1.信息收集
(1)什么是信息收集
信息收集是指通过各种方式获取所需要的信息,以便于我们在后续额渗透过程更好的进行,比如目标站点IP、中间件。脚本语言、端口、邮箱等等。信息收集包含资产收集但不限于资产收集
(2)信息收集的意义(渗透测试的保障)
-
信息收集是渗透测试成功的保障
-
更多的暴露面
-
更大的可能性
(3)信息收集分类
-
主动信息收集(有交互)
通过直接访问网站在网站上进行操作、对网站进行扫描等,这种是由网络流量经过目标服务器的信息收集方式
-
被动信息收集
基于公开的渠道,比如搜索引擎等,在不与目标系统直接交互的情况下获取信息,并且尽量避免留下痕迹
(4)收集那些信息
-
域名信息(whois、备案信息、子域名)常见最重要的
-
服务器信息(端口、服务、真实IP)
-
网站信息(网站架构、操作系统、中间件、数据库、编程语言、指纹信息、WAF、敏感目录、敏感文件、源码泄露、旁站:在同一台服务器旁边的站点、C段)
1.旁站的概念旁站指的是同一服务器上的其他网站,很多时候,有些网站可能不是那么容易入侵。那么,可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell,然后再提权拿到服务器的权限,最后就自然可以拿下该网站了!
2.C段段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
-
管理员信息(姓名、职务、生日、联系电话、邮件地址)
2.域名信息收集
(1)域名介绍
域名(Domain Name),简称域名,网域,是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。 DNS(域名系统Domain Name System) 是互联网的一项服务。它作为将域名和IP地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
(2)域名分类
顶级域名 | 二级域名 | 三级域名 |
---|---|---|
.com | baidu.com | WWW.baidu.com |
政府域名 | 商业域名 | 教育域名 |
.gov | .com | .edu |
二级域名是顶级域名之下的域名,在国际顶级域名下,他是指域名注册人的网上名称,例如ibm,yahoo,microsoft等,在国家顶级域名下,他是表示注册企业类别的符号,例如.com
(3)whois
whois是用来查询域名IP以及所有者等信息的传输协议。就是一个用来查询域名是否被注册
whois查询可以获取到域名注册者邮箱地址信息等
Whois工作过程 WHOIS服务是一个在线的“请求/响应”式服务。WHOIS Server 运行在后台监听43 端口,当inteet用户搜索个域名(或主机、联系人等其他信息)时,WHOIS Server首先建立一个与ClentTCP连接,然后接收用户请求的信息并据此查询后台域名数据库。如果数据库中存在相应的记录,它会将相关信息如所有者、管理信息以及技术联络信息等,反馈给Client。待Server输出结束,Client关闭连接,至此,一个查询过程结束。
whois查询
web接口查询
web接口查询 whois查询_域名查询_域名交易_阿里云企航(原万网)-阿里云
whois反查
whois 反查,可以通过注册人、注册人邮箱、注册人手机电话反查 whois 信息 WHQIS反查,是指可以通过一个已知域名的WHOIS信息中的部分信息作为条件反过来查询与此条件相匹配的一系列其它域名列表情况。借此我们可以知道该注册人拥有哪些域名,或者说是拥有哪些站点,那些域名的注册信息具体是什么等等相关信息,因此WHOIS反查也可称之为域名反查。 。Whois反查方式 (1)根据已知域名反查,分析出此域名的注册人、邮箱、电话等字段; (2)根据已知域名 WHOIS中的注册邮箱来反查得出其它域名 WHOIS 中注册邮箱与此相同的域名列表(3)根据已知域名 WHOIS中的注册人来反查得出其它域名 WHOIS 中注册人与此相同的域名列表 缺点:很多公司都是DNS解析的运营商注册的,查到的是运营商代替个人和公司注册的网站信息。
域名Whois查询 - 站长工具 域名反查: 域名反查_邮箱反查域名_邮箱Whois反查 - 站长工具 邮箱反查: 域名反查_邮箱反查域名_邮箱Whois反查 - 站长工具
注册人反查: 注册人whois反查_域名注册人反查- 站长工具
电话反查: 电话Whois反查 - 站长之家
备案信息
子域名
A.子域名简介 子域名指二级域名,二级域名是顶级域名(一级域名)的下一级。比如 mail.heetian.com 和 bbs,heetian.com是 heetian.com 的子域,而 heetian.com 则是顶级域名.com的子域 B.GoogleHacking Google Hacking Database (GHDB) - Google Dorks, OSINT, Recon
高级搜索法(黑客语法)
-
ndex of
利用Index of 语法去发现允许目录浏览的web网站,就像在本地的普通目录一样,下面是一些有趣的查询:
index of /admin index of /passwd index of /password index of /mail "index of /" +passwd "index of /" +password.txt "index of /" +.htaccess "index of /root" "index of /cgi-bin" "index of /logs" "index of /config"
1)使用谷歌黑客语法获取子域名
2)使用脚本调用搜素引擎获取子域名
C、第三方WEB接口
D、网络空间安全搜索引擎
资产测绘平台时针对互联网的公开信息资产进行定期的资产探测
-
FOFA
FOFA是白帽汇推出的一款网络空间搜索引擎
网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统
domain="hetianlab.com"
-
鹰图
奇安信网络空间回测平台,可对全球暴露在互联网上的服务器和设备进行:资产探测、端口探活、协议解析、应用识别
domain=“hetianlab.com”
-
钟馗之眼
钟馗之眼ZoomEye是启明星辰推出的一个检索网络空间节点的搜索引擎
ZoomEye - Cyberspace Search Engine
site:"hetianlab.com"
-
shodan
hostname:baidu.com
(7)SSL证书查询
https://developers.facebook.com/tools/ct/search
(8)js文件发现子域名
JSFinder: JSFinder is a tool for quickly extracting URLs and subdomains from JS files on a website.
(9)子域名收集工具
1.子域名挖掘机
https://gitee.com/yijingsec/LayerDomaninFinder
2.OneForAll
OneForAll: OneForAll是一款功能强大的子域收集工具
3.Subdomainsbrute
高并发的DNS暴力枚举工具
subDomainsBrute: A fast sub domain brute tool for pentesters
python subDomainsBrute.py -w -t 100 hetianlab.com
3.IP信息收集
(1)IP反查域名
ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名
如果渗透目标为虚拟主机,那么通过IP反查到的域名信息很有价值,因为一台物理服务器上面可能运行多个虚拟主机。这些虚拟主机有不同的域名,但通常共用一个IP地址。如果你知道有哪些网站共用这台服务器,就有可能通过此台服务器上其他网站的漏洞获取服务器控制权,进而迂回获取渗透目标的权限,这种技术也称为“旁注”。
(2)域名查询IP
知道一个站点的域名需要得到他的IP以便之后获取端口信息或扫描等后续工作
(3)C段存货主机探测
查找与目标服务器IP处于同一C段的服务器IP
A.使用Nmap探测(kali自带)
nmap -sP www.XXX.com/24 nmap -sP 192.168.1.*
B、使用TXPortMap探测
(4)CDN
cdn即内容分发网络。CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率
-
CDN判断
1.多地ping:用各种多地ping的服务,查看对应IP地址是否唯一
网站测速工具_超级ping _多地点ping检测 - 爱站网
网站全国各地Ping值测试|在线ping工具—卡卡网 www.webkaka.com
2.国外ping:因为有些网站设置CDN可能没有吧国外的访问包含进去,所以可以这么绕过
-
CDN绕过
1.查询子域名的IP
CDN流量收费高,所以很多站长可能只会对主站或者流量大的子站点做了CDN,而很多小站子又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的IP来辅助查找网站的真实IP
2.MX记录邮件服务
MX记录是一种常见的查找IP的方式。如果网站在与WEB相同的服务器和ip上托管自己的邮件服务器,南无原始服务器IP在MX记录中
3.查询历史DNS记录
查看IP与域名绑定的历史记录,可能会存在使用CDN前的记录
(5)DNS记录类型