网络安全入门——信息收集

为什么要进行信息收集

渗透的本质是信息收集

信息收集也叫做资产收集

信息收集是渗透测试的前期主要工作，是非常重要的环节，收集足够多的信息才能方便接下来的测试，信息收集主要是收集网站的域名信息、子域名信息、目标网站信息、目标网站真实IP、敏感/目录文件、开放端口和中间件信息等等。通过各种渠道和手段尽可能收集到多的关于这个站点的信息，有助于我们更多的去找到渗透点，突破口。

信息收集的分类

1. 服务器的相关信息（真实ip，系统类型，版本，开放端口，WAF等）
2. 网站指纹识别（包括，cms，cdn，证书等） dns记录
3. whois信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等）
4. 子域名收集，旁站，C段等
5. google hacking针对化搜索，word/电子表格/pdf文件，中间件版本，弱口令扫描等
6. 扫描网站目录结构，爆后台，网站banner，测试文件，备份等敏感文件泄漏等
7. 传输协议，通用漏洞，exp，github源码等

网站指纹识别对象

1. CMS信息：比如大汉CMS、织梦、帝国CMS、phpcms、ecshop等；
2. 前端技术：比如HTML5、jquery、bootstrap、pure、ace等；
3. Web服务器：比如Apache、lighttpd, Nginx, IIS等；
4. 应用服务器：比如Tomcat、Jboss、weblogic、websphere等；
5. 开发语言：比如PHP、Java、Ruby、Python、C#等；
6. 操作系统信息：比如linux、win2008、win7、kali、centos等；
7. CDN信息：是否使用CDN，如cloudflare、360cdn、365cyd、yunjiasu等；
8. WAF信息：是否使用waf，如Topsec、safedog、Yundun等；
9. IP及域名信息：IP和域名注册信息、服务商信息等；
10. 端口信息：有些软件或平台还会探测服务器开放的常见端口。

域名信息

IP反查域名

通过IP可以反查出绑定在该网站的域名，来发现更多资产

• ip138: ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名
• webscan: 同IP网站查询,C段查询,IP反查域名,在线C段,旁站工具 - WebScan
• VirusTotal: https://www.virustotal.com
• 微步在线：微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

子域名收集

主域都是重点防护区域，所以不如先进入目标的某个子域，然后再想办法迂回接近真正的目标。

网站查询子域名

• VirusTotal VirusTotal
• fofa 网络空间测绘，网络空间安全搜索引擎，网络空间搜索引擎，安全态势感知 - FOFA网络空间测绘系统

• 工具扫描：Layer子域名挖掘机工具（想要此工具可以私聊我）

目标网站信息

Whois查询

whois指的是域名注册时留下的信息，比如留下管理员的名字、电话号码、邮箱。通过这些网站可以查询域名的相关信息，如域名服务商、域名拥有者，以及他们的邮箱、电话、地址等。

• 站长之家域名WHOIS信息查询地址 http://whois.chinaz.com/
• 爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/
• VirusTotal: https://www.virustotal.com        // 查IP地址或者域名是否有病毒，clean
• 腾讯云域名WHOIS信息查询地址 https://whois.cloud.tencent.com/
• 美橙互联域名WHOIS信息查询地址 https://whois.cndns.com/
• 爱名网域名WHOIS信息查询地址 https://www.22.cn/domain/
• 易名网域名WHOIS信息查询地址 https://whois.ename.net/
• 中国万网域名WHOIS信息查询地址 https://whois.aliyun.com/
• 西部数码域名WHOIS信息查询地址 https://whois.west.cn/
• 新网域名WHOIS信息查询地址 http://whois.xinnet.com/domain/whois/index.jsp
• 纳网域名WHOIS信息查询地址 http://whois.nawang.cn/
• 中资源域名WHOIS信息查询地址 https://www.zzy.cn/domain/whois.html
• 三五互联域名WHOIS信息查询地址 https://cp.35.com/chinese/whois.php
• 新网互联域名WHOIS信息查询地址http://www.dns.com.cn/show/domain/whois/index.do
• 国外WHOIS信息查询地址 https://who.is/

• kali工具

whois 域名

whois www.secdriver.com

ICP备案信息查询

网站备案是根据国家法律法规规定，需要网站的所有者向国家有关部门申请的备案，这是国家信息产业部对网站的一种管理，为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站，如果网站搭建在其他国家，则不需要进行备案。

常用的网站有以下几个：

• 工业和信息化部政务服务平台：https://beian.miit.gov.cn/       //审核通过日期
• 全国互联网安全管理平台：全国互联网安全管理平台         // 联网备案时间和备案地公安机关
• 天眼查：http://www.tianyancha.com              //邮箱、网址、法定代表人、公司地址、公司简介
• 爱站备案查询https://icp.aizhan.com/
• 域名助手备案信息查询http://cha.fute.com/index

目标网站真实IP

像有些大公司，为了提高访问速度，或者避免黑客攻击，用了CDN服务，用了CDN之后真实服务器ip会被隐藏。所以我们要在这里绕过CDN

怎么绕过CDN呢？

注意：很多时候，主站虽然是用了CDN，但子域名可能没有使用CDN，如果主站和子域名在一个ip段中，那么找到子域名的真实ip也是一种途径。

子域名查询

CDN是付费的，一些网站主站因为业务需要可能做了CDN加速，但是其他域名可能没有做CDN加速

案例：xueersi.com

第三方网站查询

网站IP&地址查询： https://get-site-ip.com/

历史DNS信息查询： https://securitytrails.com/app/account

国外地址请求

ping工具： https://ping.sx/ping

                   https://tools.ipip.net/newping.php

案例：sp910.com

邮件服务器获取IP

目标服务器主动连接我们时，不会受到CDN影响目标网站存在邮件验证等功能时，我们通过查看邮件源码，可能获取邮件服务器IP地址及发件人IP地址

服务器IP: Received: from xxxxxx

发件人IP：X-Originating-IP 河南

扫描敏感目录/文件

通过扫描目录和文件，大致了解网站的结构，获取突破点，比如后台，文件备份，上传点。

一般使用   dirseach  网站目录文件扫描

sqlmap sql数据库语法注入点

端口扫描

插件探测

Fofa Pro view

shodan

工具扫描

nmap

参数 解释

-sP Ping扫描

-sS 快速扫描，SYN 半开放扫描

-sT TCP全连接扫描（默认）

-sU UDP端口扫描，不准确

-sA 穿过防火墙的规则集，速度慢

-P0 空闲扫描，无Ping扫描

-PN 防火墙禁ping，不使用ping扫描

-PR ARP Ping 扫描，速度很快

-PS TCP SYN Ping扫描

-PA TCP ACK Ping扫描

-sV 端口服务及版本

-sC –script=default 默认的脚本扫描，主要是搜集各种应用服务的信息

-O  探测目标系统版本

-A  包含了-sV，-O，全面系统检测，启动脚本检测，扫描漏洞等（有误报）

-p  指定端口号 如: 80,81,8000-9000

-T  扫描速度T0~T5 ,默认T3， 速度越快精度越低

--open 只显示开放的端口

-v  / -vv 显示详细信息，-vv 比 -v 更详细

-iL 从文件导入要扫描的 ip 列表

-oN / -oX / -oG 将报告写入文件，格式分别为正常（自定义.txt）,XML,grepable

-exclude 排除某些不需要扫描的 ip

masscan

• 基本用法

masscan 192.168.23.1 -p 1-3000

• 枚举C段

-sL 参数可以枚举网段

masscan -sL 10.0.0.0/24 > c段.txt

masscan -sL 10.0.0.0/16 > b段.txt

masscan -sL 10.0.0.0/8 > a段.txt

参数     解释

--ping      发送icmp数据包，进行主机存活探测

-adapter-ip 指定发包的ip地址（伪造ip）

--adapter-port 指定发包源端口

--adapter-mac 指定发包的源MAC地址

--router-mac 指定网关MAC地址

--exclude   IP地址范围黑名单，不扫描的IP

--excludefile 指定IP地址范围黑名单文件

--includefile / -iL 读取一个范围列表进行扫描

--wait       指定在退出程序之前等待接收数据包，默认值为10秒

-p  指定要扫描的端口类型及范围 -p U：1024-1100

--rage 指定线程数，推荐1000~3000

--banners 抓取端口服务信息，仅支持部分协议

--open-only 只显示开放的端口

--http-user-agent 使用指定的user-agent发送http请求

-sL 不执行扫描，而是创建一个随机地址列表

--output-format 指示输出文件的格式，可以是 xml，二进制，grepable，list , JSON

--output-filename 输出的文件名

-oX / -oB /-oG / -oL / -oJ 格式化输出为某种文件形式 xml , 二进制 , grepable , list , json

御剑端口扫描

探索中间件

• 网站扩展程序   Wappalyzer
• 通过构造错误界面返回信息查看中间

• 通过http返回消息提取server字段,利用Brupsuite进行抓包查看

• 利用探测工具  nmap 

旁站

从其他的同IP服务器的网站渗透

同服务器不同站点的渗透方案

C段

同网段不同服务器的渗透方案

内网横向渗透

注意：云服务器C段IP一般都是相互独立的