一、渗透测试流程
1.信息收集(包括被动搜集和主动搜集)
2.漏洞扫描
3.漏洞利用
4.提权
5.植入后门,清理痕迹
6.生成渗透测试报告
很多人在信息收集阶段大概会占用30%到50%的时间,由此可见,信息收集是十分重要的前期工作。
二、被动信息收集介绍
1.被动信息收集概念:被动信息收集指的是通过公开渠道可获得的信息,与目标系统不产生直接交互,尽量避免留下一切痕迹的信息探测。被动信息收集不会在日志中留下痕迹。
2.被动信息收集内容:IP地址、域名信息、邮件地址、文档图片数据、公司地址、公司组织架构、联系电话/传真号码、人员姓名/职务、目标系统使用的技术架构、公开的商业信息等。
3.被动信息收集的信息用途:
(1):用信息描述目标
(2):发现主机
(3):社会工程学攻击
(4):物理缺口
三、信息收集–nslookup
1.DNS域名解析流程
DNS解析过程如下:
1.用户输入网址 www.abc.com,主机先向其本地域名服务器进行递归查询。
2.本地域名服务器查询不到该域名的IP信息,然后本地域名服务器采用迭代查询向根域名服务器请求解析 www.abc.com 这个域名的IP地址。
3.根域名服务器一般不会直接把待查询的域名直接转换成IP地址,而是会告诉本地域名服务器去向顶级域名服务器–com域名服务器进行查询。
4.本地域名服务器向顶级域名服务器–com域名服务器进行查询。
5.顶级域名服务器–com域名服务器告诉本地域名服务器,下一次应查询的权限域名服务器的IP地址。
6.本地域名服务器向权限域名服务器–abc域名服务器进行查询。
7.权限域名服务器–abc域名服务器告诉本地域名服务器,所查询的 www.abc.com 的这个域名的IP地址。
8.本地域名服务器拿到 www.abc.com 这个域名的IP地址后,先在自己本地的域名服务器中缓存一份,然后再将这个域名的IP地址告诉主机。
9.当下次再请求 www.abc.com 这个域名时,就可以直接查询本地域名服务器得到IP地址,而不用再去向根域名服务器查询。这样加快了解析时间。
2.根域名服务器简介
(1):全球共有13台根域名服务器,编号为A-M,其中10台在美国,剩余三台分别位于于英国、瑞典和日本。但不是根域名服务器只有13台机器,如果只有13台机器,那么根本不可能为全世界用户提供满意的服务。实际上,互联网的根域名服务器是由这13套装置构成,但是每一套装置在很多地方安装根域名服务器(相当于镜像服务器),它们使用同一个域名。
(2):根域名服务器采用了任播技术,因此当DNS用户向某个根域名服务器的IP地址发出查询报文时,互联网上的路由器就能马上找到离这个DNS客户最近的一个根域名服务器。这样做不仅加快了DNS的查询过程,也更加合理的利用了互联网的资源。
(3):下图为全球13台根域名服务器:
3.DNS的域名记录
- A记录:A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录,域名绑定A记录就是告诉DNS,当输入域名的时候给你导向那个A记录所对应的服务器。(一个域名可以指定多个A记录,这样就可以实现负载均衡)
- NS记录:NS(Name Server)记录是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析。
- SOA记录:SOA(Start Of Authority)记录是起始授权机构记录,SOA记录说明了在众多NS记录里哪一台才是主DNS服务器。
- MX记录:MX (MX record)记录是邮件交换记录,这是域名系统(DNS)中的一种资源记录类型,用于指定负责处理发往收件人域名的邮件服务器。
- CNAME记录:CNAME(Canonical Name)记录,通常称别名指向。在这里,您可以定义一个主机别名,比如设置 www.A.com,用来指向一个主机 www.B.com,那么以后就可以用 www.A.com 来代替访问 www.B.com 了。
- PTR记录:PTR (Pointer Record),反向地址解析记录,作用是把IP地址解析为域名。DNS的反向区域负责从IP到域名的解析,因此如果要创建PTR记录,必须在反向区域中创建。
4.域名与FQDN的区别
(1):FQDN:(Fully Qualified Domain Name)完全限定域名:同时带有主机名和域名的名称。
(2):域名:不带有主机名的名称
(3):例如:www.baidu.com 就是一个完全限定域名;baidu.com 就是一个域名。
5.nslookup的使用
(1):交互式
(2):非交互式
四、信息收集–dig
1.dig在默认情况下查询A记录
2.指定查询其他记录(比如mx记录)
3.从指定的DNS服务器上进行查询
4.查询一个域名的所有记录
5.反向查询(由IP查找域名)
(1):查询8.8.8.8的域名服务器
(2):查询114.114.114.114的域名服务器
6.限制显示结果
(1):显示简短信息
(2):只显示指定部分信息(+noall表示不显示任何信息;+noall +answer表示只显示answer部分)
7.查询BIND信息
8.DNS追踪
根域名服务器–>顶级域名服务器–>权限域名服务器
root@root:~# dig +trace www.sina.com
; <<>> DiG 9.11.3-1-Debian <<>> +trace www.sina.com
;; global options: +cmd
. 5 IN NS j.root-servers.net.
. 5 IN NS m.root-servers.net.
. 5 IN NS c.root-servers.net.
. 5 IN NS l.root-servers.net.
. 5 IN NS f.root-servers.net.
. 5 IN NS b.root-servers.net.
. 5 IN NS h.root-servers.net.
. 5 IN NS a.root-servers.net.
. 5 IN NS g.root-servers.net.
. 5 IN NS k.root-servers.net.
. 5 IN NS e.root-servers.net.
. 5 IN NS d.root-servers.net.
. 5 IN NS i.root-servers.net.
. 5 IN RRSIG NS 8 0 518400 20190418050000 20190405040000 25266 . VNWzDcvX06igl5CFfUiI17m1zagzlUYd2+RSepxu/XU+4KXcPgCe0ZdT kUqePg9vudkrlyVutXe4kpv8WRuP30EKVDEt8kU0V+TxAfjUjYiR5lmd u8FuB+eIkbT5yT5NcS4xuY1W5nRdRTvTIgHUqWC2NZ2IrCVwlTcHLnra qbegu9rWlxrYh5kc6FS9/WLdCAHFxH+LIqqaPl7hHFA4PwJ0AgzYf4v2 Fz+SUX6te4AYdj/D3pBPnccoKYQp5gOinNHrYkxfDy3R6hVSpKq7d1bG ERheOLVqkD8vG9dAb21wu1vha+SBkVY9nRVm9A2ujdMEPA90zAUs0G4p 6RzW0A==
;; Received 525 bytes from 192.168.37.2#53(192.168.37.2) in 116 ms
com. 172800 IN NS l.gtld-servers.net.
com. 172800 IN NS i.gtld-servers.net.
com. 172800 IN NS k.gtld-servers.net.
com. 172800 IN NS d.gtld-servers.net.
com. 172800 IN NS g.gtld-servers.net.
com. 172800 IN NS h.gtld-servers.net.
com. 172800 IN NS a.gtld-servers.net.
com. 172800 IN NS c.gtld-servers.net.
com. 172800 IN NS j.gtld-servers.net.
com. 172800 IN NS b.gtld-servers.net.
com. 172800 IN NS e.gtld-servers.net.
com. 172800 IN NS m.gtld-servers.net.
com. 172800 IN NS f.gtld-servers.net.
com. 86400 IN DS 30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766
com. 86400 IN RRSIG DS 8 1 86400 20190420050000 20190407040000 25266 . xJfyk0apzGEdqqnqJplDAclMAYiD4rWQJmaEXHa0k1NvKFHV40Yp+SEN 1o8bXA2KXDqdxRZjwr6YD79EOHYEXNIffuD3sUnINkej7+T/vMb2tY5t KmHtMVeMgxHGRW3G9MeCl9CVGAOsEiGg6olpongBPed8pnOiUmPNYJ5b AJng4pH8r4RDt1EMPnT6PKaLZ8eA0l+RxwAILBzE3LnMQmcInl2ou/Em Vsn4vVplISs7vsn5PvHTig0bZ4pehajnr0/HeSDqlkPJSPh0uscicrx1 8n0DWF01Erqh/FEWHj39Nz3QHclFZmzQOFIGexZph2Da0zxvYPhM8IZO WaK1qQ==
;; Received 1200 bytes from 199.9.14.201#53(b.root-servers.net) in 307 ms
sina.com. 172800 IN NS ns1.sina.com.cn.
sina.com. 172800 IN NS ns2.sina.com.cn.
sina.com. 172800 IN NS ns3.sina.com.cn.
sina.com. 172800 IN NS ns1.sina.com.
sina.com. 172800 IN NS ns2.sina.com.
sina.com. 172800 IN NS ns4.sina.com.
sina.com. 172800 IN NS ns3.sina.com.
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A NS SOA RRSIG DNSKEY NSEC3PARAM
CK0POJMG874LJREF7EFN8430QVIT8BSM.com. 86400 IN RRSIG NSEC3 8 2 86400 20190413044428 20190406033428 16883 com. KDKyKhfEhyxmB3esZoOugsRqNEbqOD4m7st+H+2lroRIpaKyGflx2DPN yorfB62+ox6whk+X9/+fITemoMGaXd4O58PuvunOfVdKyVpkp/Lw2fqd X//PtaGqQ51ZSy6iGY7V945u+FDcDG8NFjBvhCABaSNIUKIct7lnYd+2 7v8=
TGAG8VMC6NS5VVK68CIGRJ6Q414N2KB2.com. 86400 IN NSEC3 1 1 0 - TGAINT5FJN61NLBMD25JONRMDSP6IECS NS DS RRSIG
TGAG8VMC6NS5VVK68CIGRJ6Q414N2KB2.com. 86400 IN RRSIG NSEC3 8 2 86400 20190412070141 20190405055141 16883 com. LNdjTr/cbvHkj3SBeJalnT8Gr3MOHk8kvbWQd+DzjW3PkI2uG4v09Uvz FUQb0woExj+UcLU4Kh8zMFMzwqoObwu1SIqHMWxMxb/l3qf3apCxKRaP /ZsQ+Tr0STZh5D5ZVIX+XCcUmj8WksTbdOx5sMKNuz2m30d6pEi3rxOn iWw=
;; Received 727 bytes from 192.26.92.30#53(c.gtld-servers.net) in 246 ms
www.sina.com. 60 IN CNAME us.sina.com.cn.
us.sina.com.cn. 60 IN CNAME spool.grid.sinaedge.com.
;; Received 103 bytes from 123.125.29.99#53(ns3.sina.com.cn) in 81 ms
五、信息收集–字典爆破
1.fierce
(1):查看相关的软件包,并找到对应的字典
(2):进行字典爆破
fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist /usr/share/fierce/hosts.txt
-dnsserver 用来指定进行爆破的服务器
-dns 用来指定要爆破的域名
-wordlist 用来指定进行爆破的字典
2.dnsenum
(1):查看相关的软件包,并找到对应的字典
(2):进行字典爆破
dnsenum -f /usr/share/dnsenum/dns.txt -dnsserver 8.8.8.8 sina.com -o sina.xml
-f 用来指定进行爆破的字典
-dnsserver 用来指定进行爆破的服务器
-o 用来指定生成的文件名
root@kali:~# dnsenum -f /usr/share/dnsenum/dns.txt -dnsserver 8.8.8.8 sina.com -o sina.xml
Smartmatch is experimental at /usr/bin/dnsenum line 698.
Smartmatch is experimental at /usr/bin/dnsenum line 698.
dnsenum VERSION:1.2.4
----- sina.com -----
Host's addresses:
__________________
sina.com. 51 IN A 111.20.46.45
Name Servers:
______________
ns4.sina.com. 3600 IN A 123.125.29.99
ns3.sina.com.cn. 2469 IN A 123.125.29.99
ns1.sina.com. 3600 IN A 114.134.80.144
ns2.sina.com.cn. 3600 IN A 180.149.138.199
ns2.sina.com. 3600 IN A 114.134.80.145
ns4.sina.com.cn. 3600 IN A 121.14.1.22
ns1.sina.com.cn. 3600 IN A 36.51.252.8
ns3.sina.com. 3600 IN A 180.149.138.199
Mail (MX) Servers:
___________________
Trying Zone Transfers and getting Bind Versions:
_________________________________________________
Trying Zone Transfer for sina.com on ns4.sina.com ...
AXFR record query failed: REFUSED
Trying Zone Transfer for sina.com on ns3.sina.com.cn ...
AXFR record query failed: REFUSED
Trying Zone Transfer for sina.com on ns1.sina.com ...
AXFR record query failed: REFUSED
Trying Zone Transfer for sina.com on ns2.sina.com.cn ...
AXFR record query failed: REFUSED
Trying Zone Transfer for sina.com on ns2.sina.com ...
AXFR record query failed: REFUSED
Trying Zone Transfer for sina.com on ns4.sina.com.cn ...
AXFR record query failed: REFUSED
Trying Zone Transfer for sina.com on ns1.sina.com.cn ...
AXFR record query failed: REFUSED
Trying Zone Transfer for sina.com on ns3.sina.com ...
AXFR record query failed: REFUSED
Brute forcing with /usr/share/dnsenum/dns.txt:
_______________________________________________
ads.sina.com. 60 IN CNAME ww1.sinaimg.cn.w.alikunlun.com.
ww1.sinaimg.cn.w.alikunlun.com. 8 IN A 112.19.3.241
ww1.sinaimg.cn.w.alikunlun.com. 8 IN A 112.19.3.239
ww1.sinaimg.cn.w.alikunlun.com. 8 IN A 112.19.3.240
ww1.sinaimg.cn.w.alikunlun.com. 8 IN A 112.19.3.183
ww1.sinaimg.cn.w.alikunlun.com. 8 IN A 112.19.3.186
ww1.sinaimg.cn.w.alikunlun.com. 8 IN A 112.19.3.182
ww1.sinaimg.cn.w.alikunlun.com. 8 IN A 112.19.3.185
ww1.sinaimg.cn.w.alikunlun.com. 8 IN A 112.19.3.184
3.dnsmap
(1):查看相关的软件包,并找到对应的字典
(2):进行字典爆破
dnsmap sina.com -w /usr/share/dnsmap/wordlist_TLAs.txt
-w 用来指定进行爆破的字典
六、信息收集–whois
whois baidu.com来查询注册信息