渗透测试打点工作——信息收集
渗透测试的本质——信息收集和知识点的串联
收集的信息越多,攻击面越大
Whois信息
获取注册人的信息,如注册商,邮箱,电话,一般网站信息准确度还行,但一般来说越大型的网站,查询到信息越不准确
查到电话可在支付宝查看其姓名组成结构,关注其社交平台信息,在社工库进行查找,集成信息形成字典,爆破社交平台的密码
使用中国蚁剑中的whoami命令可查询是否进入了目标内部
子域名查询
在SRC挖掘和渗透测试过程中,如果目标网站的防护过于严格,可以通过其下辖的子资产进行测试,这些子域名可能会成为渗透测试的突破点
子域名可通过一些在线查询网站查找目标网站的子域名的在线查询,可以试一下是否可用,也可通过一些脚本进行查询
也可通过百度的搜索引擎语法site:baidu.com 进行查找,即搜索百度相关的站点资产
多个工具组合使用,搜集的信息会更全面
敏感目录/文件
在程序开发中因为权限问题未对敏感信息进行妥善处理,导致备份文件,.git 文件泄露,往往会导致原码泄露,扫描这些文件的过程即字典的碰撞
可用工具有御剑等,即挨个匹配网站是否含有其中含有的文件名,看是否含有这些资产
robots.txt用于告诉爬虫,此类文件不要爬取
CMS类型
在渗透测试过程中,得知目标网站的CMS(网站内容管理系统)后就可在网上查找相关的漏洞后,按照EXP进行攻击,这些攻击爆出的漏洞一般为中,高危漏洞
可根据CMS特性,看URL路由,前端页面信息,或在线查询网站上查找网站的CMS系统
CDN
在渗透测试中得知目标网站的真实IP非常重要,例如通过SQL注入得到数据库账号密码等都需要得到真实的IP地址,但目前大多网站都加了CDN,其虚假IP会干扰渗透测试,绕过CDN则会更好地进行测试
全球ping一个域名,通过DNS协议回显一个IP,全球ping后得到的IP都不相同,则该网站开启了CDN服务,CDN服务即使全球的节点服务器缓存此站点域名,使访问速度加快,提升用户体验,等到执行核心逻辑操作,如付款等时再转回原服务器
找网站的真实IP
查询子域名对应的IP
网络空间引擎查询,如fofa,其查询语法在首页下方,可使用弱口令爆破,查到其真实IP后,可直接查询该网站IP开放的端口
使用国外代理查询,但现在网站一般都开了全球CDN,一般不准
查询历史缓存的CDN,若之前查询过,则可查到之前未加CDN的网站IP
目标站点的敏感信息泄露
安全人员的意识不够,在GitHub上留有敏感信息
旁站C段
渗透测试的时候,目标网站安全性极高,可从目标网站的服务器下的其他站点入手,拿下目标服务器权限,然后提权,将自己提成服务器的最高权限,目标网站的权限自然也得到了
端口开放信息
获取到目标的真实IP之后,首先对其进行端口扫描,看一下对方开启了那些服务,开启的端口越多,攻击面越大
一般使用nmap进行端口扫描,一般建议扫全端口(1-65535),更详细的输出甚至会跳过防火墙
GitHub/谷歌 hack语法
通过谷歌hack语法对目标网站进行定向搜索,如,查询子域名,目标站的后台信息等