渗透测试之信息搜集

信息搜集概述

信息搜集使渗透测试的第一步，对于渗透测试的前期工作有着重要意义，因为只有我们掌握了目标网站或者目标主机足够多的信息之后我们才能更好的进行漏洞检测，信息搜集可以分为两类：主动和被动，主动信息搜集主要是通过直接俄访问，扫描网站等方式，而被动信息收集主要是利用第三方的服务对目标进行访问了解，比方说谷歌搜索等。

进行任何一项工作我们都要有明确的目标，在信息搜集前我们要明确搜集什么样的信息

信息搜集的内容

一般有：域名对应的 IP；域名的 whois 信息；子域名、DNS 记录查询；公司敏感信息；网站指纹；服务器类型；网站容器类型；脚本类型；数据库类型；端口信息；网站敏感目录和文件；站和 C 段扫描；网站漏洞等

有了明确的目标我们就要想尽办法去实现

信息搜集的方法和工具及应用

1. 网站四大套件信息探针
探针实质上是通过网页编程语言实现探测服务器敏感信息的脚本文件，通常用于探测网站目录，服务器操作系统，cpu数量，Sessions超时时间，服务器Session变量，服务器Application变量，组件支持情况，运算速度，磁盘读写速度以及网络连接速度等。根据功能不同，探针分为：操作系统探针，数据库探针，搭建平台服务探针于脚本编程语言探针。

2. 站点架构分析
通过站点的不同特征分析其站点类型，
（1）目录型站点
xxx.com和xxx.com/bbs是两个不同的页面，可以看成是两套程序，但是任意页面有漏洞对网站都是有影响的，主页可能是在D盘下www目录中的root目录，bbs页面则在root中bbs目录
（2）端口类站点
xx.com:8080，默认主页是80端口，但是8080端口出现漏洞也会影响80端口，两者在同一服务器上。端口设置上不同端口对应不同应用。比如ssh默认端口是22
（3）子域名站点
goodlift-www.bbs
主站：www.goodlift.net
分站：bbs.goodlift.net
bbs.goodlift.net是用Discuz搭建的，而www.goodlift.net是用destoon b2b搭建的。两网站不一定在同一服务器上。
3. 目标后台探测
（1)利用常用后台
/admin/
/system/
/manage/
/login/
……
在这个基础上面还有一些加了文件名的，如
/admin/admin.asp
/admin/login.php
/admin/guanli.html
……等等
（2）robots.txt
在目标url后面直接加上/robots.txt
如果有的话，那么页面会回显出两行参数，我们关注第二行，第二行是禁止爬行的目录，而这个时候，它所禁止爬行的目录就是我们想要的目录了，重新在目标url后加上爆出的目录就可以进入后台页面了。
（3）爬行
爬行就是我们在目标网站上进行随意的点击，如：图片啊、标题啊、文章啊、链接啊之类的，点击的同时我们要注意，url产生的变化，它后面会有我们所点击的信息所在的目录，运气好的时候就会有admin，有关于爬行这种方式，我们也可以借助一些工具去进行。
（4）搜索引擎（语法）
site:XXX.com / cn (后面加关键字，我以/划分) admin / login / 后台 / 管理 / 管理系统 / ……
4. 物理路径探测
（1)探针文件
很多网站搭建时候会有包含有网站信息的文件，说明常见的探针遗留文件
phpinfo.php
info.php
l.php
…
(2)报错获得
多用于容错做的不好的网站
报错方法
404
动态URL加特殊符号（英文单引号）
错误的sql语句
(3)后台获得
登录目标后台，一般后台首页会有说明（cms版本、支持组件、更新日期、数据库信息、物理路径、IP地址）
(4)IIS高版本特性爆物理路径
IIS7-8.5，访问404的路径，可能就会爆物理路径和IIS版本信息+IIS程序名
(5)搜索引擎探测法
warning
error
MySQL
site:目标网站 warning
5. 文件与目录探测
首先，一个网站有很多文件和目录，里面可能存放着脚本和一些资料信息，一般用于网站的正常服务和用户的信息存放等。通过这些信息可以实现后台登录，上传文件，备份文件等功能。我们一般通过扫描工具，爬行，和穷举等方式来获取。
6. 管理员的信息收集
（1）注册邮箱
查域名对应的邮箱如果是个人邮箱，可以查社工库历史密码，和管理员姓名
（2）whois查询
可以查询到地址，网站联系方式等信息

得到以上这些信息，可以生成社工字典，管理员信息可以加入到字典内；找后台，后台路径和管理员名称等信息对应；