渗透测试--信息搜集报告

最新推荐文章于 2024-04-13 00:06:58 发布
最新推荐文章于 2024-04-13 00:06:58 发布
阅读量2k 收藏 3
点赞数
文章标签: 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64655821/article/details/125896838
版权

目录

  1. 信息搜集的概述
  2. 信息搜集的目的
  3. 信息搜集的内容
  4. 信息搜集的方法
  5. 信息搜集的工具
  6. 信息搜集结果的利用

信息搜集的概述

信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测。正所谓,知己知彼百战百胜!

信息搜集的目的

目的:信息搜集工作做得越好,就越容易打开渗透攻击的思路与入手点,很大程度上决定了我们将进行的攻击手法。
常见搜集目标:渗透目标的范围,一些能够渗透攻击前需要了解的敏感信息(如网络范围,网络服务,安全漏洞,操作系统等),或者安全漏洞以及薄弱点。
重要性:好的开始是成功的一半,有些时候信息搜集需要进行80-90%的工作量。
 

信息搜集的内容

—、外围信息搜索
简而言之,就是不直接接触渗透测试的目标,借助搜索引擎或者一些其他的公开渠道获取信息。

1. 网站页面信息收集
        我们在浏览目标网站的网页时,往往可以发现一些比较重要的信息。从网站的URL观察,有些URL会暴露网站使用的脚本语言。再往下观察网站是否有在线客服窗口,网站底部你可能在网站页面观察到的信息有:URL信息(1.例如使用的OA.xxxcom2.使用的脚本语言)、在线客服、技术支持、关于公司的联系方式(邮箱、电话号码、工作地点等)、备案号、营业执照、后台登录接口、友情链接、某些二维码等。

2. 域名信息
         在渗透测试过程中,一般在目标的主站很少有发现漏洞点的存在&

最低0.47元/天 解锁文章
晓目
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
渗透测试信息收集
马赛克的博客
01-24 649
目录 一:通过DNS和IP挖掘目标网络信息 1. whois域名注册信息查询 2. nslookup与dig域名查询 2.1 host 2.2 dig 2.3 IP2地理位置查询 2.4 子站查询 2.5 旁站,C段 二:通过搜索引擎进行信息搜集 1. Goole Hacking技术 2. 探索网站的目录结构 3. 查找特定类型的文件 4. 搜索可能存在sql注入的页面 ...
Kali Linux渗透测试——信息收集
Captain_RB的博客
02-09 3707
详细介绍渗透测试信息搜集的基本思路和常用方法,包括主动信息搜集和被动信息搜集两个方面
信息收集调研报告
Jhd_02的博客
07-20 1107
信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测
kali工具----枚举工具
Joshua.Lee
04-13 777
DNS枚举可以帮助用户收集目标组织的关键信息,如用户名、计算机名和IP地址等,为了获取这些信息,用户可以使用DNSenum工具。它不仅可以查询网站的主机地址信息、域名服务器和邮件交换记录,还可以在域名服务器上执行axfr请求,然后通过脚本得到扩展域名信息,提取子域名并查询,最后计算C类地址并执行whois查询,执行反向查询,把地址段写入文件。它使用SNMP的GETNEXT请求,查询指定的所有OID(SNMP协议中的对象标识)树信息,并显示给用户。输出的信息显示了DNS服务的详细信息
@渗透测试信息收集
Froglets的博客
11-16 1706
目录渗透测试信息收集一、信息收集之概述1.1 渗透一个目标系统,最常见的信息手机目标有如下几种:1.2 信息收集的作用二、利用搜索引擎收集信息2.1 利用搜索引擎的收集目标主要有以下几种:2.2 常用的gooleHacking 语法:2.3其他goolehacking语法:2.4典型用法三、通过目标站点收集信息3.1主要的信息收集目标:3.2使用==站长工具==对目标站点进行信息收集:四...
渗透测试信息搜集总结
qq_53105813的博客
07-14 1235
信息搜集思路总结
渗透测试-信息收集栏目
09-26
渗透测试最开始的部分——信息收集
渗透测试-信息收集-视频教学学习资料
12-09
内容:针对渗透测试信息收集视频教学学习资料,其中包括对:子域名信息的收集方式教学、web站点信息收集方式教学、端口信息收集方式教学和敏感信息收集方式教学; 适用于:目前需要学习渗透测试的群众; 场景:适用于...
48-48.渗透测试-Kali Linux信息收集
最新发布
05-10
48-48.渗透测试-Kali Linux信息收集
21-20.渗透测试-信息收集
05-10
渗透测试-信息收集
渗透测试-情报搜集.pdf
02-25
《Metasploit渗透测试魔鬼训练营》读书笔记文档,是在我看书的过程中对书中理论和一些实践的总结。
FIERCE
10-24
FIERCE
fierce:用于查找非连续IP空间的DNS侦查工具
04-12
凶猛的 Fierce是用于定位非连续IP空间的DNS侦查工具。 有用的链接: 概述 首先,信用归功于应得的信用, fierce最初是由RSnake以及其他人在http://ha.ckers.org/上撰写的。 这仅仅是对Python 3的转换,以简化和现代化代码库。 最初的描述非常恰当,因此我将其包括在此处: Fierce是一种半轻型扫描仪,可帮助您根据指定的域定位不连续的IP空间和主机名。 实际上,这实际上是nmap,unicornscan,nessus,nikto等的先驱,因为所有这些都要求您已经知道要寻找的IP空间。 这不会进行利用,也不会不加选择地扫描整个互联网。 它专门用于在公司网络内部和外部定位可能的目标。 因为它主要使用DNS,所以您经常会发现配置错误的网络会泄漏内部地址空间。 这在有针对性的恶意软件中特别有用。 正在安装 $ python -m pip inst
网络渗透试验(一)
qq_48489570的博客
11-01 719
实验目的 理解网络扫描、网络侦察的作用;通过搭建网络渗透测试平台,了解并熟悉常用搜索引擎、扫描工具的应用,通过信息收集为下一步渗透工作打下基础。 系统环境 Kali Linux 、Windows 网络环境 交换网络结构 实验工具 Metasploitable2;Nmap;WinHex、数据恢复工具(CBR)等 实验步骤 1.用搜索引擎Google或百度搜索麻省理工学院网站中文件名包含“network security”的pdf文档,截图搜索得到的页面。 利用google hack语法查找 2.照片中的女生
渗透测试---------------信息收集-----思维导图
shijianyoulei6的博客
06-29 1158
安全草鸟一只 对渗透测试信息收集步骤的一些整理 不定时的添加一些新思路
渗透测试信息收集总结
baynk的博客
03-30 3320
0x00 信息收集 信息收集也称踩点,指的是黑客为了更加有效地实施攻击而在攻击前或攻击过程中对目标的所有探测活动。信息搜集渗透测试的最重要的阶段,根据收集的有用信息,可以大大提高我们渗透测试的成功率。 信息收集的作用: 了解安全架构:信息收集使攻击者能够了解组织完整的安全架构 缩小攻击范围:通过IP地址范围、网络、域名、远程访问点等信息,可以缩小攻击范围 建立信息数据库:攻击者能够建立他们自己的相关目标组织安全性弱点的信息数据库来采取下一步的入侵行动 描绘网络拓扑:攻击者可以描绘出目标组织
渗透测试信息收集(一)
专注前端技术,包括Web端、移动端、小程序、APP
02-28 676
信息收集这一部分内容,我将用多种方式来讲解。收集信息的途径有很多,所以这部分内容将分多篇文章来描述! 毋庸置疑,信息收集的重要工具之一——kali Linux。打开终端做好准备,输入命令! 在做渗透之前,有必要了解目标主机的网络是局域网还是外网。这就需要进行确定网络拓扑结构。确定了网络,才能更有针对性的选择渗透测试工具,从而达到事半功倍的效果,避免在工具的选择上浪费不必要的时间和精力! 命令: ...
渗透测试——信息收集
weixin_41487522的博客
03-26 1332
信息收集的意义——渗透测试的灵魂 为什么要信息收集? 信息收集的作用: 有句话说“知己知彼,百战不殆”。最了解你的人往往都是你的对手。 当你所掌握到的信息比别人多且更详细的时候那么你就占据了先机,这一条不仅仅用于商业、战争、渗透测试中也适用。 信息收集的方向、究竟收集什么? 1.whois信息: whois指的是域名注册时留下的信息,比如留下管理员的名字、电话号码、邮箱。 为什么要收集whois?...
渗透测试文件上传漏洞需要收集什么信息
11-14
渗透测试文件上传漏洞需要收集以下信息: 1.上传文件的类型和大小限制。 2.上传文件的保存路径。 3.上传文件的后缀名限制。 4.上传文件的访问权限。 5.上传文件的过滤机制。 6.上传文件的解析方式。 7.上传文件的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值