渗透测试 信息收集 详细分析

信息收集

信息收集手段

信息收集的手段大体可以分为两类：

被动信息收集

不与目标系统产生直接交互,如搜索引擎,网站查询,nslookup,dig等
说白了就是具有查询性质的手段
至于这个查询，学会自己体会，查询一些个信息，或者对网站进行搜索访问肯定是不会给系统产生攻击表现,就不会在日志上留下痕迹

主动信息收集

与目标系统产生直接交互,会在目标系统日志留下痕迹
如nmap ping fping awvs 。。。等手段
虽然说会给目标系统留下痕迹,当我们还是要尽可能减少痕迹
如：使用代理,伪造ip等手段
在后续工具讲解中我不会再去分哪些是主动,哪些是被动,大家自行理解 😃 不管什么手段,一切都是为了收集信息！！！

信息收集阶段要做什么？

信息收集阶段要尽可能的收集渗透测试对象的一切信息，越详细对于后续漏洞扫描,利用阶段越有利。
主要内容如下：

域名

如baidu.com是百度的域名 qq.com是qq的域名。www.baidu.com是百度的FQDN,或者说是域名。这里大家要把域名和FQDN搞清楚。
至于域名的收集没什么好说的。

子域名

即FQDN，如qq.com是域名,那么www.qq.com,music.qq.com都是qq.com的子域名。一般来说一个主网站都是www开头。往往网站的主站都会存在本系统最高级别防护措施,如果拿不下主站尝试从子域名出发提权哪些主站。

子目录

几乎网站都由一系列目录组成,一个网站的框架就是有子目录及文件构成,所以相当重要

真实物理路径

即在操作系统中真实文件路径

真实ip

为啥ip地址要加个真实呢？很多网站为了加快各地对网站的访问,会去购买cdn服务,如果存在cdn,简单方式将无法获取目标ip地址。后续我会简述cdn发现及绕过寻找真实ip地址

真实ip段

真实ip段往往和子域名相生相依,在ip段应当进行存活主机的探测。往往来说一个系统主站,子站都回存在于一个ip段内,利用ip段,探测可能找出真实ip地址。
多说一句为啥要加一个真实两个字,还是绕不过cdn这个话题,某些有钱的网站可能除了主站做cdn可能子站也做了cdn，我们必须尽可能去寻找没有做cdn的ip地址从而找出真实ip段。比如一些被遗忘的老站等

旁站

一般来说往往都是一个萝卜一个坑,一般是一个ip地址对应一个网站。但可能存在一系列疏忽，导致一个ip地址可能存在多个网站,抛去正常访问到哪个网站就叫旁站。我们可以尝试寻找旁站提权到同ip主站

后台

后台是管理员登录处，可以尝试弱口令或者爆破等手段登陆

端口

一个端口对应一种服务,一个应用程序监听一个端口.如：
80端口对应http服务
53端口对应dns解析服务
21对应FTP服务
具体还有很多数据库服务对应端口等等在这里不具体阐述，遇到自行百度
尝试找出端口对应服务是否开启

服务

也就是端口对应的服务,有时可能存在默认端口号不对应默认服务,具体问题具体分析

操作系统

目标操作系统识别如windows linux 等

cms(指纹)

很多公司建站都会使用一些框架,如织梦,discuz,我们尝试获取其web框架名称及版本,然后查询该web框架存在漏洞,攻击网站

waf

web防火墙识别

防火墙

防火墙的识别

社工库

社工库相当可怕,一个qq号,一个网名,可以查出很多私密信息，具体就不说了。

其他

邮箱
电话
传真
公司地址
管理员信息
…
这些信息可以用来做一些个钓鱼