渗透测试之信息收集

信息收集是渗透测试中，最关键也是最基础的技术能力
信息收集我一般这么做首先是简单快速的初次收集，然后放大信息收集范围再进行二次收集， 综合分析收集到的信息后，对所发现的可利用信息，继续小范围信息收集。
针对web站点进行信息收集,需要先扩大范围,收集更多和该网站相关的信息，方便找到更容易渗透的点,确定缩小范围,对容易渗透的点进行更加全面、完善的信息收集,对目标进行渗透测试.
Web站,首先要了解网站的类型,是否存在旁站,子域名,开放的端口,是否使用建站模板,网站架构,服务器的类型(windows还是linux)
对于内网主机,需要了解目标主机开放的端口,系统类型以及版本,补丁情况,网络拓扑

在信息收集中,最主要的就是收集服务器的配置信息和网站的敏感信息(包括子域名,网站系统,CMS指纹,网站真实IP,开放的端口等),信息收集的主要方式有以下方法

1.收集域名信息 a)Whois 查询 用于收集网站注册的详细信息,如注册的域名,IP地址,注册人姓名,邮箱等信息 方式: I.Kali自带whois II.爱站工具: https://whois.aizhan.com/ III.站长之家:
http://whois.chinaz.com/ b)备案信息查询 I.ICP备案查询网:
http://www.beianbeian.com II.天眼查: https://www.tianyancha.com/

2.收集敏感信息 收集敏感信息可以使用Google关键字 a)site指定域名 b)inurlURL中存在关键字的网页 c)filetype指定文件类型 d)intitle网页标题中的关键字 e)link返回所有和 ’link:’ 后做了链接的URL
f)info查找指定站点的基本信息 g)cache搜索Google里某些内容的缓存

3.收集子域名信息 子域名又叫二级域名,是顶级域名下的域名,常见子域名检测方式如下 a)Layer子域名挖掘机,k8,dnsmaper,subDomainsBrute 等
b)Google语法:”site:baidu.com” c)第三方集合应用枚举(使用DNSdumpster网站:
https://dnsdumpster.com/),在线DNS侦查等网站 d)证书透明公开日志枚举(https://crt.sh/ 和
https://censys.io/)

4.常用端口信息 a)0xx 1文件共享 I.21.22.69 ----- FTP/TFTP文件传输协议 II.2049 ----- NFS服务 III.139 ----- Samba服务 IV.389 ----- Ldap目录访问协议 b)0xx2 远程连接
I.22端口 ----- SSH远程连接 II.23端口 ----- Telnet远程连接 III.3389端口 -----
Rdp远程桌面连接 IV.5900端口 ----- VNC V.5632端口 ----- PyAnywhere服务
c)0xx3 Web应用服务
I.80.443.8080 ----- Web服务端口
II.7001.7002 ----- WebLogic控制台
III.8080.8089 ----- Jboos.Resin.Jetty.Jenkins
IV.9090 ----- WebSphere控制台
V.4848 ----- GlassFish控制台
VI.1352 ----- Lotus domino邮件服务
VII.10000 ----- Webmin-web 控制面板
d)0xx4 数据库服务
I.3306 ----- MySql
II.1433 ----- MSSql
III.1521 ----- Oracle
IV.5432 ----- PostgreSql
V.27017.27018 ----- MongoDB
VI.6379 ----- Redis
VII.5000----- SysBase/DB2 e)0xx5 邮件服务 I.25 ----- SMTP邮件服务 II.110 ----- POP3协议 III.143 ----- IMAP协议 f)0xx6 网络常见协议 I.53 -----
DNS域名系统 II.67.68 ----- DHCP服务 III.161 ----- SNMP协议 IV.0xx7 特殊服务端口
V.2181----- Zookeeper服务 VI.8069 ----- Zabbix 服务 VII.9200.9300 -----
Elasticsearch服务 VIII.11211 ----- Memcache服务 IX.512.513.514 -----
Linux Rexec服务 X.873 ----- Reync服务 XI.3690 ----- SVN服务
XII.500000----- SAP Management Console

5.指纹识别 因为指纹具有唯一性,所以对目标服务器进行指纹识别是非常有必要的,指纹识别可以识别出相应的CMS(用来维护网站的整站系统或文章系统),常见CMS有织梦,PHPWEB,ASPCMS,Discuz,Dvbbs,帝国Z-Blog等
a)常见的指纹识别工具:椰树,WhatWeb,WebRobo等 b)常见查询网站 BugScaner:
http://whatweb.bugscaner.com/ 云悉: http://www.yunsee.cn/finger.html
WhatWeb: https://www.whatweb.net/

6.查找真实IP a)CDN:内容分发网络,主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题,如果目标购买的CDN服务,直接ping得到的不是真实IP
b)判断是否存在CDN:可以使用https://www.17ce.com/ 来检测是否存在CDN c)绕过CDN寻找真实IP:
内部邮箱源(必须有自己的邮箱服务器) 扫描网站检测文件(如phpinfo,test等) 分站域名(ping子域名)
国外访问(通过国外代理访问) 查询域名解析记录(https://www.netcraft.com/ 观察域名IP历史记录)
网站APP(抓包,观察请求)
7.收集敏感目录文件 a)常见目录扫描软件有Dirbuster,御剑等 b)在线工具: http://www.webscan.cc/
8.社会工程学 社工文化博大精深,小弟才疏学浅,不敢过分解读只总结了一句话: 睁着眼说瞎话