声明:
学习视频来自B站up主【泷羽sec],如涉及侵权行为请马上删除文章,文章所提及内容,均为学习交流,其他均与本人以及泷羽sec团队无关,切勿触碰法律底线,否则后果自负!!!
概述
在渗透测试的过程中,信息收集是其中最重要的一部分,你收集到目标的信息越多,你的渗透切入点就越多,你对目标渗透的成功率也就越高。所以,有的大牛说:渗透测试的本质是信息收集。信息收集是渗透测试的第一步,首先要先掌握目标网站的各种信息,去寻找下手的地方
准备部分
这节课的笔记以实战作为演示,这里推荐一个平台https://www.butian.net/Reward/plan/2 补天漏洞提交平台(注意本次笔记仅用于个人学习以及其他人参考学习,如有人通过本篇记录对其中的网站进行不法攻击,本人概不负责)
站长之家:http://whois.chinaz.com/
利用查询到网站管理员手机号码、姓名、邮箱通过Whois反查查询出网站管理员所注册过的域名,可以对注册的其他域名进行漏洞挖掘。
邮箱反查:http://whois.chinaz.com/reverse?ddlSearchMode=1
注册人反查:http://whois.chinaz.com/reverse?ddlSearchMode=1
电话反查:http://whois.chinaz.com/reverse?ddlSearchMode=1
爱站:https://whois.aizhan.com/
微步:https://x.threatbook.cn/
国外的who.is:https://who.is/
阿里云域名信息查询:https://whois.aliyun.com
腾讯查询:https://whois.cloud.tencent.com/
中国互联网信息中心:http://ipwhois.cnnic.net.cn/
ICP(Internet Content Provider)备案查询:可以查询该单位备案的其它网站
国家企业信用信息公式系统:http://www.gsxt.gov.cn/index.html
ICP备案查询网:https://www.beianx.cn/
ICP备案查询-站长工具:http://icp.chinaz.com/
天眼查:https://www.tianyancha.com/ 根据前面获取的企业名称可以获取目标企业的微信公众号、微博、备案站点、APP、软件著作权等信息
企查查:https://www.qcc.com/
SEO(Search Engine Optimization)查询
爱站-SEO综合查询:https://www.aizhan.com/cha/ 可以根据域名来收集目标站点的备案信息、名称、注册人等信息
站长-SEO综合查询:http://seo.chinaz.com/
工商数据收集
官方网站查询
- 全国企业信用信息公示系统:可查询企业的营业执照、行政许可、行政处罚、经营异常、严重违法失信、公告等工商数据信息,数据权威准确,但无官方接口,不便直接进行数据分析356.
- 信用中国:能查询到企业的行政管理、诚实守信、严重失信、经营异常、信用承诺、信用评价、司法判决等工商及其它数据信息,为评估企业信用状况提供重要参考3.
第三方商业查询平台
- 企查查:收录了大量企业的工商登记信息、股东信息、主要人员信息、对外投资、分支机构等,数据较为全面,更新及时,查询方便快捷,可通过输入企业名称或统一社会信用代码等进行查询,部分功能需付费6.
- 天眼查:提供企业背景调查、工商信息查询、司法风险、知识产权等多维度信息查询服务,其数据来源广泛,包括政府公开信息、新闻报道等,能帮助用户全面了解企业状况,付费会员可享受更详细的查询结果6.
- 爱企查:百度旗下的企业信息查询平台,可查询企业工商信息、法人信息、联系方式等,界面简洁,操作方便,免费版可满足基本查询需求,也有付费增值服务126.
专业数据服务提供商
- 五度易链:拥有自建数据中心,收录了全国 3.4 亿 + 工商主体数据,涵盖企业工商信息、司法信息、经营信息等全维度全量信息,并提供数据落库、数据 API 接口以及定制化服务等多种数据服务模式3.
- 黑马企服大数据服务:包含全国 2 亿 + 企业工商数据查询,全量数据日更新,涵盖企业名称、纳税人识别号、注册日期等 30 + 维度信息,适用于多种平台,支持批量导出及模糊查询等各类查询方式.
网络爬虫采集
- 自行编写爬虫程序:根据自身需求定制爬取维度,如工商基本信息、知识产权信息、公司发展信息等,但编写爬虫需具备一定的技术能力,且要遵守法律法规,避免侵犯他人权益78.
- 使用第三方爬虫工具:如八爪鱼采集器等,通过简单配置即可对目标网站进行数据采集,但使用时需注意工具的合法性和使用范围,以及数据的准确性和完整性 。
API 接口对接
一些平台提供工商数据的 API 接口,如白小秘等,用户可通过申请接口,将数据接入自己的系统中使用,但通常需要一定的技术开发支持,且部分接口可能需要付费17.
信息收集的全面性
一、目标相关信息收集
-
基本信息
- 域名信息:包括目标公司或组织所使用的域名。要收集域名的注册商、注册日期、过期日期等。例如,通过 Whois 查询工具可以获取这些信息。了解域名的注册时间可以帮助判断目标的历史和稳定性,过期日期则可能为攻击者提供潜在的攻击时机,比如在域名即将过期时进行恶意抢注或篡改 DNS 记录等操作。
- IP 地址范围:确定目标服务器的 IP 地址。这可能涉及到多个 IP 地址,因为一个大型组织可能有多个服务器用于不同的服务,如 Web 服务器、邮件服务器等。可以使用工具如 nslookup 或 dig 来解析域名对应的 IP 地址,还可以通过网络扫描工具来发现同一网段内的其他相关 IP,确保没有遗漏可能存在安全风险的主机。
- 网络架构信息:包括目标网络是采用星型、总线型还是其他拓扑结构。了解网络架构有助于推测数据的流向和可能的访问路径,例如在星型拓扑结构中,中心节点的安全性就显得尤为重要,一旦中心节点被攻破,整个网络的通信可能会受到影响。
-
组织信息
- 公司组织结构:收集目标公司的部门设置、人员分工等信息。例如,通过公司网站、社交媒体或者招聘信息来了解其组织架构。如果知道公司有专门的网络安全部门,那么在渗透测试中就需要更加谨慎,因为他们可能已经采取了较为完善的安全措施。
- 业务范围和流程:了解目标组织的业务内容、业务流程以及业务合作伙伴。对于一个电商公司,需要清楚其订单处理流程、支付流程以及与支付网关等第三方合作伙伴的交互方式。这可以帮助渗透测试人员发现业务逻辑漏洞,例如通过篡改订单状态或者绕过支付环节来获取非法利益。
-
技术信息
- 操作系统类型和版本:不同的操作系统有不同的安全漏洞和配置方式。通过端口扫描、服务识别等手段确定目标服务器所运行的操作系统是 Windows、Linux 还是其他系统,以及具体的版本号。例如,Windows Server 2019 和 Windows Server 2008 在安全特性和已知漏洞方面就有很大差异,针对其特定版本的漏洞进行测试可以更有效地发现安全隐患。
- 应用程序信息:收集目标网站或应用所使用的技术框架,如 Web 应用是基于 Django、Flask 还是其他框架构建的。对于 APP,要了解其开发平台(如 Android 或 iOS)和所使用的开发工具包。还需要收集应用程序的版本信息,因为不同版本可能修复了一些旧的漏洞或者引入了新的漏洞。通过查看网页源代码中的元数据、JavaScript 库引用或者 APP 的应用商店描述等方式来获取这些信息。
二、人员相关信息收集
-
员工信息
- 联系方式:包括员工的电子邮件地址、电话号码等。可以通过公司网站的联系我们页面、领英等专业社交平台获取。这些联系方式可能被用于社会工程学攻击,例如发送钓鱼邮件,诱使员工点击恶意链接或提供敏感信息。
- 职位和权限信息:了解员工在公司中的职位和职责范围,判断其可能拥有的系统权限。例如,系统管理员通常具有更高的权限来配置服务器和网络设备,针对他们的攻击可能会获取更高级别的访问权限。通过公司组织架构图和招聘信息可以大致推测出员工的权限范围。
-
用户行为信息
- 用户习惯和工作模式:观察目标组织员工的工作习惯,例如他们通常在什么时间登录系统、访问哪些资源等。通过分析网络日志或者应用程序使用记录来获取这些信息。这可以帮助攻击者选择最佳的攻击时间,例如在员工集中登录系统的时间段进行中间人攻击,以获取更多的登录凭证。
- 用户反馈和投诉信息:收集用户对目标系统或应用的反馈和投诉,这些信息可能揭示系统中存在的可用性问题或者潜在的安全漏洞。例如,用户频繁投诉系统登录过程繁琐或者出现不明原因的错误提示,这可能暗示系统的认证机制存在问题或者存在代码注入漏洞。
三、安全防护信息收集
-
安全策略和制度
- 访问控制策略:了解目标组织对于系统和数据的访问控制方式,包括基于角色的访问控制(RBAC)、强制访问控制(MAC)等。通过阅读公司的安全政策文档或者咨询相关人员来获取这些信息。这可以帮助渗透测试人员评估现有访问控制策略的有效性,寻找可能绕过访问控制的方法。
- 数据保护政策:收集目标组织对于数据的分类、存储、备份和加密等政策。例如,了解哪些数据是敏感数据(如客户信用卡信息、用户隐私数据等),以及它们是如何进行加密存储和传输的。这有助于确定在渗透测试中重点关注的数据泄露风险点。
-
安全设备和软件信息
- 防火墙和入侵检测 / 预防系统(IDS/IPS)信息:确定目标网络中是否安装了防火墙、IDS/IPS 等安全设备,以及它们的品牌、型号和配置规则。通过网络扫描和端口探测等方式可以初步判断防火墙的存在和开放的端口范围。了解 IDS/IPS 的规则可以帮助渗透测试人员避免触发警报,同时也可以寻找其规则中的漏洞来绕过检测。
- 防病毒软件和端点安全解决方案信息:收集目标系统上安装的防病毒软件和端点安全产品的信息。包括软件名称、版本、更新频率等。这些信息可以帮助攻击者了解在植入恶意软件时可能遇到的阻碍,并且可以寻找针对特定防病毒软件的绕过方法。
渗透测试信息收集的全面性确保了渗透测试人员能够从多个角度评估目标系统的安全性,更准确地发现潜在的安全漏洞和风险。
信息收集测试
目标网站:www.jlthedu.com
在主站点一般很难会有漏洞,所以我们可以从边缘资产入手
这个是利用微步查询的结果
可以发现有很多子域名,尝试对这些子域名访问看看,查看是否存在漏洞
比如访问gzdz.jlthedu.com发现是一个查询的的网址,里面可能存在SQL注入漏洞,那么就可以从这个思路入手去进行测试。
下面这个是用中国互联网信息中心查询的结果
可以发现能够里面有电子邮件信息,可以利用做一个钓鱼邮件
就不一一举例了,下面把利用这些工具对网站进行查询的所有结果放在下面:
吉航电视台:https://tv.jlthedu.com/
ai智能库问答系统:https://ai.jlthedu.com/ui/login
后勤与资产管理处:https://hqzc.jlthedu.com/Web_Pro/index.aspx
吉航云盘:https://pan.jlthedu.com/login
吉航智慧校园:https://yn.jlthedu.com/portal/#/login
吉航招生就业:https://zs.jlthedu.com/Web_Pro/index.html
党委组织部:https://zzb.jlthedu.com/Web_Pro/index.aspx
高职单招:https://gzdz.jlthedu.com/Web_Pro/index.aspx
吉航工会:https://gh.jlthedu.com/Web_Pro/index.aspx
教务处:https://jwc.jlthedu.com/Web_Pro/index.aspx
实训处:https://sxc.jlthedu.com/Web_Pro/index.aspx
宣传统战部:https://xtb.jlthedu.com/Web_Pro/index.aspx
图书馆:https://tsg.jlthedu.com/Web_Pro/index.aspx
安全保卫处:https://aqbw.jlthedu.com/Web_Pro/index.aspx
总结:通过各大威胁情报集团的搜索引擎,尽可能全面的收集有用的攻击面,然后查看他各大子域名平台中是否有关联链接,子域名友链等等一系列的信息泄露,把我们的信息收集做到极致,把我们的攻击面扩充到最大。
丢进天眼查里看看,可以查到法人信息
用企查查看看,可以发现里面有很多合同信息,在合同里可以手机很多电话号码,这些东西在后面可能都会有大用处。
除了用这些网站去搜集信息以外,还可以借助一些命令工具,比如上面提到的nslookup就可以查询网站的域名和IP地址,还可以利用nmap查询端口信息
nmap -sT www.jlthedu.com
我们可以注意到里面有一个msql端口是打开的,如果这里存在漏洞那就等于干到老巢了,我们访问一下试试
cdn加速
概况
CDN的全称是Content Delivery Network,即内容分发网络。
CDN加速主要是加速静态资源,如网站上面上传的图片、媒体,以及引入的一些Js、css等文件。
CDN加速需要依靠各个网络节点,例如100台CDN服务器分布在全国范围,从上海访问,会从最近的节点返回资源,这是核心。
CDN服务器通过缓存或者主动抓取主服务器的内容来实现资源储备。
CDN的基本原理和基础架构
CDN是将源站内容分发至最接近用户的节点,使用户可就近取得所需的内容,提高用户访问的相应速度和成功率。解决分布式、带宽、服务器性能带来的访问延迟问题,适用于站点加速、点播、直播等场景。
最简单的CDN网络由一个DNS服务器和几台缓存服务器组成,工作原理如下:
1、当用户点击网站页面上的内容URL,经过本地DNS系统解析,DNS系统会最终将域名的解释权交给CNAME指向的CDN专用DNS服务器。
2、CDN的DNS服务器将CDN的全局负载均衡设备IP地址返回给用户。
3、用户向CDN的全局负载均衡设备发起内容URL的访问请求。
4、CDN全局负载均衡设备根据用户IP地址,以及用户请求的内容URL,选择一台用户所属区域的区域负载均衡设备,告诉用户向这台设备发起请求。
5、区域负载均衡设备会为用户选择一台合适的缓存服务器提供服务,选择的依据包括:根据用户IP地址,判断哪一台服务器距离用户最近;根据用户所请求的URL中携带的内容名称,判断哪一台服务器上有用户所需的内容;查询各个服务器当前的负载情况,判断哪一台服务器尚有服务能力。基于以上这些条件的综合分析之后,区域负载均衡设备会向全局负载均衡设备返回一台缓存服务器的IP地址。
6、全局负载均衡设备把服务器的IP地址返回给用户。
7、用户向缓存服务器发起请求,缓存服务器响应用户请求,将用户所需的内容传送到用户终端。如果这台缓存服务器上并没有用户想要的内容,而区域均衡设备依然将它分配给用户,那么这台服务器就要向它的上一级缓存服务器请求内容,直至追溯到网站的源服务器将内容拉到本地
为什么要使用CDN
如果你在经营一家网站,那你应该知道几点因素是你制胜的关键:
- 内容有吸引力
- 访问速度快
- 支持频繁的用户互动
- 可以在各处浏览无障碍
另外,你的网站必须能在复杂的网络环境下运行,考虑到全球的用户访问体验。你的网站也会随着使用越来越多的对象(如图片、帧、CSS及APIs)和形形色色的动作(分享、跟踪)而系统逐渐庞大。所以,系统变慢带来用户的流失。
Google及其他网站的研究表明,一个网站每慢一秒,就会丢失许多访客,甚至这些访客永远不会再次光顾这些网站。可以想象,如果网站是你的盈利渠道或是品牌窗口,那么网站速度将是一个致命的打击。
这就是使用CDN的第一个也是最重要的原因:为了加速网站的访问
检测是否使用CDN
使用nslookup查看域名,如果域名只对应一个IP地址,说明未使用CDN加速,如果域名对应多个IP地址,说明使用了CDN加速
API是什么
API 是 “Application Programming Interface” 的缩写,即应用程序编程接口。
一、基本概念
- API 就像是餐厅里的菜单,它规定了软件组件(可以是不同的应用程序、库或者操作系统等)之间相互沟通和交互的方式。就像厨师(软件开发者)根据菜单(API)上的规则来制作菜品(开发功能)一样,开发者可以使用 API 提供的规则和工具来构建应用程序,而无需了解底层的复杂实现细节。
- 例如,当你使用手机上的天气应用时,这个应用很可能是通过调用天气数据供应商的 API 来获取天气信息的。天气数据供应商会提供一组 API 端点(就像餐厅里不同菜品的窗口),天气应用按照规定的请求方式(比如使用特定的 URL 格式、参数格式和数据传输协议)向这些端点发送请求,然后接收并处理返回的天气数据。
二、工作方式
-
请求和响应模式
- 一般来说,API 采用请求 - 响应的通信模式。客户端(如手机应用、网页浏览器等)向服务器端(提供 API 的系统)发送一个请求。这个请求包含了客户端想要执行的操作信息,比如获取数据、更新数据或者执行某个特定的功能。
- 服务器端在接收到请求后,根据请求的内容和自身的业务逻辑进行处理。处理完成后,它会向客户端返回一个响应。响应通常包含了客户端请求的数据或者操作执行的结果。例如,当一个电子商务应用的客户端向服务器端的 API 请求商品列表时,服务器端的 API 会查询数据库,获取商品列表信息,然后将这个信息以某种格式(如 JSON 或 XML)返回给客户端。
-
数据格式
- API 使用特定的数据格式来传输数据,最常见的是 JSON(JavaScript Object Notation)和 XML(eXtensible Markup Language)。
- JSON 是一种轻量级的数据交换格式,它以键值对的形式组织数据,易于人类阅读和编写,也便于机器解析和生成。例如,一个简单的 JSON 数据表示一个用户的信息可以是这样的:{"name": "John", "age": 30, "email": "john@example.com"}。
- XML 则是一种标记语言,它使用标签来描述数据的结构。比如同样的用户信息可以表示为:
xml
复制
<user>
<name>John</name>
<age>30</age>
<email>john@example.com</email>
</user>
三、类型
-
Web API
- 这是最常见的 API 类型,通过互联网使用 HTTP 协议进行通信。Web API 允许不同的 Web 应用之间进行交互,也可以让移动应用和 Web 服务进行通信。例如,谷歌地图提供了 Web API,开发者可以在自己的网站或应用中使用这些 API 来显示地图、获取地理位置信息等。
-
操作系统 API
- 操作系统(如 Windows、Linux 等)提供 API 来允许应用程序访问操作系统的功能,如文件系统操作、内存管理、设备驱动程序访问等。例如,在 Windows 操作系统中,应用程序可以使用 API 来创建、读取、写入和删除文件,这些 API 隐藏了操作系统底层文件系统的复杂性,让开发者能够更方便地进行应用开发。
-
数据库 API
- 用于和数据库进行交互,让开发者能够通过编程的方式访问和操作数据库中的数据。例如,MySQL 数据库提供了一系列的 API,开发者可以使用这些 API 来执行 SQL 查询、插入数据、更新数据和删除数据等操作,而不需要直接编写 SQL 语句(虽然在背后还是会执行 SQL 语句)。
google语法
Google基本语法
在使用Google进行搜索时,我们通常只是简单的输入要搜索的内容,事实上我们还可以加入一些搜索引
擎支持的通配符,这样我们就可以使得
搜索结果跟全面,更准确的。
1、加号(“+”)
“+”号是强迫包含的意思,也就是说搜索的结果中要包含后面的内容,这里需要注意的是,在“+”号前面
要有一个空格,比如说我们搜索“天津 +
天津特产”,搜索出的结果,一共搜索到7,750,000 条,并且都是和特产有关的。
2、减号(“―”)
减号和加号相反,就是取出的意思,他会在我们搜索结果中去除我们写入的内容、例如“天津 ―特产”
。
3、波浪号(“~”)
波浪号“~”的意思是搜索同义词,这样的搜索结果会更多,例如“天津 ~天津”
4、点号(“.”)
点号的作用是取代一个字符,例如“war .3”,就会搜索到940,000个结果,但是我们如果输入 war 3
则会有32,500,000项结果
5、星号(“*”)
星号的意思是取代所有字符,例如搜索“war*”,可以搜索到200,000项结果。
6、双引号("")
双引号是强调的整体,例如搜索“"大送飞吻"”,就会搜索到 2,900,000项结果,但如果我们直接搜索“大送飞吻”,则时能搜索到128,000项结果,就比不加双引号少了很多。
高级Google搜索语法
上面给大家介绍了很多基本的Google语法,接下来我再给大家介绍一些常用的高级Google搜索语法。
1、allintext
allintext的意思是以网页正文内容中的冒个字符作为搜索条件,例如“allintext:天气”
2、allintitle
allintitle的意思是在网页标题中搜索我们要查找的字符,例如“allintitle:谷歌学术”
3、cache
cache的意思是缓存,例如“cache:www.baidu.com”。
4、define
define的意思是词语的定义,例如:“define:中国”
5、filetype
filetype的意思是搜索指定格式的文件,例如“filetype:MDB”,类似于这样的搜索通常都可以直接下载,我们这样搜索很可能搜索到别人的数据口哦!
6、info
info的意思是查找指定的网站基本信息,例如:“info:www.baidu.com”。
7、link
link的意思是查看连接的网站。例如“link:www.baidu.com”
8、related
related的意思是返回主页上连接的内容,例如“related:www.baidu.com”
9、site
site的作用非常的好,它可以制定一个特定的区域进行搜索,也就是说如果site后面是一个网站,那么我们得到的内容就是关于这个网站的,例如:“site:www.baidu.com”
10、inurl
inurl的作用是搜索得到你搜索内容的网址,例如:“inurl:asp”
github源码泄露
GitHub源码泄露肯定都听说过,但是真正找的源码的案例可能很少,可能是你用的方法有问题,网站域名、网站JS路径、网站备案、网站下的技术支持这些都可以放进去GitHub搜
精确搜索:被双引号引起来的部分代表精确匹配
工具汇总
除了上面介绍的一些网站可以搜集信息外,我们还需要借助一些工具或者插件也可以搜集一些我们所需要的信息。下面介绍一些能用到的命令工具插件之类的。
wappalyzer浏览器插件
插件的安装这里就不说了,没有基础的自行从网上搜一下怎么安装插件,我是在火狐里安装的
功能特点
- 广泛的技术识别:能够检测网站所使用的多种技术,包括内容管理系统(如 WordPress、Joomla、Drupal 等)、JavaScript 库(如 jQuery、React、Angular 等)、Web 服务器(如 Apache、Nginx、IIS 等)、编程语言(如 PHP、Python、Ruby 等)、数据库(如 MySQL、PostgreSQL、MongoDB 等)以及各种框架(如 Bootstrap、Vue.js、Django 等)2.
- 多平台支持:提供了针对多种浏览器的插件,如 Chrome、Firefox、Edge 等,方便不同用户在各自常用的浏览器中使用2.
- 用户界面友好:界面简单直观,用户可以轻松查看网站使用的各种技术,并按类别进行组织,易于理解和分析网站的技术架构2.
- API 支持: 提供了 API 接口,允许开发者将 Wappalyzer 的功能集成到自己的应用或服务中,进一步拓展了其应用场景2.
应用实例:
nmap命令工具
-
基本端口扫描:
- nmap -p 80 192.168.1.103:扫描目标主机192.168.1.103的80端口。
- nmap -p 80-100 192.168.1.103:扫描目标主机192.168.1.103的80到100端口范围内的所有端口。
- nmap -p T:80,U:445 192.168.1.103:扫描目标主机192.168.1.103的TCP 80端口和UDP 445端口。
-
快速扫描:
- nmap -F 192.168.1.103:快速扫描目标主机,仅扫描最常见的端口。
- nmap --top-ports 100 192.168.1.103:扫描最有用的前100个端口。
-
不同类型的扫描:
- nmap -sS 192.168.1.103:TCP SYN扫描,高效且不易被检测。
- nmap -sT 192.168.1.103:TCP连接扫描,标准的端口扫描方式。
- nmap -sU 192.168.1.103:UDP扫描,用于检测UDP端口的开放情况。
- nmap -sN 61.241.194.153:NULL扫描,隐蔽性较高。
- nmap -sF 61.241.194.153:FIN扫描,隐蔽性更高。
- nmap -sX 61.241.194.153:Xmas扫描,隐蔽性较高。
今天先搞到这,关于工具太多了,后面一点一点补上
扫一扫
342
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
