手把手教你渗透测试（一）----信息收集

正所谓：知己知彼，百战不殆。在进行渗透测试之前，最重要的也是必须的一步就是信息收集。在这个阶段，我们要尽最大可能的收集目标站点的相关信息。越是详细的了解目标，我们的渗透过程也就会越容易。小孩子才做选择，和目标相关的我都要！

信息收集阶段的主要目标包括，服务器的配置信息和网站的敏感信息。具体来说就是：域名及子域名信息、CMS指纹、目标网站系统、目标网站真实IP、开放的端口等，在挖洞的过程中，有可能目标站点使用的通用建站系统，直接就可以批量get了。

1.域名信息

在拿到一个网站后，我们第一步就是要获取域名的注册信息，例如域名的DNS服务器信息和注册人的信息等。常用方法有下面几种

1.1 whois查询
Whois大家应该都了解过，它可以查到很详细的域名、IP地址等信息。包括注册人的姓名、邮箱等联系方式 ps：这可以作为社工的一个开始。 不要小瞧这些信息，在中小型站点中，域名的所有人往往就是网站的管理员。
Kali中有安装好的whois，直接用就行。或者使用线上的例如站长之家（whois.chinaz.com）等。

2.收集敏感信息
提到敏感信息，大家第一个想到的一定是我们最强的搜索引擎之一的google。它对渗透测试的帮助非常大，我们可以使用一些特殊的语法来查询相关信息。具体语法大家自行百度。
我们通过利用这种方式，可以很轻松的收集到数据库文件、SQL注入、未授权访问、源代码泄露等敏感信息。不仅是谷歌，还有些类似的fofa等也可以帮助我们完成任务。

3.收集子域名信息
子域名指顶级域名之下的域名，在渗透的过程中，主站往往都被着重防御，我们很难从主站上打开突破口，这时就可以转换思路，从子域名下手，然后迂回打击来完成我们的目的。
常用的子域名检测工具有：Layer子域名挖掘机、K8、subDomainsBrute等，当然除了使用这些工具，我们也可以借助google语法来枚举子域名，例如site:google.com来枚举谷歌的子域名。

4.收集端口信息
端口信息也是我们要收集的非常重要的一种信息，通过开放的端口我们就可以了解到服务器上存在的服务，从而进行进一步的利用。最常用的端口扫描工具就是Nmap，无状态端口扫描工具Masscan、御剑高速TCP端口扫描工具等。常见端口及攻击方式有：

21/22/69：FTP/TFTP文件传输协议：匿名上传、下载、嗅探等。
139：Samba服务：未授权访问、远程代码执行
389：Ldap目录访问协议：匿名访问、注入、弱口令等
3389：Rdp远程桌面：shift后门（win2003以下）
7001/7002：weblogic控制台：java反序列化

5.指纹识别
指纹识别指网站的CMS指纹识别和WEB容器的指纹识别等。一般应用程序的文件中都会包含一些特征码，例如WordPress在robots.txt中包含wp-admin、首页index.php中会包含generator=wordpress 3.xx 这就是CMS的指纹。通过这些特殊的指纹我们就可以识别出该CMS，在渗透测试中，我们需要对目标站点进行指纹识别来查找与其相关的漏洞。常见的CMS有Dedecms，PHPWEB、PHPCMS、Wordpress等。代表工具有御剑Web指纹识别、WebRobo等。

6.收集敏感目录文件
在渗透的过程中，探测WEB目录结构和隐藏的敏感文件是必不可少的过程，从中可以获取目标站点的后台管理页面、文件上传页面，甚至可以拿到网站的源代码。常用的扫描工具有御剑后台扫描珍藏版、wwwscan等。我用御剑比较多，可以找师傅们py他们的字典或者自己在实战中多积累一个。

在信息收集阶段需要做的工作其实远远不止这些，每个人挖洞的姿势和思路也都不一样，还是需要最适合自己的方式。最后祝大家多多挖洞多拿0day，祝我Dedsec团队和团队里的师傅们越来越牛批！