渗透测试信息收集总结
一般的渗透测试都是通过一个主域名展开的,拿到主域名后可以从两个方向收集信息:
资产探测
以点到面,横向收集信息,扩充范围以便于在一个点无法突破时再找其他突破点;
信息收集
以点深入,纵向挖掘信息,深入挖掘一个点的所有详细信息以便从中找出漏洞点;
资产探测
IP:
拿到主域名首先用ping或者nslookup来查看域名对应的IP地址
子域名:
子域名检测工具: layer子域名挖掘机 / onforall 米斯特团队研发,python3环境
搜索引擎枚举法: GHDB–>site:domianName.com
第三方爆破接口: 在线查询子域名(具体网址下方总结)
SSL证书日记枚举:在线SSL证书查询(具体网址下方总结)
相关域名:
旁站:同一服务器上的其他站点
C段:同一局域网内的其他服务器 192.168.4.1/24
工具:网络空间搜索引擎:FOFA/Shodan/钟馗之眼zoomeye
Chrome插件:FOFA pro view
网站架构:
网站语言、数据库,网站框架、组件框架历史漏洞
常见的网站架构如:
LAMP–>Linux+Apache+Mysql+PHP
LNMP–>Linux+Nginx+Mysql+PHP
工具:火狐插件:wappalyzer
设备型号:
192.168.1.1 网关,路由设备信息
网络拓扑:
内网渗透以及内网信息收集
移动端:
APP/公众号/小程序
行业系统:
同行业可能存在类似的系统,甚至于采用同一家厂商的系统,可互做对比,也可能存在通用弱口令;
通用:办公OA、邮件系统、VPN等
医院:门户、预约系统、掌上医院、微信公众平台等
信息收集
域名信息收集:
Whois信息:注册人(注册商)的信息,包括姓名,邮箱,电话,地址等信息;
查询方法:站长之家/微步社区/爱站
备案信息:域名是否备案(即合法);
查询方法:IPC备案查询网/天眼查/企查查
IP信息收集:
主要针对做CDN加速服务的企业,需要绕过CDN查找到真实IP地址;
CDN:内容分发网络,也可以叫代理服务器;
判断方法:
1.多地Ping查看IP是否一致;
2.直接访问域名所解析的IP,查看是否能跳转到域名所在的页面;
绕过方法:
1.多地Ping: 目标站点可能只针对某些地区做了CDN,找出现次数最多的IP;
2.扫描测试文件:使用工具扫描测试文件、探针文件,如phpinfo、test文件,从而获取真实IP;
3.通过子域名或移动APP获取:主站流量大做了CDN,而分站,APP可能不会做CDN,可以尝试;
4.利用已知漏洞: XSS盲打,SSRF或命令执行也可能暴露出真实IP;
5.网站邮箱订阅查找:目标自己的邮箱服务器一般都在内部系统中,不会做CDN加速;
6.访问国外站点:可能目标网站只针对国内做了CDN加速;
7.DNS历史解析:查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录;
8.利用网络空间搜索引擎:FOFA/Shodan/钟馗之眼zoomeye
9.SSL证书探测
端口信息收集:
通过端口去判断目标系统开放了哪些的服务,然后我们在根据相关的服务去进行进一步的渗透测试;
端口扫描工具:nmap/Zenmap/Mascan
敏感文件/目录收集:
robots.txt文件是一个防爬虫文件,一般后台是不允许被爬取的,所以该文件可能存放着后台信息;
phpinfo()信息,phpinfo.php、l.php是一个探针信息文件,访问该文件可获取服务器配置等信息
备份文件:.rar/.zip/.tar.gz等,管理员在对网站进行修改、升级等操作前,可能会将网站或某些页面进行备份;
WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。
WEB-INF主要包含一下文件或目录:
/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。
/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中
/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件
/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。
目录扫描工具:dirb kali/御剑 windows
CMS/指纹/密码信息收集:
robots.txt文件(防爬虫文件)里的目录结构,例如 /wp-admin/ 可以大致判断cms为WordPress
云悉指纹(具体网址下方总结)
潮汐指纹(具体网址下方总结)
服务器/中间件/网站架构信息收集:
服务器系统信息:
最直接的办法是利用Linux系统对大小写敏感,而Windows不敏感
数据包返回判断
中间件判断:
报错法(想办法让网站报错)
burp抓包
火狐插件: wappalyzer
网站架构信息:
常见的网站架构LAMP/LNMP
PHP框架:ThinkPHP
在线资产收集:
IPC备案查询网:
http://www.beianbeian.com
http://www.tianyancha.com #天眼查
http://icp.chinaz.com/ #站长之家
https://icp.aizhan.com/ #爱站
Whois信息查询:
http://tool.chinaz.com/ipwhois #站长之家
https://whois.aizhan.com/ #爱站
https://x.threatbook.cn/ #微步情报社区
子域名查询:
https://phpinfo.me/domain/ #推荐好用
http://tool.chinaz.com/subdomain/ #站长之家
https://dnsdumpster.com/
http://searchdns.netcraft.com/
https://www.virustotal.com/gui/home/search
https://x.threatbook.cn/ #微步情报社区
在线c段查询:
https://phpinfo.me/bing.php
同IP站点查询:
https://www.webscan.cc/search/
多地Ping:
http://www.17ce.com
http://ping.chinaz.com #站长之家
https://ping.aizhan.com #爱站
DNS解析查询:
https://dnsdb.io/zh-cn/ #全球DNS搜索引擎
https://x.threatbook.cn/ #微步情报社区
https://searchdns.netcraft.com/
http://viewdns.info/
https://securitytrails.com/
资产在线查询:
https://www.zoomeye.org/ #钟馗之眼
https://fofa.so/ #佛法
https://www.shodan.io/ #撒旦
开源指纹查询:
http://www.yunsee.cn/ #云悉指纹
http://finger.tidesec.net/ #潮汐指纹
SSL在线查询:
https://censys.io
https://certdb.com/domain/github.com
https://crt.sh/?Identity=%%.github.com
https://censys.io/certificates
762
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
