要的,我们手上掌握的目标信息越多,成功渗透的概率就越大!信息搜集是每一步渗透攻击的前提,通过信息搜集可以有针对性地制定模拟攻击测试计划,提高模拟攻击的成功率,同时可以有效的降低攻击测试对系统正常运行造成的不利影响。今天我们来简单了解一下进行渗透测试之前最重要的一步——信息收集。
信息收集分类
zbjt.venustudy.com.cn
信息根据收集方式的不同,将信息收集分为两类:主动收集和被动收集。
主动收集:是指通过扫描确认目标的操作系统和网络服务,为后续发现漏洞提供信息帮助,但它可能引起目标的注意,或被记录下扫描行为。一些服务指纹检测、网站爬虫都是主动收集的方式,它们直接向目标发起请求,在有防火墙的情况下,可能会被拦截告警。
被动收集:是指在不接触目标的情况下,通过互联网搜索来收集目标遗留在网络中的信息。这样可以避免引起目标的注意。网上很多人说的公开来源情报(Open-Source Intelligence,OSINT,简称“开源情报”)正是需要被动收集的信息,它是从公共资源中收集到的。
信息收集内容
zbjt.venustudy.com.cn
信息收集常用工具
zbjt.venustudy.com.cn
1、Whois查询
查询域名的IP以及所有者等信息的传输协议,通过Whois查询可以获取网站所有者的手机号码、姓名、邮箱、域名注册商等信息。
#常用网站:
· 站长之家:http://whois.chinaz.com
· 爱站:https://whois.aizhan.com
· 中国互联网信息中心:http://ipwhois.cnnic.net.cn/index.jsp
2、备案信息查询
若是网站搭建在国内,则会按照法律法规对网站进行备案,从而可以查询到备案主体。
#常用网站:
· 天眼查:http://www.tianyancha.com
· ICP备案查询网:https://beian.miit.gov.cn/#/Integrated/recordQuery
· 站长工具:https://icp.chinaz.com
3、DNS查询
DNS:它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
#常用网站:
· 站长工具:http://tool.chinaz.com/dns
· DNS历史解析:https://www.dnsdb.io
4、子域名收集
子域名是顶级域名(一级域名或父域名)的下一级,域名整体包括两个“.”或包括一个“.”和一个“/”。
#常用网站:
· 站长工具:http://tool.chinaz.com/subdomain
· 千寻:https://www.dnsscan.cn/dns.html
#常用工具:
· Layer 工具
· Oneforall 脚本
5、后台目录
a、寻找目录构造
假如看到页面有出现404或者403的情况,不用慌,尝试下其他目录,例如:看到链接zbjt.xxx.com,开局404。不用慌说不定zbjt.xxx.com/zbjt/下面别有天地。
b、手动尝试
通用的后台如:域名/admin 、 域名/Admin 、域名/user/admin
具有中国特色的后台:域名/管理员、域名/系统管理 、域名/超级管理。
c、网页下方可能会有“后台登录”的链接。
d、通过搜索引擎
搜一些后台内可能出现的内容的关键字,看看是否存在能直接打开该页面,若能打开,恭喜发现一个越权,若打不开,可能直接弹到管理员登录界面。
e、观察是否是常见CMS或框架,使用对应的默认路径尝试。
f、社工的方式
根据网站的归属、公司名称、外包公司名称等拼接后台地址比如:qmxc 公司给zbjt做了一个网站,后台可能是 qmxcadmin、zbjtadmin、qmxc/amdin、zbjt/admin。
#常用工具:
· 御剑后台扫描工具
· Dirsearch脚本(python3)
· Python3 dirsearch.py –u xx.com –e *
6、指纹识别
指纹识别意思是可以查询到:url地址、域名信息、子域名、旁站、C段、https信息。
通过识别目标网站所使用的操作系统、CMS、服务器与中间件信息等,从而查找历史存在的漏洞。
a、C段的概念
C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
举例:我的目标是10.10.10.110这台服务器,但我拿不下,这时后发现存在10.10.10.111的服务器,那么我就可以尝试直接拿下10.10.10.111这台服务器,再利用10.10.10.111作为跳板去拿下10.10.10.110这台服务器。
b、旁站的概念
旁站指的是同一服务器上的其他网站,很多时候,有些网站可能不是那么容易入侵。那么,可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell,然后再提权拿到服务器的权限,最后就自然可以拿下该网站了!
举例:就是在PHP study下,我在8000端口有一个网站,在8001端口下有另一个网站,现在我要获取8000端口的网站里面的目标flag,打不进去,那我可以尝试攻击8001端口下的网站,拿到该服务器的权限,然后再去获取8000端口的网站里面的目标flag。
#常用工具:
· 云溪指纹平台
· Wappalyzer插件
7、真实ip和CDN
只有找到了真实ip,才能进行有效渗透。
CDN的全称是Content Delivery Network,即内容分发网络。CDN会掩盖网站的真实IP。进行渗透时,首先判断目标是否使用了CDN。
绕过CDN查看网站真实ip:
a、使用多地ping的工具
· 站长之家超级ping:http://ping.chinaz.com
· http://ping.aizhan.com
b、查询子域名
因为CDN并不便宜,很多网站管理员可能只会对主站或者流量大的子站点做了 CDN,而很多小站、子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。
c、网络空间引擎搜索法
常见的有以前的钟馗之眼,shodan,fofa搜索。以fofa为例,只需输入:
title:“网站的title关键字” 或者
body:“网站的body特征”
就可以找出fofa收录的有这些关键字的ip域名,很多时候能获取网站的真实ip 。
d、内部邮件源ip
通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping邮件服务器的域名,就可以获得目标的真实ip,注意:,必须是目标自己的邮件服务器,第三方或者公共邮件服务器是没有用的。
e、查询DNS历史解析记录
查看最早的历史解析记录,因为很多网站在最开始的时候并没有形成安全意识,没有使用CDN的。
8、端口扫描
#常用工具:
· Nmap
端口扫描默认只会扫描2000个端口,如果想扫描所有的端口,就需要设置 -p 1-65535
· 御剑高速TCP全端口扫描工具
9、识别服务器类型
a、用NMAP探测操作系统
Nmap –O www.zbjt.com
b、使用ping命令
主要看TTL(最大生存时间)的数值,Linux默认是64,windows默认是128。
c、利用URL大小写来区分系统类型
Linux是区分大小写,Windows是不区分大小写的。
10、SSL/TLS证书收集资产
点击下面这个位置可以查看到网站的证书是由哪个机构颁发的。这就可以通过查看证书,然后在FOFA之类的搜索引擎去搜索相同的证书颁发机构来寻找其他的资产。
举一反三,假如看到一个大企业的网站出现证书不安全的提示,那这个就极有可能是一个钓鱼网站。
#常用网站:
· FoFa
· https://search.censys.io
· https://srt.sh
好啦,今天的分享就到这里~想要学习了解更多信息收集相关知识,可联系班班报名NSACE高级网络信息安全工程师课程,还有更多网安前沿技术知识等待你的解锁!
长按识别丨报名咨询
班班老师:134-0166-3881