渗透-信息收集

渗透的本质是信息收集，掌握信息的多少将决定发现漏洞机会大小

一、cdn检测与绕过

　　 CDN 是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器

　　通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容

　　降低网络拥塞，提高用户访问响应速度和命中率

　　

1、cdn检测：

　   cdn服务就是通过访问离你最近的一个节点去保证你的访问速度

　　所以用不同的地区去访问就会得到不同的ip

　　超级ping：https://ping.chinaz.com/

　　nslookup 域名 查询dns记录，如果Addresses处有多个ip大概率使用了cdn（注：是大概率，不是绝对）

　　

2、cdn绕过：

　　（一个小知识点：管理员布cdn的时候可能只把www.xxx.com这个域名设置了cdn，而xxx.com这里没有设置，不是www访问的就不会用cdn）

　　　　）子域名查询

　　　　　　子域名爆破网站：在线子域名爆破-子成君提供 (zcjun.com)

　　　　　　子域名收集对cdn有帮助 由于许多网站考虑到经济原因，只会把访问量高的主站设置cdn。分站不设，所以能从分站的域名拿到真实的ip地址然后扫描网段存活主机（服务器在同一个网段）

　　　　）国外地址请求

　　　　　　经济原因，国外一般不设cdn

　　　　　　国外地址请求：https://get-site-ip.com/     https://tools.ipip.net/cdn.php在线查询cdn

　　　　　　这个网站也可试一下：https://webscan.cc/ 查IP位于哪，可以爆破c段

　　　　）DNS解析记录

　　　　　　好几年前的ip地址可能当时还没有部署cdn

　　　　）邮件查询

　　　　　　一般注册的地方都支持邮箱注册，网页打开看源代码，查发邮箱过来的ip，注意里面也有腾讯中转的ip

　　　　）社会工程学

　　　　　　当找到几个IP不确定的时候，看下网站公司是在哪个地区，然后看下ip归属地，在一个地方的ip应该就是真实ip

二、站点分析

　　操作系统、中间件、数据库、CMS等

　　　　  ）工具：

　　　　　　Wappalyzer插件

　　　　）判断中间件：

　　　　　　响应包server、页面报错

　　　　）操作系统：

　　　　　　ping  小于100的ttl值一般是linux

　　　　关系型数据库：

　　　　　　数据库　　　　默认端口号　　　　扩展名　　　　脚本语言

　　　　　　mysql　　　　　　3306　　　　　 .myd　　　 　PHP、JSP

　　　　　　mssql　　　　　　1433　　　　 　.mdf　　　　  ASP、ASPX

　　　　　　Oracle　　　　　  1521　　　　　 .dbf　　　 　  JSP

　　　　　　PostgreSQL　　　 5432

　　　　nosql（非关系型数据库）：

　　　　　　数据库　　　　默认端口号　　

　　　　　　redis　　　　　　 6379　　　　　

　　　　　　MongoDB　　　　27017

　　　　　   Memcached           11211

　　　　CMS识别：

　　　　　　　 一、云悉在线 http://www.yunsee.cn

　　　　　　二、Whatweb http://www.whatweb.net

　　　　　　三、潮汐指纹 http://finger.tidesec.net

　　　　　　四、CMS指纹识别 http://whatweb.bugscaner.com/look/ 

三、whois、旁站、C段、端口、目录

　　　　）whois信息查询：　

　　　　　　https://www.whois.com/

　　　　　　http://whois.chinaz.com/ 站长之家

　　　　）旁站：

　　　　　　https://chapangzhan.com/  

　　　　）目录扫描：

　　　　　　御剑、铸剑、dirsearch等

　　　　）常见端口：

                ftp：21

                SSH：22

                telnet：23

                http：80

                RPC：135

                ssl/https：443

                SMB：445

                Rsync：873

                mssql：1433

                Oracle：1521

                Rdp远程桌面：3389

                Glassfish：4848

                Redis：6379

                weblogic：7001/7002

                tomcat/jboss：8080/8089

（更多端口和具体漏洞可参考   https://zhuanlan.zhihu.com/p/362769830）

四、扩展，可以增加攻击面

　　　　　）目录型站点：

　　　　　　当用后台扫描工具扫出目录后，如果两个目录网站使用的是两套不一样的程序，那么攻击面就多了一个，一个攻破两个遭遇

　　　　）端口型站点：

　　　　　　比如主站使用80端口，但是搭建论坛在8080端口，增加攻击面

　　　　）子域名两套CMS：

　　　　　　主站进不去，但是有子域名指向主站的ip或者同一网段，那么就可以从子域名入手

　　　　　　如果子域名全都没有指向真实ip网段，那只有在分站上面找些密码信息或敏感信息去往主站里套

　　　　）类似域名站点：

　　　　　　例如：.cn  .com  .net等-常用域名后缀爆破下     还有jd.com   jingdong.com  这种完全不同的域名，可以多百度搜搜

　　　　）旁注、C段站点：

　　　　　　旁注：同服务器不同站点 

　　　　　　　　　多个网站放到同一个服务器，其中一个网站是目标

　　　　　　　　　192.168.1.100下面有www.a.com和www.b.com，b网站进不去，进a网站

　　　　　　C段：同网段不同服务器不同站点

　　　　　　　　　192.168.1.100下面有www.a.com和www.b.com

　　　　　　　　　192.168.1.101下面有www.c.com和www.d.com

　　　　　　　　　想要进a网站，但是进不去，扫描网段发现有1.101 ，通过c网站进去拿到服务器权限，内网横向渗透拿到指定服务器权限

　　　　）一键搭建软件特征站点：

　　　　　　比如用phpstudy搭建的中间件会有特征，  默认是搭phpmyadmin的，去搜搜默认密码啥的

五、漏扫工具

　　　　AWVS、Nessus、Xray