渗透测试——信息收集

西柠！

已于 2024-03-08 11:32:31 修改

阅读量923

点赞数 23

文章标签：数据库 web安全网络安全

于 2024-03-08 11:29:38 首次发布

本文链接：https://blog.csdn.net/xy_wjyjw/article/details/136557412

版权

信息收集

前言

信息收集是在做渗透时找尽可能的多的信息，为之后的渗透做铺垫。信息收集的方法有很多

比如，页面、真实的IP、域名/子域名、敏感目录/文件、端口探测、CMS指纹识别、操作系统识别

1. 页面信息收集

拿到域名后，从网站的url中查看一些页面的信息。比如，查看百度(https://www.baidu.com/)网站使用的是什么语言编写的，例如xxx.php语言

观察网址底部是否存在一些技术支持信息，例如：使用脚本语言，系统框架，技术支持等，同时还有关于公司（联系方式、邮箱、地址）、备案号、营业执照、后台登录接口、友情链接等信息。

2. 查找真实的IP

1.CDN节点：

当80端口（真正的baidu）关闭时，cdn节点就可以执行，前提条件是cdn必须是静态的

作用

提高用户访问速率，优化用户使用体验
隐藏真实服务器的IP
防御功能，访问请求会先经过 CDN 节点的过滤，该过滤可对SQL注入、XSS、Webshell上传、命令注入、恶意扫描等攻击行为进行有效检测和拦截。CDN 节点将认为无害的数据提交给真实的主机服务器。

2.是否存在CDN

多地ping，查看发现存在多个不同的IP，证明是否存在cdn

3.如何Bypass（绕过） CDN

多地ping

利用域名在这个网站https://ping.chinaz.com/进行ping检查

国外的IP：前提是国外没有CDN节点

邮件服务器

服务器发送邮件给员工，是以自己的真实IP发送的。

前提：邮件服务器和web服务器在一个主机上，一个IP

诱使对方服务器给我发送邮件

foxmail客户端：

4. 真实IP寻找

数据库泄露，直接找域名和IP，如果没有泄露就找不到

直接将域名丢到网站https://get-site-ip.com/，网站自动找IP

例如

对这个网站http://www.xiusafe.com/的域名www.xiusafe.com，利用搜索引擎平台找网站的真实IP。

3.域名/子域名信息收集

1. 子域名检查工具

Layer子域名挖掘机：直接输入域名就可以进行扫描，它的显示界面也很全面，有域名、解析IP、Web服务器和网站状态。

比如京东官网(https://www.jd.com/)

站长之家(https://ping.chinaz.com/www.xiusafe.com)

2. 搜索引擎(Google hacking)语法

定义后面的域名（即可找网站的子域名，又可以定位地址）

例如: site:baidu.com

inurl

限制关键字出现在网址的某个部分

inurl:php?id= 可以搜索网址中包含 php?id=的页面。

例如：site:baidu.com inurl:login

intitle

限制关键字出现在页面标题中

例如:intitle:登录，定位网站目录索引页面，就会出现有关“登录”的页面。

whois

whois红队用的多，可以邮箱反查；

渗透测试不适用于whois，whois会查出很多网站，邮箱反查whois必须在资产范围内

域名的 whois 信息可以提供以下作用:

确认域名的所有者、注册商、注册日期和到期日期等基本信息。
了解域名的注册历史，对于判断一个域名的可信度和信誉程度有很大帮助。
判断一个域名是否正在被使用及其使用方式，是否涉及到滥用、欺诈等问题。
可以通过 whois 信息获得自己的域名信息，及时检查域名是否即将到期，避免域名失效带来的影响。

3. 网站的三种部署模式

主域名与子域名的方式：

a.com 1.a.com
邮件服务: mail.baidu.com
web 服务:www.baidu.com

目录：

邮件服务: baidu.com/mailweb

服务:baidu.com/www

端口：

a.com:8080

4. 查看信息泄露/配置文件

Phoinfo：在服务器上执行的，如果phpinfo泄露了，就不需要cdn了

网页源码：查看url地址是否存在IP

前端代码：里面是否泄露了url地址的IP

对所有公网地址进行扫描：利用网络空间搜索引擎shodan(https://www.shodan.io/)、fofa(https://fofa.info/)、zoomeye(https://www.zoomeye.org/)等平台

5. 端口探测

1. nmap

概念：

一款开源的网络探测、安全审核工具
快速扫描大型网络
扫描单台主机
可以发现网络上有哪些主机，这些主机提供什么服务，这些服务运行在什么操作系统，该机器使用了什么报文过滤（如ping不通但可以连接ssh，防火墙禁止了icmp协议单开启了ssh协议）

nmap 10.9.47.5      # 网关IP
nmap -p- 10.9.47.5  #全端口扫描
nmap -p- 各种端口号 -sC -sV 10.9.47.5  # 探测端口对应的服务
nmap -p200-300 10.9.47.0/24 #设置端口探测范围
端口范围1-65535
nmap -sP		        #ping扫描（不进行端口扫描）
nmap -Pn				# 无ping扫描
nmap -p					# 指定端口扫描
nmap -v					# 打印过程
nmap -O					# 探测目标主机
nmap -sV				# 显示服务的详细版本
nmap -A					# 全面快速扫描默认常用的一千种端口
nmap -T0				# 非常慢的扫描用于规避ids
nmap -T1				# 缓慢扫描比T0快一些可以规避防火墙idx
nmap -T2				# 降低速度降低带宽的消耗
nmap -T3				# 
nmap -T4				# 快速扫描最常用的扫描方式网络比较好可以选着T4
nmap -T5				# 极速扫描准确的不好
nmap -f					# 快速扫描默认端口
nmap -sC				# 使用默认脚本集执行脚本扫描。它相当于——script=default。一些此类别中的脚本被认为是侵入性的

2. 查看端口对外开放的情况

https://viewdns.info/

3. 常见的端口

常见的数据库

MySQL	3306
Oracle	1521
Redis	6379
MongoDB	27017
sql server	1433(TCP)/1434(UDP)

远程连接端口

ssh远程连接	22
telnet远程连接	23
rdp远程桌面连接	3389
vnc远程控制桌面	5900

文件共享服务端口

ftp文件传输协议	21/22
nfs服务	2049

常见网络协议端口

DNS域名解析	53
DHCP自动分配IP地址	67/68
SNMP协议	161

常见的Web应用服务端口

端口说明	端口号	攻击方向
More Actions常见的Web服务端口	80/443/8080	Web攻击、爆破、对应服务器版本泄露
WebLogic控制台	7001/7002	Java反序列化、弱口令
Jboss/Resin/Jetty/Jenkins	8080/8089	反序列化、控制台弱口令
WebSpere控制台	9090	java反序列化、弱口令
GlassFish控制台	4848	弱口令
Lotus domino邮件服务	1352	弱口令、信息泄露、爆破
Webmin-Wen控制台	10000	弱口令