信息收集
技术决定了测试的深度,信息收集决定了测试的广度,信息收集是渗透测试的灵魂,因此信息收集的重要性不可忽视.信息收集主要做的有 整站分析(服务器类型,网站容器,脚本类型,数据库类型),主机扫描(包括端口扫描(找出主机上所有开放的网络服务)),后台/敏感目录扫描,C段和旁站,dns域名信息收集,网站漏洞扫描
对于信息收集概念的理解
- 主动信息收集
通过直接访问网站,在网站上进行操作,对网站进行扫描等。这种是有网络流量经过目标服务器的信息收集方式。 - 被动信息收集
基于公开的渠道,比如搜索引擎等,在不与目标系统直接交互的情况下获取信息,并且尽量避免留下痕迹。
这两种方式各有优势,主动信息收集你能获取更多的信息,但是目痕迹较为明显,容易被溯源。被动信息收集因为不是针对网站进行特定的扫描,所以一般来说收集的信息会相对较少,但是你的行动并不会被目标主机发现。所以我们要灵活运用不同的收集方式,才能保证信息收集的完整性。
整站分析
- 服务器类型
- ping 判断,windows的TTL值一般为128,Linux则为64
- nmap扫描,可以通过-O或者-A参数来扫描操作系统,优点就是可以扫描到具体的操作系统版本,缺点就是扫描痕迹明显,容易被发现
- windows大小写不敏感,linux则区分大小写,可以尝试把路径部分改成大写,然后去访问,看能否请求成功。
- 网站服务/容器类型
网站常用的web服务器有:Apache、Nginx、Tomcat 、 IIS
在知道其类型后,还需要知道其版本号,如果该服务器在使用存在漏洞的版本则可以进行攻击 - 脚本类型
网站常见的脚本类型:php 、Jsp 、Asp 、Aspx 、python。 - 数据库类型
Mysql,Sql Server,Access,Oracle.
主机扫描
端口扫描是主机扫描的一部分,原理是通过向该主机一个个端口号发请求看回应,若有回应则代表该主机的对应端口有开服务,利用nmap即可扫出来。当然也可以用Nessus进行主机扫描。
指纹识别/后台/敏感目录扫描
- cms(内容管理系统===快速搭建网站的源码)可能存在一个通杀漏洞、如果使用了cms建站我们可以用通杀漏洞直接攻击,可以使用云悉
常见CMS:dedecms(织梦)、Discuz、phpcms - 有一些网站可能摸个目录下是一个新的网站、有时候目录扫描直接下载了压缩包源码、编辑器目录。有些管理员会直接上源码.zip 到时候就白盒审计
C段和旁站
-
IP类各段代表的意思
IP地址根据网络号和主机号来分,分为A、B、C三类及特殊地址D、E。 全0和全1的都保留不用。-
A类:(1.0.0.0-126.0.0.0)(默认子网掩码:255.0.0.0或 0xFF000000)
第一个字节为网络号,后三个字节为主机号。该类IP地址的最前面为“0”,所以地址的网络号取值于1~126之间。
一般用于大型网络。 -
B类:(128.1.0.0-191.255.0.0)(默认子网掩码:255.255.0.0或0xFFFF0000)
前两个字节为网络号,后两个字节为主机号。该类IP地址的最前面为“10”,所以地址的网络号取值于128~191之间。
一般用于中等规模网络。 -
C类:(192.0.1.0-223.255.255.0)(子网掩码:255.255.255.0或 0xFFFFFF00)
前三个字节为网络号,最后一个字节为主机号。该类IP地址的最前面为“110”,所以地址的网络号取值于192~223之间。
一般用于小型网络。
平常连WIFI的地址就显示192.168 -
D类:是多播地址。该类IP地址的最前面为“1110”,所以地址的网络号取值于224~239之间。一般用于多路广播用户[1] 。
-
E类:是保留地址。该类IP地址的最前面为“1111”,所以地址的网络号取值于240~255之间。
-
回送地址:127.0.0.1。 也是本机地址,等效于localhost或本机IP。
一般用于测试使用。例如:ping 127.0.0.1来测试本机TCP/IP是否正常。
-
因此比如192.168.1.1-255 都属于同一个c段,有些学校或者大公司,他们会有整个ip段,这个ip段所有的都是公司的资产,拿下一台可用的信息,可能在同一个内网渗透
C段存活主机探测:
nmap -sP www.XXX.com/24
nmap -sP 192.168.1.*
2. 旁站扫描的作用在于同一台服务器可能部署了多个网站,只要拿下旁站再提权拿到服务器的权限即可拿下该服务器及其其他网站。
dns域名信息收集
网站漏洞扫描
利用一些漏扫工具比如AWVS,Nessus,Appscan,OWASP-ZAP或者kali中的W3AF,VEGA等扫出该网站上可能存在漏洞后尝试进行攻击。