信息搜集—渗透测试的灵魂
1、whois信息(注册域名的时候留下的信息)
主要包含管理员的邮箱、名字、电话号码、域名等
主要使用站长工具、在线查询whois信息的网站(whois.com)、kali等
2、子域名
暴破法:用子域名挖掘机、御剑等
证书查询法:crt.sh(只适用于https的网站)
搜索引擎法:谷歌搜索、fofa等
3、端口扫描
Nmap(扫描之王)
常用命令:
-p 指定端口扫描
-v 显示扫描过程
-Pn 不检测存活,直接端口扫描(目标禁ping时)
-O 探测主机操作系统
-A 全面扫描
扫描单个地址: nmap 192.168.1.1
扫描多个地址(数量不多的时候):nmap 192.168.1.1 192.168.1.2
扫描一个范围内的地址:nmap 192.168.1.1-100
扫描目标地址的某个网段:如C段、nmap 192.168.1.1/24
扫描本地文件里的所有网址:nmap -iL 绝对路径(如果文件与nmap在同一个目录下,则只需要引用文件名)例:nmap -iL a.txt
扫描某一目标地址的XX端口:nmap 192.168.1.1 -p 21,22,23,24
4、目录扫描
御剑
君子协议:robots.txt(告诉爬虫,你不要去爬这些东西)
目的:找后台、压缩包源码、编辑器目录、废弃页面(可能报错,得到路径)、其他站点
5、指纹识别
识别网站的web容器、后端语言、xxCMS等
常用工具:微步社区、潮汐指纹识别等
6、旁站查询(同IP站点查询)
同IP:同一台服务器、同一个内网
一般用站长工具查询
如果网站用了CDN,就没什么必要搜索旁站了
CDN影响的东西主要有端口、旁站、C段
如何判断目标是否使用了CDN:多地ping,看IP是否相同
绕过CDN:
订阅目标邮箱(一般的邮件系统都在内部,没有经过CDN的解析。必须是目标自己的邮件服务器,第三方或者公共邮件服务器是没有用的)
找分站(很多网站的主站访问量会比较大,所以主站都会挂CDN,但是分站可能没有挂CDN)
国外访问(国内的CDN往往只对国内用户的访问加速,而国外的就不一定了,可以通过国外在线代理网站来找到真实IP)
查询域名的解析记录(https://www.netcraft.com)、
7、内容敏感信息泄露
谷歌语法:
site 指定域名
filetype 指定文件类型
inurl 指定url
fofa:指定域名,查找资产