信息搜集是渗透测试的关键步骤,它的深度与广度直接影响着攻击者入侵的深度和速度,所以在信息搜集阶段,我们应该竟可能得收集一切可能搜集的信息。瘾小生在此给大家做了以下可搜集信息的整理。
在本文中,外网信息搜集的目的是发现尽可能多的与目标相关信息,和尽能多的Web应用发现入口,而不详细探讨Web应用的枚举方式。如果大家对Web应用的信息枚举感兴趣,可以查看该系列的另一篇文章《渗透测试--Fuzzing Web应用_fuzz渗透测试-CSDN博客》。
网络侦查
网络侦查目的非常明确,分为一下4个重点,原则是越详细越好。网络侦查的手段主要由两种,主动侦查和被动侦查。主动侦查是直接和服务器交互,存在被发现风险。被动侦查则是通过一些特殊服务器来获取信息。
主动侦查
被动侦查
WHOIS信息搜集
whois能给我们带来一些信息,这些信息可以做到以下事情。
识别关键人员:WHOIS 记录通常会显示与域名管理相关的人员姓名、电子邮件地址和电话号码。这些数据可被用作社会工程攻击的切入点或用于识别潜在的网络钓鱼目标。
发现网络基础设施:相关技术信息(如名称服务器和 IP 地址)能够揭示目标网络架构的特性,有助于渗透测试人员找到潜在的入侵点或发现配置问题。
历史数据分析:利用诸如 WhoisFreaks 等服务访问历史 WHOIS 记录,可以追踪域名的所有权、联系人信息或技术属性的变化趋势,从而更全面地了解目标的数字足迹演变。
WHOIS查询
使用手法和关键信息点列在下面了。,
whois facebook.com
DNS 信息搜集
DNS不仅仅是用于翻译域名的技术协议,它是目标基础设施的重要组成部分,可用于渗透测试期间揭示漏洞和获得访问权限:
- 发现资产:DNS 记录可暴露大量信息,如子域、邮件服务器和名称服务器记录。例如,指向过时服务器的 CNAME 记录可能导致系统存在漏洞。
- 映射网络基础设施:分析 DNS 数据可以创建目标网络的综合地图,识别主机提供商和系统连接关系,并确定流量路径和潜在弱点。
- 监控变化:持续监控 DNS 记录可能揭示基础设施变化,如新子域的出现,提示新的网络入口点。
DNS记录含义映射表
Host文件位置
C:\Windows\System32\drivers\etc\hosts
/etc/hosts
Host文件内容
<span style="background-color:#141d2b"><span style="color:#a4b1cd"><code class="language-txt">127.0.0.1 localhost
192.168.1.10 devserver.local</code></span></span>DNS工具
Dig搜集DNS信息
子域名搜集
子域通常托管与主站点不直接链接的重要信息和资源,这可能包括:
- 开发与测试环境:公司可能在子域上测试新功能,由于较少的安全措施,这些环境可能暴露漏洞或敏感信息。
- 隐藏登录门户:子域可能托管管理面板或其他登录页面,可能成为未经授权访问的目标。
- 旧版应用程序:旧子域可能运行过时软件,存在已知漏洞。
- 敏感信息:子域可能意外暴露机密文档、内部数据或配置文件,对攻击者有吸引力。
DNS区域传送
DNS AXFR区域传输
dig axfr inlanefreight.htb @10.129.14.128
dig axfr internal.inlanefreight.htb @10.129.14.128
DNS子域名暴力破解工具集合
| Tool | Description |
|---|---|
| dnsenum | Comprehensive DNS enumeration tool that supports dictionary and brute-force attacks for discovering subdomains. |
| fierce | User-friendly tool for recursive subdomain discovery, featuring wildcard detection and an easy-to-use interface. |
| dnsrecon | Versatile tool that combines multiple DNS reconnaissance techniques and offers customisable output formats. |
| amass | Actively maintained tool focused on subdomain discovery, known for its integration with other tools and extensive data sources. |
| assetfinder | Simple yet effective tool for finding subdomains using various techniques, ideal for quick and lightweight scans. |
| puredns | Powerful and flexible DNS brute-forcing tool, capable of resolving and filtering results effectively. |
dnsenum爆破子域名
dnsenum --enum inlanefreight.com -f /usr/share/seclists/Discovery/DNS/subdomains-top1million-110000.txt -r证书公共存储库
搜索引擎搜索
vhost发现
burp修改host参数
intrunder完成
gobuster工具
用了下觉得不够灵活
gobuster vhost -u http://<target_IP_address> -w <wordlist_file> --append-domainffuf工具
还是这个又快又好啊!
ffuf -w /opt/useful/seclists/Discovery/DNS/subdomains-top1million-5000.txt:FUZZ -u http://academy.htb:PORT/ -H 'Host: FUZZ.academy.htb'企业用户名
linkedin2username
https://github.com/initstring/linkedin2username
爬取
安装
pip3 install scrapy
wget -O ReconSpider.zip https://academy.hackthebox.com/storage/modules/144/ReconSpider.v1.2.zip
unzip ReconSpider.zip 指纹识别
指纹识别侧重于提取网站或 Web 应用程序所采用技术的技术细节。与指纹唯一识别一个人的方式类似,Web 服务器、操作系统和软件组件的数字签名可以揭示有关目标基础设施和潜在安全漏洞的关键信息。这些知识使攻击者能够定制攻击并利用特定于已识别技术的漏洞。
指纹识别工具集合
| 工具 | 描述 | 特征 |
|---|---|---|
Wappalyzer | 用于网站技术分析的浏览器扩展和在线服务。 | 识别各种各样的网络技术,包括 CMS、框架、分析工具等。 |
BuiltWith | Web 技术分析器提供有关网站技术堆栈的详细报告。 | 提供不同详细程度的免费和付费计划。 |
WhatWeb | 用于网站指纹识别的命令行工具。 | 使用庞大的签名数据库来识别各种网络技术。 |
Nmap | 多功能网络扫描仪,可用于各种侦察任务,包括服务和操作系统指纹识别。 | 可与脚本(NSE)一起使用来执行更专业的指纹识别。 |
Netcraft | 提供一系列网络安全服务,包括网站指纹识别和安全报告。 | 提供有关网站技术、托管服务提供商和安全态势的详细报告。 |
wafw00f | 专为识别 Web 应用程序防火墙 (WAF) 而设计的命令行工具。 | 帮助确定 WAF 是否存在,如果存在,则确定其类型和配置。 |
Nmap 识别指纹(携带vhost版本)
nmap扫描服务器指纹和端口服务是非常OK的,但是对于WebCMS还是差了点,速度非常慢。
nmap -F -sV --script http-headers --script-args http.headers.host='app.inlanefreight.local' 10.129.92.39Wapplyzer CMS指纹识别
这个就是个浏览器插件,咱们安装就好。
解析robots.txt
下面是一个示例 robots.txt 文件:
User-agent: * Disallow: /admin/ Disallow: /private/ Allow: /public/ User-agent: Googlebot Crawl-delay: 10 Sitemap: https://www.example.com/sitemap.xml
文件说明:
-
通用规则:
User-agent: *表示对所有网络爬虫适用的规则。它不允许爬虫访问/admin/和/private/目录,但允许访问/public/目录。
这通常用于限制敏感区域的抓取并允许公开内容的索引。 -
特定爬虫规则:
针对Googlebot(Google 的网络爬虫),设置了Crawl-delay: 10,指示爬虫在每次请求之间等待 10 秒。这有助于减少对服务器的压力。 -
站点地图:
Sitemap: https://www.example.com/sitemap.xml提供了一个站点地图的链接,帮助爬虫更轻松地抓取和索引网站内容。
.well-knows URIs 风格目录
该目录我们是由目录爆破的时候都有可能爆出来。爆出来如果看到well-known的目录,我们应当提起精神。
Google高级搜索
这一部分可以聊的技巧非常多,所以之后会专门出一个专题和大家分享。
您可以从搜索引擎收集的信息也可以以多种不同的方式应用:
Security Assessment:识别漏洞、暴露数据和潜在攻击媒介。Competitive Intelligence:收集有关竞争对手的产品、服务和策略的信息。Investigative Journalism:揭露隐藏的联系、金融交易和不道德的行为。Threat Intelligence:识别新出现的威胁、追踪恶意行为者并预测潜在的攻击。
| 操作员 | 操作符描述 | 例子 | 示例说明 |
|---|---|---|---|
site: | 将结果限制到特定的网站或域。 | site:example.com | 查找 example.com 上所有可公开访问的页面。 |
inurl: | 查找 URL 中含有特定术语的页面。 | inurl:login | 搜索任何网站上的登录页面。 |
filetype: | 搜索特定类型的文件。 | filetype:pdf | 查找可下载的 PDF 文档。 |
intitle: | 查找标题中包含特定术语的页面。 | intitle:"confidential report" | 查找标题为“机密报告”或类似名称的文件。 |
intext:或者inbody: | 在页面正文中搜索某个术语。 | intext:"password reset" | 识别包含术语“密码重置”的网页。 |
cache: | 显示网页的缓存版本(如果可用)。 | cache:example.com | 查看 example.com 的缓存版本以查看其以前的内容。 |
link: | 查找链接到特定网页的页面。 | link:example.com | 识别链接到 example.com 的网站。 |
related: | 查找与特定网页相关的网站。 | related:example.com | 发现与 example.com 类似的网站。 |
info: | 提供有关网页的信息摘要。 | info:example.com | 获取有关 example.com 的基本详细信息,例如其标题和描述。 |
define: | 提供单词或短语的定义。 | define:phishing | 从各种来源获取“网络钓鱼”的定义。 |
numrange: | 搜索特定范围内的数字。 | site:example.com numrange:1000-2000 | 在 example.com 上查找包含 1000 至 2000 之间的数字的页面。 |
allintext: | 查找正文中包含所有指定词语的页面。 | allintext:admin password reset | 搜索正文中同时包含“管理员”和“密码重置”的页面。 |
allinurl: | 查找包含 URL 中所有指定单词的页面。 | allinurl:admin panel | 查找 URL 中带有“admin”和“panel”的页面。 |
allintitle: | 查找标题中包含所有指定词语的页面。 | allintitle:confidential report 2023 | 搜索标题中带有“机密”、“报告”和“2023”的页面。 |
AND | 通过要求所有术语都存在来缩小结果范围。 | site:example.com AND (inurl:admin OR inurl:login) | 在 example.com 上专门查找管理或登录页面。 |
OR | 通过包含含有任意术语的页面来扩大搜索结果。 | "linux" OR "ubuntu" OR "debian" | 搜索提及 Linux、Ubuntu 或 Debian 的网页。 |
NOT | 排除包含指定术语的结果。 | site:bank.com NOT inurl:login | 查找 bank.com 上除登录页面之外的页面。 |
*(通配符) | 代表任意字符或单词。 | site:socialnetwork.com filetype:pdf user* manual | 在 socialnetwork.com 上搜索 PDF 格式的用户手册(用户指南、用户手册)。 |
..(范围搜索) | 查找指定数值范围内的结果。 | site:ecommerce.com "price" 100..500 | 在电子商务网站上寻找价格在 100 到 500 之间的产品。 |
" "(引号) | 搜索精确的短语。 | "information security policy" | 查找提及精确短语“信息安全政策”的文档。 |
-(减号) | 从搜索结果中排除术语。 | site:news.com -inurl:sports | 在 news.com 上搜索新闻文章(不包括体育相关内容)。 |
Webback machine
Wayback Machine 是网络侦察的宝库,提供的信息在各种情况下都很有用。它的重要性在于它能够揭示网站的过去,提供在当前状态下可能不容易显现的宝贵见解:https://web.archive.org/
Uncovering Hidden Assets and Vulnerabilities:Wayback Machine 可让您发现当前网站上可能无法访问的旧网页、目录、文件或子域,从而可能暴露敏感信息或安全漏洞。Tracking Changes and Identifying Patterns:通过比较历史快照,您可以观察网站的发展情况,揭示结构、内容、技术和潜在漏洞的变化。Gathering Intelligence:存档内容可以成为 OSINT 的宝贵来源,提供对目标过去活动、营销策略、员工和技术选择的见解。Stealthy Reconnaissance:访问存档快照是一种被动活动,不会直接与目标基础设施交互,因此它是一种不太容易被发现的收集信息的方式。
漏洞库集合
Exploit Database - Exploits for Penetration Testers, Researchers, and Ethical Hackers
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
