渗透测试之信息搜集

信息搜集—渗透测试的灵魂

1、whois信息（注册域名的时候留下的信息）

主要包含管理员的邮箱、名字、电话号码、域名等

主要使用站长工具、在线查询whois信息的网站（whois.com）、kali等

2、子域名

暴破法：用子域名挖掘机、御剑等

证书查询法：crt.sh(只适用于https的网站)

搜索引擎法：谷歌搜索、fofa等

3、端口扫描

Nmap（扫描之王）

常用命令：

-p  指定端口扫描

-v  显示扫描过程

-Pn  不检测存活，直接端口扫描(目标禁ping时)

-O  探测主机操作系统

-A  全面扫描

扫描单个地址： nmap 192.168.1.1

扫描多个地址(数量不多的时候)：nmap 192.168.1.1  192.168.1.2

扫描一个范围内的地址：nmap 192.168.1.1-100

扫描目标地址的某个网段：如C段、nmap 192.168.1.1/24

扫描本地文件里的所有网址：nmap -iL 绝对路径(如果文件与nmap在同一个目录下，则只需要引用文件名)例：nmap -iL a.txt

扫描某一目标地址的XX端口：nmap 192.168.1.1 -p 21,22,23,24

4、目录扫描

御剑

君子协议：robots.txt（告诉爬虫，你不要去爬这些东西）

目的：找后台、压缩包源码、编辑器目录、废弃页面（可能报错，得到路径）、其他站点

5、指纹识别

识别网站的web容器、后端语言、xxCMS等

常用工具：微步社区、潮汐指纹识别等

6、旁站查询（同IP站点查询）

同IP：同一台服务器、同一个内网

一般用站长工具查询

如果网站用了CDN，就没什么必要搜索旁站了

CDN影响的东西主要有端口、旁站、C段

如何判断目标是否使用了CDN：多地ping，看IP是否相同

绕过CDN：

订阅目标邮箱(一般的邮件系统都在内部，没有经过CDN的解析。必须是目标自己的邮件服务器，第三方或者公共邮件服务器是没有用的)

找分站(很多网站的主站访问量会比较大，所以主站都会挂CDN，但是分站可能没有挂CDN)

国外访问(国内的CDN往往只对国内用户的访问加速，而国外的就不一定了，可以通过国外在线代理网站来找到真实IP)

查询域名的解析记录(https://www.netcraft.com)、

7、内容敏感信息泄露

谷歌语法：

site  指定域名

filetype  指定文件类型

inurl  指定url 

fofa：指定域名，查找资产