前言
面对一个待测试的站点束手无策的时候,方觉信息搜集的重要性,这篇博客就记录一下自己了解到的的信息搜集的范围和信息搜集的方法和技巧,我比较喜欢Linux系统的开放性,以及命令行的高效性,所以这里介绍的工具可能更加偏向Linux下使用方便的那些。像Windows下流行的那些御剑扫描器什么的就不做记录了。
域名信息
搜集域名信息的主要作用还是确定测试的范围和IP地址,域名信息主要包括IP、子域名、whois信息等。
其中whois信息往往可以结合撞库,社工等对管理后台进行密码猜解。
首先介绍一个功能比较完全的工具recon-ng, 这个工具的操作有点类似MSF, 进入命令行的交互页面后其用户交互界面的提示信息也很完善
搜集IP常用工具
nslookup 查找name server和网址解析到的ip地址
netcraft :https://www.netcraft.com
需要注意的是:现在很多大型网站都做了CDN,这就可能造成我们找到的IP不是网站服务器所在真实IP, 一般的类似注入这种需要和服务器交互的攻击方法是不会影响的,但如爆破这种就一定要绕过CDN。检测CDN可以通过超级ping来测试各个测试点响应IP是否一样,爱站网上就有这种测试工具,也可以通过IP138来查看历史解析IP来寻找网站真实地址。
绕过CDN也很简单,修改host文件,绑定域名和真实IP即可。
子域名查找方法
- netcraft :https://www.netcraft.com
- Fierce 工具,例如 ```fierce -dns baidu.com --threads 100`
- subdomainBrute 这是一个Python工具,github上可以找到
- google hack 语法查找,例:
site:baidu.com
whois 信息
whoisx信息一般查找的是邮箱 ,注册人,注册人电话等,通过这些信息可以查看注册人是否有其他注册网站,可以结合社会工程学发起攻击。
一些在线的whois查询网站:爱站网 、站长工具、微步在线
敏感目录
一般情况下,敏感目录有robots.txt 后台目录 安装包 上传目录,mysql管理接口,安装页面,phpinfo,编辑器,iis短文件
收集方法分两种,字典爆破和爬虫
字典爆破敏感目录的工具
dirbuste、r wwwscan 、IIS_shortname
目录的爬取
爬行菜刀、webrobot 、Burp
端口扫描
端口扫描杀手nmap自然就不需要多说了,只要记住telnet也可以用来对某一个特定的知名端口的开合情况测试,这样的测试方法可以适用于一些对扫描有限制的网站端口。如单独测试用于POP3服务的110端口是否开放。
旁站C段
旁站:同服务器其他站
C段: 同一网段
网上一搜查询工具就有一堆
比如:
https://phpinfo.me/bing.php
整站分析
整站分析可以从以下几个角度考虑
1.操作系统
简单的看大小写是否敏感可以区分linux和windows
2.脚本格式
asp php python等
3.中间件
4.数据库类型
5.防护情况(WAF)
6.CMS(云悉指纹识别可以做)
Google Hack
不得不说这是一个很神奇的信息搜集方式,正确的使用搜索语法不仅可以搜索到存在漏洞的网站,也可以搜索到那些已经被黑掉的网页,这里我贴上一篇感觉写的很好的博客:
https://laolisafe.com/80.html