Web渗透测试-实战 方法 思路 总结

尽可能的搜集目标的信息

• 端口信息
• DNS信息
• 员工邮箱

信息搜集的分类

1、主动式信息搜集（可获取到的信息较多，但易被目标发现）
2、通过直接发起与被测目标网络之间的互动来获取相关信息，如通过Nmap扫描目标系统。
3、被动式信息搜集（搜集到的信息较少，但不易被发现）
4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。

搜索引擎

Google hacking

常用搜索语法：
intitle:KEYWORD //搜索网页标题中含有关键词的网页
intext:KEYWORD //搜索站点正文中含有关键词的网页
inurl:KEYWORD //搜索URL中包含有指定字符串的网址
inurl:phpid= //搜索PHP网页
site:DOMAIN //在指定站点内查找相关的内容
filetype:FILE //搜索指定类型的文件

我们可以同时附加多个条件进行筛选，比如 inurl:admin intitle:农具
两个筛选条件之间用空格隔开

搜索引擎语法

关键字（搜索范围） 引擎
【1】完全匹配搜索——精确匹配 “” 引号 和书名号《》
查询词很长 ，baidu分析过后 可能是拆分
把包含引号部分 作为整体 顺序匹配 来搜索

引号为英文状态下的引号。
屏蔽一些百度推广

eg：
“网站推广策划” 整个名字
"“手机” / 《手机》 "

【2】± 加减号的用法
加号 同时包含两个关键字 相当于空格和and。

减号 搜索结果中不含特定查询词 —— 前面必须是空格 后面紧连着需要排除的词

eg:
电影 -搜狐
音乐 +古风

【3】OR的用法 　　
搜索两个或更多关键字

eg:
“seo or 深圳seo”
可能出现其中的一个关键字，也可能两个都出现。
“seo or 你的名字”(这里不加引号)。
如果你的名字为常见名。你会发现意外的惊喜，和你同名同姓的居然还有同行业。
“seo or 深圳seo”(这里不加引号) 就发现了和同名同姓的，还跟我同行。
　
　
【4】intitle

网页标题内容——网页内容提纲挈领式的归纳
竞争页面
关键词优化

eg:
(搜的时候不加引号)
“intitle:管理登录”
“新疆 intitle:雪菊”
“网络推广 intitle:他的名字”

【5】intext和 allintext (针对google有效)
在网页的内容中出现，而不是标题，

找页面里包含‘SEO’，标题包含SEO的对应文章页面。
只搜索网页部分中包含的文字(忽略了标题,URL等的文字)，
类似在某些网站中使用的“文章内容搜索”功能。

eg:
“深圳SEO intext:SEO”

【6】inurl

搜索网址中 url链接 包含的的字符串 （中文 英文），
竞争对手 排名

eg:
搜索登录地址，可以这样写“inurl:admin.asp”，
想搜索Discuz的论坛，可以输入inurl:forum.php，
“csdn博客 inurl:py_shell”
　
【7】site

搜索特定网页
看搜索引擎收录了多少页面。

——某个站点中有自己需要找的东西，就可以把搜索范围限定在这个站点中
“胡歌 空格 insite:www.sina.com.cn”

【8】link

搜索某个网站的链接。
搜索某个网站url的内部链接和外部链接
不是对每个搜索引擎都很准，尤其是Google，
只会返回索引库中的一部分，并且是随机的一部分，
百度则不支持这个指令。
雅虎全面支持，而且查询得比较准确，
一般我们查看网站的链接都以雅虎为准，
【9】filetype

搜索你想要的电子书，限定在指定文档格式中

并不是所有的格式都会支持，现在百度支持的格式有pdf、doc、xls、all、ppt、rtf，

eg:
“python教程 filetype:pdf”
doc文件，就写“filetype:doc”，
“seo filetype:doc”，(搜的时候不加引号) ，

【10】related(只使用于google) 　　
指定URL相关的页面、
一般都会显示与你网站有相同外链的网站。
竞争的对手，
相同的外链。

【11】 * 通配符 （百度不支持）
eg： 搜索 * 擎

【12】inanchor 导入链接 锚文字中包含 （百度不支持）
竞争对手
链接指向

【13】allintitle 包含多组关键字
【14】allinurl
【15】linkdomain （雅虎）
某域名反向链接 排除 得到外部链接
linkdomain: xxx.com -xxx.com

【16】related （google） 某个网站 关联页面
有共同外部链接
【17】domain 某一网站相关信息
“domain:url”

【18】index （百度）
“index of mp3”

【19】A|B 包含a或者b

2. Shodan

Shodan与Google这种搜索网址的搜索引擎不同的是，
Shodan是用来搜索网络空间中在线设备的。

shodan常用命令：

 asn         区域自治编号      
 port        端口                           
 org         ip所属组织机构
 os          操作系统类型
 http.html   网页内容
 html.title  网页标题
 http.server http请求返回中server的类型
 http.status http请求返回响应码的状态
 city        市
 country     国家
 product     所使用的软件或产品
 vuln        CVE漏洞编号，例如：vuln：CVE-2014-0723
 net         搜索一个网段，例如：123.23.1.0/24


 country:"CN"  os:"windows"

3. Zoomeye（钟馗之眼）

ZoomEye是一款针对网络空间的搜索引擎，收录了互联网空间中的设备、网站及其使用的服务或组件等信息。

搜索语法
1、app:nginx　　组件名
2、ver:1.0　　版本
3、os:windows　　操作系统
4、country:”China”　　国家
5、city:”hangzhou”　　城市
6、port:80　　端口
7、hostname:google　　主机名
8、site:thief.one　　网站域名
9、desc:nmask　　描述
10、keywords:nmask’blog　　关键词
11、service:ftp　　服务类型
12、ip:8.8.8.8　　ip地址
13、cidr:8.8.8.8/24　　ip地址段

通过以上不同种类的搜索引擎我们可以获得相当多的有用的信息，甚至平时搜索东西我们也可以通过zoomeye来找到自己想要的东西

企业信息

1. 天眼查

天眼查是一款“都能用的商业安全工具”，根据用户的不同需求，实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权方面等多种数据维度的检索。

2. 企业信用信息公示系统

3. 工业和信息化部ICP/IP地址/域名信息备案管理系统

以上几个可以用来深入了解渗透目标网站所属企业的相关信息

whois信息

whois（读作“Who is”，非缩写）是用来查询域名的IP以及所有者等信息的传输协议。
whois信息可以获取关键注册人的信息，包括注册商、联系人、联系邮箱、联系电话、创建时间等,
可以进行邮箱反查域名，爆破邮箱，社工，域名劫持，寻找旁站等等。

常用的工具有：

站长工具、爱站、微步在线

Nslookup的用法

作用：
查询DNS的记录，查看域名解析是否正常，在网络故障的时候用来诊断网络问题

• 直接查询域名情况：

命令格式：nslookup domain[dns-server]

示例：nslookup www.163.com

• 查询其他记录

命令格式：nslookup -qt=type domain[dns-server]

示例：nslookup -qt=CNAME www.163.com

其中，type可以是以下这些类型：

A 地址记录（直接查询默认类型）

AAAA 地址记录

AFSDB Andrew文件系统数据库服务器记录

ATMA ATM地址记录

CNAME 别名记录

HINFO 硬件配置记录，包括CPU、操作系统信息

ISDN 域名对应的ISDN号码

MB 存放指定邮箱的服务器

MG 邮件组记录

MINFO 邮件组和邮箱的信息记录

MR 改名的邮箱记录

MX 邮件服务器记录

NS 名字服务器记录

PTR 反向记录

RP 负责人记录

RT 路由穿透记录

SRV TCP服务器信息记录

TXT 域名对应的文本信息

X25 域名对应的X.25地址记录 

查询语法：

nslookup–d[其他参数]domain[dns-server]

• 返回信息说明
  服务器：本机DNS服务器信息

非权威应答：Non-authoritative answer，
除非实际存储DNS Server中获得域名解析回答的，都称为非权威应答。
也就是从缓存中获取域名解析结果。

address：目标域名对应物理IP可有多个

aliase：目标域名

同样nslookup也可以验证是否存在域传送漏洞，步骤如下：

nslookup进入交互式模式
Server 设置使用的DNS服务器
ls命令列出某个域中的所有域名

子域名收集

子域名收集可以发现更多渗透测试范围内的域名/子域名，以增加漏洞发现机率；
探测到更多隐藏或遗忘的应用服务，这些应用往往可导致一些严重漏洞。

常用的工具有：
子域名挖掘机Layer、
subDomainsBrute、
Dnsenum、
Dnsmap

这里推荐一个在线收集子域名的网站 https://phpinfo.me/domain/
但是可能会出现遇到泛解析防御机制的情况

真实IP获取

现在大多数的网站都开启了CDN加速，导致我们获取到的IP地址不一定是真实的IP地址。
什么是CDN呢？

CDN的全称是Content Delivery Network，即内容分发网络。
其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。
通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，
CDN系统能够实时地根据网络流量和各节点的连接、
负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上


其目的是使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度。

如果想获取真实IP，我们可以使用以下几种方法

1.多地Ping法：由CDN的原理，不同的地方去Ping服务器，如果IP不一样，则目标网站肯定使用了CDN。
这里推荐一个网站可以多个地点ping服务器，https://asm.ca.com/en/ping.php

2.二级域名法：目标站点一般不会把所有的二级域名放cdn上。
通过在线工具
如站长帮手，收集子域名，确定了没使用CDN的二级域名后。

本地将目标域名绑定到同IP（修改host文件），如果能访问就说明目标站与此二级域名在同一个服务器上；
如果两者不在同一服务器也可能在同C段，扫描C段所有开80端口的IP，然后挨个尝试。

3.nslookup法：
找国外的比较偏僻的DNS解析服务器进行DNS查询，因为大部分CDN提供商只针对国内市场，
而对国外市场几乎是不做CDN，所以有很大的几率会直接解析到真实IP。


4.Ping法：
直接ping example.com而不是www.example.com，因
为现有很多CDN厂商基本只要求把www.example.com cname到CDN主服务器上去，
那么直接ping example.com有可能直接获得真实IP。 

指纹识别

通过识别目标网站所使用的操作系统、CMS、服务器与中间件信息，
可以帮助我们进一步了解渗透测试环境，可以利用已知的一些CMS漏洞或中间件漏洞来进行攻击。

1、可以在以下地方获取信息：

1.指定路径下指定名称的js文件或代码 
2.指定路径下指定名称的css文件或代码 
3.<title>中的内容，有些程序标题中会带有程序标识，但不是很多。
4.meta标记中带程序标识
<meta name="description"/>
<meta name="keywords"/>
<meta name="generator"/>
<meta name="author"/>
<meta name="copyright"/>

5.display:none中的版权信息。

6.页面底部版权信息，关键字? Powered by等。

7.readme.txt、License.txt、help.txt等文件。

8.指定路径下指定图片文件，如一些小的图标文件，后台登录页面中的图标文件
等，一般管理员不会修改它们。

9.注释掉的html代码中<!–

10.http头的X-Powered-By中的值，有的应用程序框架会在此值输出。

11.cookie中的关键字

12.robots.txt文件中的关键字
robots.txt 中禁止的路径很可能说明站点就有这些路径 而且robots.txt 多是可访问的

13.404页面

14.302返回时的旗标

2、 大小写

访问网站：
http://www.xxx.com/index.html
http://www.xxx.com/inDex.html

Windows操作系统不区分大小写，Linux系统大小写敏感，用此方法能够判断是Windows还是Linux系统。

工具 ：
云悉指纹、
Whatweb、
httprint、
Bugscanner、
浏览器插件 wappalyzer