一、指纹识别
此处讲的指纹识别不是人的指纹(生物特征识别),而是指网站CMS指纹识别、计算机操作系统以及Web容器的指纹识别等。
1、什么是CMS
CMS:Content Management System,又称整站系统或文章系统。
开发者只需要给客户一个软件包,客户自己安装配置好,就可以定期更新数据来维护网站,节省了大量的人力和物力。
常见的CMS有:Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。
代表工具有御剑Web指纹识别、WhatWeb、WebRobo、椰树、轻量WEB指纹识别等,可以快速识别一些主流CMS。
除了这些工具,还可以利用一些在线网站查询CMS指纹识别
- BugScaner:http://whatweb.bugscaner.com/look/
- 云悉指纹:https://www.yunsee.cn/
- 和WhatWeb:https://whatweb.net/
二、查找真实IP
在渗透测试过程中,目标服务器可能只有一个域名,那么如何通过这个域名来确定目标服务器的真实IP对渗透测试来说就很重要。如果目标服务器不存在CDN,可以直接通过www.ip138.com获取目标的一些IP及域名信息。下面主要讲解如何绕过CDN寻找目标服务器的真实IP。
1、CDN介绍
CDN:Content Delivery Network,即内容分发网络。
https://www.cnblogs.com/xinxiucan/p/7832368.html
CDN主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。
简单理解就是CDN能够让用户访问就近的节点服务器,减缓网络拥塞,提高响应速度。
2、如何测试是否有CDN
从不同省份ping同一个域名,查看响应的ip地址是否一致。
还可以利用在线网站17CE(https://www.17ce.com/)进行全国多地区的ping服务器操作,然后对比每个地区ping出的IP 结果,查看这些IP是否一致,如果都是一样的,极有可能不存在CDN。如果IP大多不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN。
3、绕过CDN
- 扫描网站测试文件
如phpinfo、test等,可以找到目标的真实IP
- 邮箱服务器
一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP(必须是目标自己的邮件服务器,第三方或者公开邮件服务器是没有用的)。
- ping顶级域名
可以在线网站ping顶级域名,若获得多个IP,在fofa上逐一输入IP进行验证
- 国外ping
通过国外在线代理网站APP Synthetic Monitor(https://asm.ca.com/en/ping.php)访问,可能会得到真实的IP。
- 查询域名的解析记录
也许目标很久以前并没有用过CDN,所以可以通过网站NETCRAFT(https://www.netcraft.com/)来观察域名的IP历史记录,也可以大致分析出目标的真实IP段。
- 通过抓包进行分析
如果目标网站有自己的APP,可以尝试利用Fiddler或Burp Suite抓取APP的请求,从里面找到目标的真实IP。
- 绕过CloudFlare CDN
现在很多网站都使用CloudFlare提供的CDN服务,在确定了目标网站使用CDN后,可以先尝试通过在线网站Cloud Flare Watch(http://www.crimeflare.us/#box)对CloudFlare客户网站进行真实IP查询。
4、验证获取的IP
原理就是通过IP查找域名
如果是Web,最简单的方法就是直接尝试用IP访问,看看响应的页面是否和访问的域名返回的一样;或者在目标段比较大的情况下,借助类似Masscan的工具批扫描对应IP段中所有开了80、443、8080端口的IP,然后逐个尝试IP访问,观察响应结果是否为目标站点。
三、收集敏感目录文件
在渗透测试中,最关键的一步就是探测Web目标结构和隐藏的敏感文件,因为可以获取到网站的后台管理页面、文件上传页面,甚至可以扫出网站的源代码。针对网站目录的扫描主要DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py(轻量级快速但文件目录后台扫描)、Sensitivefilescan(轻量级快速但文件目录后台扫描)、Weakfilescan(轻量级快速单文件目录后台扫描)等工具。
- DirBuster用法讲解
https://blog.csdn.net/l1028386804/article/details/85757875
- 御剑用法讲解
其他的大家也可以上网去搜更多的相关内容,在这里就不一一展现了。
此外,我们还可以利用很多在线的工具站,如WebScan(https://www.webscan.cc/).
四、社会工程学
利用社会工程学,攻击者可以从一名员工口中挖掘出本应该是私密的信息。
假设攻击者对一家公司进行渗透测试,正在收集目标的真实IP阶段,此时就可以利用收集到的这家公司的某位销售人员的电子邮箱。首先,给这位销售人员发送邮件,假装对某个产品很感兴趣,显然销售人员会回复邮件。这样攻击者就可以通过分析邮件头来收集这家公司的真实IP地址以及内部电子邮件服务器的相关信息。
通过进一步地应用社会工程学,假设现在已经收集了目标任务的邮箱、QQ、电话号码、姓名,以及域名服务商,也通过爆破或者撞库的方法获取邮箱的密码,这时就可以冒充目标人物要求客服人员协助重置域管理密码,甚至技术人员会帮着重置密码,从而使攻击者拿下域管理控制台,然后做域劫持。
除此之外,还可以利用“社会库”查询想要得到的信息,社会库是利用社会工程学进行攻击时积累的各方数据的结构化数据库。这个数据库里有大量信息,甚至可以找到每个人的各种行为记录。利用收集到的邮箱,可以在社工库中找到已经泄露的密码,其实还可以通过搜索引擎搜索到社交账号等信息,然后通过利用社交和社会工程学得到的信息构造密码字典,对目标用户的邮箱和OA账号进行爆破或撞库。
2466
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
