资产与信息收集

一、信息收集

1、资产收集
渗透中的资产：网站的架构、ip、设备型号、网络拓扑（多用于内网）
为什么需要资产收集:
在实际渗透测试的过程中，我们需要对企业的资产进行梳理，但是往往在渗透测试过程中，客户通常会给我们一个主域名，此时资产收集就显得尤为重要了。随着企业内部业务的不断壮大，各种业务平台和管理系统越来越多，很多单位往往存在着“隐形资产”，这些“隐形资产”通常被管理员所遗忘,长时间无人维护,导致存在较多的已知漏洞。
资产收集的重要性:
在渗透测试中，我们需要尽可能多的去收集目标的信息。资产探测和信息收集，决定了你发现安全漏洞的几率有多大。如何最大化的去收集目标范围，尽可能的收集到子域名及相关域名的信息，这对我们进一步的渗透测试很重要。所谓资产收集就是从主域名出发，尽可能去收集关于该主域名的一切信息，如子域名、相关域名(旁站、C段)、移动端、行业系统…

2、子域名收集
【因为主域名安全防护严格，从而从子域下手】
收集方式：
1. 子域名检测工具
2. 搜索引擎枚举；
3. 第三方接口查询；
4. 证书透明度公开日志枚举；
5、常见的顶级域名后缀：.com 、.cn 、.net 、org
我国在国际互联网信息中心正式注册的域名是cn,我国的二级域名又分为类别域名和行政域名:
类别域名:科研机构的.ac、工商金融的.com、教育机构.edu、政府机构.gov、互联网信息中.net、非盈利机构.org

3. Google Hack语法
site:某个特定的网站中搜索；
intitle :搜索网页标签中出现第一个关键词的网页；
inurt:返回网页链接中包含的第一个关键字的网页；
intext：返回网页文本中出现关键子的网页；
filetype: 搜索特定拓展名的文件（pdf ，doc，txt)
filetpye:doc +关键字【filrtype:doc 安全】
cache :所搜缓存的

 常用的SSL在线证书查询：
 https://certdb.com/domain/github.com
 https://censys.io

还可以利用 C段、旁站【https://www.webscan.cc/search/]、移动端、行业系统

4. 信息收集

1. 域名收集：
   whois 信息 【kali : whois.xx.xx.com] :
   也就是注册人(注朋商）的信息，包括姓名、邮箱、电话、地址等信息，通过挖逅Whois信息，进一步通过搜索引擎获取更多的信息，另外对于中小站点来说,域名所有人往往就是管理员。
   Kali: Whois xox.xx.com
   在线查询:站长之家、爱站、whois365、whois.ailiyun.com等

   kail中的查询工具:
        (1)   dnsmap查询子域名------dnsmap  +域名
       （2）  fierce -dns  +域名
       （3）  ping 
        (4）  whois
        (5)   cms查询
                  方式一：利用云悉查询
                  方式二：利用kali工具whatweb查询
                            whatweb  +目标
        (6)   利用爬虫 
                python3  dirsearch.py  -u https://目标  -e php
        (7)  dirb  +目标         
   

   备案信息【IPC查询网：www.beianbeian.com】
   【天眼查：www.tianyancha.com】

   在线查询：爱占网、站长之家

2. IP信息收集：
   CDN------类似缓存服务器【主要解决网速低下的问题】（进行收集时可以绕过CDNc查询IP）
   【判断CDN存在：多地Ping或直接访问目标域名解析的地址，查看是否能跳转到域名所在的页面；在线多地Ping：http://www.17ce.com】
   CDN常用绕过方法：
   1、利用扫描工具，扫描文件从而获取真实IP
   2、子域名或移动端APP获取：移动APP可能会泄露目标的真实IP，利用Burp Suite或Fiddle抓包获取；
   3、利用已知的漏洞：XSS、SSRF或命令执行漏洞
   4、网站邮件订阅查找
   5、国外服务器访问【https://asm.ca.com/en/ping.php
   6、DNS历史解析
   7、查看IP与域名绑定的历史记录，可能会有CDN记录； 扫全网

https://dnsdb.io/zh-cn/
https://x.threatbook.cn
https://searchdns.netcraft.com
https://viewdns.info

8、利用网络空间所搜引擎所搜

fofa.so
shodan:https://shodan.io ------IP信息探测
钟馗之眼：https://www.zoomeye.org

9、SSL证书探测

https://censys.io/certificates

10、端口信息收集【namp】或用mascan来进行端口扫描

nmap 常用方法
扫描单个目标：nmap ip
多个目标扫描：nmap ip1 ip2
扫描范围的目标：nmap 192.168.1.1-255
扫描文本：nmap -il C:/路径/target.txt
扫描处理某个地址外的所有目标：nmap 192.168.0.100-255 exclude 192.168.0.12
扫描处理某个文件之外的所有目标：nmap 192.168.0.100-255 excludefile C:/路径/target.txt
扫描指定端口： nmap 192.168.1.1 -p 21 ,22 ,80,3389
参数：
-vv显示响应
-sP: Ping扫描
-sT: TCP连接扫描:完整三次握手，最基础最稳定的扫描方式-sS: TCP SYN扫描,
-sU: UDP扫描,速度非常慢
-PO:无Ping扫描，用于禁止Ping的扫描

针对端口的攻击：
22 -------SSH远程连接------攻击方法：爆破、ssh隧道及内网代理转发、文件传输
23-------- telent远程连接----攻击方法：爆破。嗅探、弱口令
3389-----rdp远程连接--------攻击方法：shift后门、爆破
5900-----VNC远程连接-----攻击方法：弱口令、RCE
5632-----PcAnywhere远程连接------攻击方法：嗅探、代码执行

11、CMS信息搜索：云悉：www.yunsee.cn
12、服务器、中间件、架构信息收集

DNS历史解析:
·意看P氩域名绑定的历忠记录，可能会存在使用CDN前的记录。
https://dnsdb.io/zh-cn
https://x.threatbook.cnl
https://searchdns.netcraft.coml
http://viewdns.infol
https://securitytrails.com/

13、敏感信息/文件/目录收集：

1. -利用Google高级语法去页面中检索后台。
   -利用、7kb、御剑、dirb、dirbuster、wwwscan、Nikto (nikto -host xx.com)等工具枚举后台地址、敏感文件。
   -robots.txt文件是一个防爬虫文件，一般后台是不允许被爬取的，所以该文件可能存放着后台信息。phpinfo()信息,phpinfo.php、l.php是一个探针信息文件，访问该文件可获取服务器配置等信息查询目标站点在乌云镜像站是否存在已知漏洞。
   -WAF信息识别: Kali工具WAFWOOF:命令 wafwO0f -a域名 nmap脚本 --script=http-waf-detect .–script=http-waf-fingerprint

2. 备份文件/测试文件：
   管理员在对网站进行修改、升级等操作前，可能会将网站或某些页面进行备份，由于各种原因将该备份文件存放到网站目录下，该文件未做任何访问控制，导致可直接访问并下载。可能为.rar、zip、.7z、.tar.gz、.bak、.txt、.swp等等，以及和网站信息有关的文件名www.rar、web、rar等等

3.github源码泄露：
由于目前的web项目的开发采用前后端完全分离的架构:前端全部使用静态文件，和后端代码完全分离，隶属两个不同的项目。表态文件使用git来进行同步发布到服务器，然后使用nginx指向到指定目录，以达到被公网访问的目的。在运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记录等等。在发布代码的时候，.git这个目录没有删除，直接发布了。使用这个文件，可以用来恢复源代码

4.DS_Store泄露
DS_Store是Mac下Finder用来保存如何展示文件/文件夹的数据文件，每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store，可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。
SVN导致文件泄露:
.Subversion，简称SVN，是一个开放源代码的版本控制系统，SVN漏洞在实际渗透测试过程中，利用到也比较多，由于一些开发管理员疏忽造成，原理类似DS_Store漏洞。
5.WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件，必须通过web.xml文件对要访问的文件进行相应映射才能访问。
. WEB-INF主要包含一下文件或目象:
·/WEB-INF/web.xml: Web应用程序配置文件，描述了servlet和其他的应用组件配置及命名规则。
/WEB-INF/classes/:含了站点所有用的class 文件，包括servlet class,和非servlet class，他们不能包含在.jar文件中
·/WEB-INF/lib/:存放web应用需要的各种JAR文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件·/WEB-INF/src/:源码目录，按照包名结构放置各个java文件。

3…CMS指纹信息收集:
.robots.txt文件(防爬虫文件)里的目录结构,例知/wp-admin/可以大致判断cms为WordPress
·通过版权信息进行查询,拉到底部查看版权信息，有些站点会显示出来例如Powered by DedeCMS_xx·网页源码查看
,·通过扫描器如wpscan针对wordpress，再比如御剑扫描目录分析目录结构·在线扫描:
·在线识别: http://whatweb.bugscaner.com/look/·云悉http://www.yunsee.cn
·潮汐指纹:http://finger.tidesec.net/
3. ·服务器/中间件/架构信息收集:
·服务器系统信息:
·最直接的办法是利用Ljnux系统对大小写敏感，而Windows不敏感·数据包返回判断
中间件判断:
·利用常规知识判断
·报错法(想办法让网站报错)
burp抓包、火狐插件

5. ·站点架构信息收集:·网站架构信息:
   ·网站语言、数揭库，网站框架、组件框架历史漏洞·常用的网站架构如:

• LAMP: LAMP==Linux+Apache+Mysql+PHP-LNMP: LNMP= =Linux+Nginx+Mysql+PHP- PHP框架:ThinkPHP
  ·在线查找:
  ·云悉指纹:http:/ / www.yunsee.cn/·潮汐指纹:http://finger.tidesec.net/