Web安全攻防（续）

1.5、指纹识别

       CMS（Content Management System）又称整站系统或文章系统。

     常见的CMS有Dedecms(织梦)、Discue、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WorPress等。

     应用程序一般在html、js、css等文件中多多少少会包含一些特征码，比如Wordpress在robots.txt中会包含wp-admin、首页index.php中会包含generator-wordpress 3.xx，这个特征就是这个CMS的指纹，那么当碰到其他网站也存在此特征时，就可以快速调别出该CMS，所以叫作指纹识别。

       代表工具有御剑Web指纹识别、WhatWeb、WebRobo、椰树、轻量WEB指纹识别等，可以快速识别一些主流CMS。

       除了这些工具，读者还可以利用一些在线网站查询CMS指纹识别，如下所示：

BugScaner:http://whatweb.bugscaner.com/look/

云悉指纹:http://wwwyunsee.cn/finger.html

WhatWeb:https://whatweb.net/

1.6、查找真实IP

       在渗透测试过程中，目标服务器可能只有一个域名，我们需要通过这个域名来确定目标服务器的真实IP，如果目标服务器不存在CDN，可以直接通过wwwipl38.com获取目标的一些IP及域名信息，所以如何绕过CPN寻找目标服务器的真实IP就很重要。

1.目标服务器存在CDN

       CDN即内容分发网络，主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说得简单点，就是一组在不同运营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态数据资源(例如静态的html、css、js图片等文件)直接缓存到节点服务器上，当用户再次请求时，会直接分发到在离用户近的节点服务器上响应给用户，当用户有实际数据交互时才会从远程Web服务器上响应，这样就可以提高网站的响应速度及用户体验。

       若渗透目标购买了CDN服务，可以直接ping目标的域名，但得到的并非真正的目标Web服务器只是离我们最近的一台目标节点的CDN服务器，这就导致了没法直接得到目标的真实IP段范围。

2.判断目标是否使用了CDN

       通过ping目标主域,观察域名的解析情况,以此来判断其是否使用了CDN，如图：

       还可用在线网站17CE(https://www.17ce.com)进行全国多地区的ping服务器操作，然后对比每个地区ping出的IP结果，查看这些IP是否一致，如果都是一样的，极有可能不存在CDN。如果IP大多不太一样或者规律性很强，可以尝试查询这些IP的归属地，判断是否存在CDN。

3.绕过CDN寻找真实IP

（1）内部邮箱源。一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件、寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，就可以获得目标的真实IP(注意，必须是目标自己的邮件服务器，第三方或公共邮件服务器是没有用的)。扫描网站测试文件，如phpinfo、test等，从而找到目标的真实IP。

（2）分站域名。很多网站主站的访问量会比较大，所以主站都是挂CDN的，但是分站可能没有挂CDN，可以通过ping二级域名获取分站IP，可能会出现分站和主站不是同一个IP但在同一个C段下面的情况，从而能判断出目标的真实IP段。

（3）国外访问。国内的CDN往往只对国内用户的访问加速，而国外的CDN就不一定了。因此，通过国外在线代理网站App Synthetic Monitor(https://asm.ca com/en/ping-php)访问，可能会得到真实的IP.

（4）查询域名的解析记录。也许目标很久以前并没有用过CDN，所以通过网站NETCRAFT(https://www.netcraft.com/)来观察域名的IP历史记录，也可以大致分析出目标的真实IP段。

（5）如果目标网站有自己的App，可以尝试利用Fiddler或Burp Suite抓取App的请求，从里面找到目标的真实IP。

（6）绕过CloudFlare CDN查找真实IP。现在很多网站都使用CloudFlare提供的 CDN服务，在确定了目标网站使用CDN后，可以先尝试通过在线网站Cloud FlareWatch(http://www.crimeflare.us/cfs.html#box)对CloudFlare客户网站进行真实IP查询。

4.验证获取的IP

找到目标的真实IP以后，验证真实性：

        若是Web，最简单的验证方法是用IP访问，看响应的页面和访问域名返回的是否一样，或者在目标段较大时，借助类似Masscan的工具批扫描对应IP段中所有开了80、443、8080端口的IP，然后逐个尝试IP访问，观察响应结果是否为目标站点。

1.7、收集敏感目标文件

       针对网站目录的扫描工具有很多，例如DirBuster。

       DirBuster是OWASP开发的一款基于Java编写的、专门用于探测Web服务器的目录和隐藏文件。需要在Java运行环境(JRE)下安装。使用的基本步骤如下：

在Target URL输入框中输入要扫描的网址，扫描时将请求方法设置为“Auto Switch(HEAD and GET)”选项。

设置线程的数值，推荐在20~30之间。太大了容易引起系统死机。

选择扫描类型，如果使用个人字典扫描，则选择“List based brute force”选项。

单击“Browse”选择字典，在Select starting options中选择“URL Fuzz”方式进行扫描。设置fuzzing时需要注意，在URL to fuzz里输入“/{dir}”。这里的{dir}是一个变量，用来代表字典中的每一行。如图：

如果你扫描的目标是http://www.xxx.com/admin/，那么就要在URL to fuzz里填写“/admin/{dir}”，可在“{dir}”的前后随意拼接你想要的目录或者后缀，例如输入“:/admin/{dir}php”就表示扫描admin目录下的所有php文件。

另推荐在线工具站: WebScan(同IP网站查询,C段查询,IP反查域名,在线C段,旁站工具 - WebScan)。

1.8、社会工程学

       社会工程学的内容包含了欺骗、假冒、交谈、窃取信息等内容。

       其最初表现方式为，以人的因素攻击信息安全链，最薄弱的环节，通过欺骗的手段，入侵被骗者的计算机系统的攻击方式。