渗透测试之信息搜集

信息搜集

主动信息收集：通过直接访问、扫描网站，这种流量将流经网站，能获取更多的信息，但是目标主机可能会记录你的操作记录。

被动信息收集：利用第三方的服务对目标进行访问了解，比例：Google搜索、Shodan搜索、钟馗之眼等，你收集的信息会相对较少，但是你的行动并不会被目标主机发现。

1、Google Hacking

常用语法：

逻辑与：and
逻辑或：or 
逻辑非：-
完整匹配："关键词" 
通配符：* ?
返回正文中含有关键字的网页 intext:
寻找标题中含有关键字的网页 intitle:
用法和intitle类似，可以指定多个词 allintitle:登录 管理
返回url中含有关键词的网页 inurl:
用法和inurl类似，可以指定多个词 allinurl:
指定站点 site:
指定文件类型 filetype:
指定链接的网页 link:
相似类型的网页 related:
网页快照 cache:
返回站点的指定信息 info:
返回某个词语的定义 define:

查找网站后台

• site:xx.com intext:管理

• site:xx.com inurl:login

• site:xx.com intitle:后台

查看服务器使用的程序

• site:xx.com filetype:asp

• site:xx.com filetype:php

• site:xx.com filetype:jsp

• site:xx.com filetype:aspx

查看上传漏洞

• site:xx.com inurl:file

• site:xx.com inurl:load

Index of

利用 Index of 语法去发现允许目录浏览的web网站，就像在本地的普通目录一样。下面是一些有趣的查询：

• index of /admin

• index of /passwd

• index of /password

• index of /mail

• "index of /" +passwd

• "index of /" +password.txt

• "index of /" +.htaccess

• "index of /root"

• "index of /cgi-bin"

• "index of /logs"

• "index of /config"

2、判断域名的真实IP

https://get-site-ip.com/

使用在线ping来测试是否存在CDN

• https://wepcc.com/

• http://ping.chinaz.com/

• http://ping.aizhan.com/

当存在多个IP时，说明存在CDN

(1)查询子域名：毕竟 CDN 还是不便宜的，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。

https://tools.ipip.net/cdn.php

https://dnsdb.io/zh-cn/

(2)查询主域名：以前用CDN的时候有个习惯，只让WWW域名使用cdn，秃域名不适用，为的是在维护网站时更方便，不用等cdn缓存。所以试着把目标网站的www去掉，ping一下看ip是不是变了，您别说，这个方法还真是屡用不爽。

(3)邮件服务器：一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件，寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，就可以获得目标的真实IP(必须是目标自己的邮件服务器，第三方或者公共邮件服务器是没有用的)。

(4)查看域名历史解析记录：也许目标很久之前没有使用CDN，所以可能会存在使用 CDN 前的记录。所以可以通过网站https://www.netcraft.com 来观察域名的IP历史记录。

(5)国外访问：国内的CDN往往只对国内用户的访问加速，而国外的CDN就不一定了。因此，通过国外在线代理网站https://asm.ca.com/en/ping.php 访问 ，可能会得到真实的ip地址。

(6)Nslookup查询：查询域名的NS记录、MX记录、TXT记录等很有可能指向的是真实ip或同C段服务器。传送门：各种解析记录

(7)网站漏洞：利用网站自身存在的漏洞，很多情况下会泄露服务器的真实IP地址

(8)Censys查询SSL证书找到真实IP：利用“Censys网络空间搜索引擎”搜索网站的SSL证书及HASH，在https://crt.sh上查找目标网站SSL证书的HASH，然后再用Censys搜索该HASH即可得到真实IP地址。

3、域名的whois信息

http://whois.chinaz.com/

4、子域名

Layer子域名爆破机

subDomainBrute

利用谷歌或百度查询

通过搜索框搜索

site:xx.com

通过DNS查询

https://dnsdb.io/zh-cn/

只需输入baidu.com type:A就能收集百度的子域名和ip

5、敏感信息网上搜集

百度、谷歌、Github、码云等平台上查找

6、指纹识别

在线指纹识别

• BugScaner：http://whatweb.bugscaner.com/look/

• 云悉指纹：http://www.yunsee.cn/finger.html

• WhatWeb：https://whatweb.net/

• WAppalyzer (Google插件，Google或Edge插件商店都可以安装)

7、WAF识别

WAF是什么？

百度百科：Web应用防护系统（也称为：网站应用级入侵防御系统。英文：Web Application Firewall，简称：WAF）。利用国际上公认的一种说法：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

简单来说WAF就是防火墙。

利用工具识别WAF

SQLMAP

python sqlmap.py -u "TARGET_URL" --identify-waf

Wafw00f

python main.py "TARGET_URL"

通过页面回显，人工识别（未完）

8、主机扫描

Goby

Nessus

9、站点扫描

AWVS

OWASP

10、端口扫描

nmap

11、网站敏感目录和文件

网站敏感文件：robots.txt、crossdomin.xml、sitemap.xml、源码泄漏文件(.git/.svn)、网站备份文件

目录扫描工具：

御剑、dirb

12、旁站和C段

旁站：是和目标网站在同一台服务器上的其它的网站。

C段：比如192.168.1.0-255的设备都处于同一个c段。

13、Shodan

官网地址为：https://www.shodan.io

1、基本用法

直接搜索ssh、apache

点击相应的IP，可以查看主机详细信息

搜索语法
hostname	搜索指定的主机或域名	例如hostname:"sina.com"
port	搜索指定的端口	例如 port:"80"
port	搜索指定的端口	例如 port:"80"
country	搜索指定的国家	例如country:"China"
city	搜索指定的城市	例如city:"Beijing"
product	搜索指定的操作系统/软件	例如product:"apache"
version	搜索指定的软件版本	例如version:"7.1.4"
net	搜索指定的IP地址或子网	例如 net:"117.44.67.0/24"

2、实例演示

1.查找位于北京的apache服务器

apache city:"Beijing"

2.位于美国的Nginx服务器

Nginx country:"United states"

3.查找新浪的服务器

hostname:"sina.com"

除了通过搜索以外，我们还可以点击shodan右侧的“explore”，就可以看到别人分享的搜索语法。

14、钟馗之眼

ZoomEye - Cyberspace Search Engine

15、FoFa

FOFA网络空间测绘系统