渗透测试-01信息收集

0x01信息收集

1.什么是信息收集

信息收集是指通过各种方式获取所需要的信息，以便我们在后续的渗透过程更好的进行，比如目标的站点IP、中间件、脚本语言、端口、邮箱等等。信息收集包含资产收集但不限于资产收集。

2.信息收集的意义

1.信息收集是渗透测试成功的保障
2.更多的包露面
3.更大的渗透成功的可能性

3.信息收集的分类

·主动信息收集

直接通过访问网站在网站上的操作，，对网站进行扫描，这是有网络流量经过目标服务器的信息收集方式。

·被动信息收集

基于公开的渠道，比如搜索引擎，在不与目标系统直接交互的情况下获取信息，减少收集信息的痕迹。常常使用google hacking语法对敏感信息进行收集。也可通通过浏览器插件进行收集。

常见的hacking语法：
site：可以限制你搜索范围的域名.
inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用.
intext: 只搜索网页<body>部分中包含的文字
intitle: 查包含关键词的页面，一般用于社工别人的webshell密码
filetype：搜索文件的后缀或者扩展名
intitle：限制你搜索的网页标题.
link: 可以得到一个所有包含了某个指定URL的页面列表.
查找后台地址：site域名
inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点：site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞：site:域名 inurl:file|load|editor|Files
找eweb编辑器：
site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的数据库：site:域名 filetype:mdb|asp|#
查看脚本类型：site:域名 filetype:asp/aspx/php/jsp

4.收集的信息

·域名信息（whois、备案信息、子域名）
·服务器信息（端口、服务、IP）
·网站信息（网站架构、操作系统、中间件、数据库、编程语言、指纹信息、WAF、敏感目录、敏感文件、源码泄露、旁站、C段）
·管理员信息（姓名、职务、生日、联系电话、邮件地址）

0x02域名信息收集

域名介绍

域名（Domain Name），简称域名、网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）。
DNS（域名系统，Domain Name System）是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便地访问互联网。

域名分类

顶级域名	二级域名	三级域名
.com	baidu.com	www.baidu.com
二级域名是指顶级域名之下的域名，在国际顶级域名下，它是指域名注册人的网上名称，例如 ibm，yahoo，microsoft等；在国家顶级域名下，它是表示注册企业类别的符号，例如com，top，edu，gov，net等

whois

whois简介

Whois 是用来查询域名的IP以及所有者等信息的传输协议。就是一个用来查询域名是否被注册，以及注册域名的详细信息的数据库(如域名所有人，域名注册商)
Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）。通过域名Whois服务器查询，可以查询域名归属者联系方式，以及注册和到期时间。
WHOIS协议是什么？ (biancheng.net)
whois查询的用处：通过whois查询可以获得域名注册者邮箱地址等信息。一般情况下对于中小型网站域名注册者就是网站管理员。利用搜索引擎对whois查询到的信息进行搜索，获取更多域名注册者的个人信息。

whois查询

查询链接

https://whois.aliyun.com/
https://www.whois365.com/cn/
http://whois.chinaz.com/

备案信息

备案号是网站是否合法注册经营的标志，可以用网页的备案号反查出该公司旗下的资产。
查询链接

https://beian.miit.gov.cn/
http://www.beian.gov.cn/portal/registerSystemInfo
http://icp.chinaz.com/
https://icplishi.com/

whois反查

whois反查，可以通过注册人、注册人邮箱、注册人手机电话反查whois信息先通过whois获取注册人和邮箱，再通过注册人和邮箱反查域名。
缺点是很多公司都是DNS解析的运营商注册的,查到的是运营商代替个人和公司注册的网站信息。
查询链接：

https://whois.chinaz.com/reverse?ddlSearchMode=1
http://whois.4.cn/reverse
https://whois.aizhan.com/

子域名

子域名简介

子域名指二级域名,二级域名是顶级域名(一级域名)的下一级。
比如 www.baidu.com 和 mail.baidu.com 是 baidu.com 的子域，而baidu.com 则是顶级域名 .com 的子域。

google hacking

site:xxx.com

web查询

https://dnsdumpster.com/
https://www.dnsgrep.cn/
https://developers.virustotal.com/reference/domains-relationships
http://tool.chinaz.com/subdomain
https://phpinfo.me/domain/
https://www.nmmapper.com/sys/tools/subdomainfinder/

SSL证书查询

https://crt.sh/
https://developers.facebook.com/tools/ct/search/

JS文件发现子域名

https://github.com/Threezh1/JSFinder

JSFinder 是一个从网站上的 JS 文件中快速提取 URL 和子域的工具。
JSFinder获取URL和子域名的方式：
简单使用：

子域名收集工具

1.子域名挖掘机
2.OneforAll

https://github.com/shmilylty/OneForAll

3.Sublist3r

https://github.com/aboul3la/Sublist3r

4.dnsbrute

https://github.com/Q2h1Cg/dnsbrute

等等。。。

IP、端口信息收集

IP信息收集

IP反查域名

http://stool.chinaz.com/same
https://tools.ipip.net/ipdomain.php
https://www.dnsgrep.cn/
https://site.ip138.com/

如果渗透目标为虚拟主机，那么通过IP反查到的域名信息很有价值，因为一台物理服务器上面可能运行多个虚拟主机。这些虚拟主机有不同的域名，但通常共用一个IP地址。如果你知道有哪些网站共用这台服务器，就有可能通过此台服务器上其他网站的漏洞获取服务器控制权，进而迂回获取渗透目标的权限，这种技术也称为“旁注”。

域名查询IP

http://ip.tool.chinaz.com/
https://ipchaxun.com/
https://site.ip138.com/

知道一个站点的域名需要得到它的IP以便之后获取端口信息或扫描等后续工作。

C段存活主机探测

查找与目标服务器IP处于同一个C段的服务器IP。

nmap -sP www.XXX.com/24
nmap -sP 192.168.1.*

CDN简介

CDN即内容分发网络。CDN是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。

CDN判断

1.多地ping

http://ping.chinaz.com/
http://www.webkaka.com/Ping.aspx

用各种多地 ping 的服务，查看对应 IP 地址是否唯一。

2.国外访问

https://asm.ca.com/en/ping.php

因为有些网站设置CDN可能没有把国外的访问包含进去，所以可以这么绕过。

CDN绕过

1.查询子域名的IP

https://ip.tool.chinaz.com/ipbatch

CDN 流量收费高，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。

2.查询历史DNS记录

https://dnsdb.io/zh-cn/
https://securitytrails.com/
https://viewdns.info/iphistory/
https://www.ip138.com/

查看 IP 与 域名绑定的历史记录，可能会存在使用 CDN 前的记录;
IP地址是网络上标识服务器的数字地址，为了方便记忆，使用域名来代替IP地址。域名解析就是域名到IP地址的转换过程，域名的解析工作由DNS服务器完成。
DNS服务器会把域名解析到一个IP地址，然后在此IP地址的主机上将一个子目录与域名绑定。
域名解析时会添加解析记录，这些记录有：A记录、AAAA记录、CNAME记录、MX记录、NS记录、TXT记录。

端口信息收集

在Internet上，各主机间通过TCP/IP协议发送和接受数据包，各个数据包根据其目的主机的IP地址来进行互联网络中的路由选择，从而顺利的将数据包顺利的传送给目标主机但当目的主机运行多个程序时，目的主机该把接受到的数据传给多个程序进程中的哪一个呢？端口机制的引入就是为了解决这个问题。端口在网络技术中，端口有两层意思：一个是物理端口，即物理存在的端口，如：集线器、路由器、交换机、ADSL Modem等用于连接其他设备的端口；另一个就是逻辑端口，用于区分服务的端口，一般用于TCP/IP中的端口，其范围是0~65535,，0为保留端口，一共允许有65535个端口比如用于网页浏览服务的端口是80端口，用于FTP服务的是21端口。 这里我们所指的不是物理意义上的端口，而是特指TCP/IP协议中的端口，是逻辑意义上的端口

·协议端口：
根据提供服务类型的不同，端口可分为以下两种：
TCP端口：TCP是一种面向连接的可靠的传输层通信协议
UDP端口：UDP是一种无连接的不可靠的传输层协议
TCP协议和UDP协议是独立的，因此各自的端口号也互相独立。
TCP：给目标主机发送信息之后，通过返回的应答确认信息是否到达
UDP：给目标主机放信息之后，不会去确认信息是否到达

·常见端口漏洞

参考https://blog.csdn.net/qq_38135115/article/details/115872617?spm=1001.2014.3001.5502

端口扫描

NAMP

NMAP简介：

NMAP是一个网络连接端扫描软件，用来扫描网上电脑开放的网络连接端。确定哪些服务运行在哪些连接端，并且推断计算机运行哪个操作系统（这是亦称 fingerprinting）。它是网络管理员必用的软件之一，以及用以评估网络系统安全。
正如大多数被用于网络安全的工具，nmap 也是不少黑客及骇客（又称脚本小子）爱用的工具 。系统管理员可以利用nmap来探测工作环境中未经批准使用的服务器，但是黑客会利用nmap来搜集目标电脑的网络设定，从而计划攻击的方法。
Nmap 常被跟评估系统漏洞软件Nessus 混为一谈。Nmap 以隐秘的手法，避开闯入检测系统的监视，并尽可能不影响目标系统的日常操作。

功能介绍

1. 检测网络存活主机（主机发现）
2. 检测主机开放端口（端口发现或枚举）
3. 检测相应端口软件（服务发现）版本
4. 检测操作系统，硬件地址，以及软件版本
5. 检测脆弱性的漏洞（nmap的脚本）

端口状态

Open               
端口开启，数据有到达主机，有程序在端口上监控
Closed             
端口关闭，数据有到达主机，没有程序在端口上监控
Filtered           
数据没有到达主机，返回的结果为空，数据被防火墙或IDS
过滤
UnFiltered         
数据有到达主机，但是不能识别端口的当前状态
Open|Filtered       
端口没有返回值，主要发生在UDP、IP、FIN、NULL和
Xmas扫描中
Closed|Filtered     只发生在IP ID idle扫描

基础用法

nmap -A -T4 192.168.1.1
A：全面扫描\综合扫描
T4：扫描速度，共有6级，T0-T5
不加端口说明扫描默认端口，1-1024 + nmap-service
单一主机扫描：namp 192.168.1.2
子网扫描：namp 192.168.1.1/24
多主机扫描：nmap 192.168.1.1 192.168.1.10
主机范围扫描：namp 192.168.1.1-100
IP地址列表扫描：nmap –iL target.txt
扫描除指定IP外的所有子网主机：
nmap 192.168.1.1/24 --exclude 192.168.1.1
扫描除文件中IP外的子网主机：
nmap 192.168.1.1/24 --excludefile xxx.txt
扫描特定主机上的80,21,23端口：
nmap –p 80,21,23 192.168.1.1

扫描全端口

nmap -sS -v -T4 -Pn -p 0-65535 -oN FullTCP -iL liveHosts.txt
• -sS：SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快，
效率高（一个完整的tcp连接需要3次握手，而-sS选项不需要3次握手）
优点：Nmap发送SYN包到远程主机，但是它不会产生任何会话，目标主机几乎不会把
连接记入系统日志。（防止对方判断为扫描攻击），扫描速度快，效率高，在工作中
使用频率最高
缺点：它需要root/administrator权限执行
• -Pn：扫描之前不需要用ping命令，有些防火墙禁止ping命令。可以使用此选项
进行扫描
• -iL：导入需要扫描的列表

网站信息收集

操作系统

1. ping 判断：windows的TTL值一般为128，Linux则为64。
   TTL大于100的一般为windows，几十的一般为linux。
2. nmap -O 参数
3. windows大小写不敏感，linux则区分大小写
   网站服务、容器类型
4. F12查看响应头Server字段
5. whatweb

https://www.whatweb.net/

3. wappalyzer插件
   apache ，nginx ，tomcat，IIS
   通过容器类型、版本可考虑对应容器存在的漏洞（解析漏洞）

脚本类型

1. php
2. jsp
3. asp/aspx
4. python

数据库类型

1. mysql
2. sqlserver
3. access
4. oracle

知道是什么语言才可以针对性的进行文件扫描、文件上传。

CMS识别

CMS：内容管理系统，用于网站内容文章管理。

https://github.com/lengjibo/dedecmscan

常见CMS：dedecms(织梦)、Discuz、phpcms等。
在线识别工具：

http://whatweb.bugscaner.com/look/

敏感目录

敏感文件、敏感目录挖掘一般都是靠工具、脚本来找，比如御剑、BBscan。

github
git
svn
.DS_Store
.hg
.bzr
cvs
WEB-INF
备份文件

前面七种为版本管理工具所泄露的常规方式，上面的两种方式为操作不当，安全意识薄弱所造成的泄露。

网站备份文件

网站备份文件泄露指管理员误将网站备份文件或是敏感信息文件存放在某个网站目录下。

https://github.com/7kbstorm/7kbscan-WebPathBrute

目录探测

外部黑客可通过暴力破解文件名等方法下载该备份文件，导致网站敏感信息泄露。
dirsearch：

https://github.com/maurosoria/dirsearch

dirmap：

https://github.com/H4ckForJob/dirmap

御剑后台扫描工具。

网站WAF识别

WAF定义

WAF ，即： Web Application FireWall （Web应用防火墙）。可以通俗的理解为：用于保护网站，防黑客、防网络攻击的安全防护系统；是最有效、最直接的Web安全防护产品。

WAF功能

1. 防止常见的各类网络攻击，如：SQL注入、XSS跨站、CSRF、网页后门等；
2. 防止各类自动化攻击，如：暴力破解、撞库、批量注册、自动发贴等；
3. 阻止其它常见威胁，如：爬虫、0 DAY攻击、代码分析、嗅探、数据篡改、越权访问、敏感信息泄漏、应用层DDOS、远程恶意包含、盗链、越权、扫描等。

WAF识别

wafw00f：

https://github.com/EnableSecurity/wafw00f

nmap –p80,443 --script http-waf-detect ip
nmap –p80,443 --script http-waf-fingerprint ip

常见WAF拦截页面总结

https://mp.weixin.qq.com/s/PWkqNsygi-c_S7tW1y_Hxw