一、架构信息收集
通过分析网页数据包判断web容器、操作系统以及数据库类型,在vulhub漏洞环境下查找是否有有关版本的漏洞可以利用,确定好思路
二、源码收集
判断网页是否使用了cms程序源码,若查到了对应源码对应版本,若开源则在搜索引擎中搜索下载;没开源可通过内部途径或者其他方式(黑暗引擎识别)下载
三、站点搭建
当目标网站无法收集获取有用信息或者不存在漏洞,可以另辟蹊径尝试收集其他与目标服务器站点的信息来达到目的
1.目录站点:在网站不同目录下可能存在另外一套源码,可以利用目录扫描工具进行判断
2.端口站点:不同端口下可能存在不同网站,比如80端口是目标网站,而88端口就另有一个网站
3.子域名站点:通过搜索引擎和第三方平台(例如whois)来收集该服务器下其他子站点
4.相似域名站点:通过网页资源爬取、搜索引擎、爆破前缀或者后缀来尝试收集其他有关目标网站的其他网站,比如www.xxx.com和www.xxx1.com相似,极有可能xxx1就是xxx的具有不同功能的站点
5.旁注/c段:旁注是收集相同ip的不同站点,对该网站测试与对目标网站测试区别不大;c段是收集相同网段不同IP的不同站点,最后通过内网渗透拿到目标站点权限
6.搭建平台站点:查看信息判断是否由phpstudy等搭建的,比如phpstudy下很存在phpadmin管理后台
四、防火墙判断
1.常见防火墙类型:宝塔、云盾、安全狗等
2.手工判断:某些网页在请求数据包中包含了waf的类型
3.工具判断:利用w00f工具对站点进行waf信息收集
五、CDN绕过
由于cdn使用了缓存服务器,导致目标的IP与预期不同,于是我们要收集真实IP的信息
1.多ping检测/子域名查找:通过平台对网页进行ping检测判断是否使用了CDN技术,如若有,尝试使用子域名(不加WWW)进行ping检测,某些使用了CDN的父域名,子域名不一定使用了CDN,这可导致直接泄露主站ip
2.邮箱信息:有些网页在邮箱功能可能直接使用主站进行邮件发送,我们可以利用社会工程学的方式进行邮箱沟通,在返回的邮箱头中尝试获取真实ip,除此之外,网站也可能在用户注册时发送邮箱验证码,也可以获取主站的真实ip
3.黑暗引擎:某些网站的logo图标或者其他标识性的文件很可能直接从主站进行使用,我们可以下载文件利用该文件的hash值在黑暗引擎搜索特定文件判断主站ip
4.历史cdn解析:网站一开始上线时可能未使用CDN技术,在某些平台可以搜集域名解析记录来判断真实ip
5.国外地址请求:一些网站在某些国家或者地区未进行CDN技术,可以切换VPN到偏远国家对网址进行ping,此时返回的ip极有可能就是真实ip
6.DDOS攻击(不推荐):利用ddos将缓存站点的带宽耗尽,此时再次访问网站直接进入就是主站
7.子域爆破:利用爆破工具例如DN-Scan、subDomainsBrute等对刚上线的新域名进行信息收集