信息获取
-
厂商信息
-
爱企查……
-
服务器提供商(也有可能自己的服务器)
-
-
资产架构
-
(域名,ip地址,开放的端口/协议(扫描),提供了哪些服务(增加攻击目标))
-
旁注(该服务器ip下的有哪些web应用) -----》Nmap,Masscan
-
C段(该网段下不同服务器ip下的web应用(ip反查)(拿下同网段的某台服务器,接下来测试目机就算做内网测试) ------》Masscan
-
-
操作系统(ping的TLL可以猜测其类型(W/L))
-
中间件(根据一些常用(数据库/语言)的搭配猜测,抓包看response)
-
数据库
-
语言
-
url上可以发现
-
Wappalyzer
-
看response包
-
-
社工
-
(网站创建者/开发者的是否有什么博客(GitHub)/账号,看上面是否有什么与目标网站有关的信息
-
目标有关人员的手机号码/邮箱(可以探查该号码是否在某个服务商(资产构建那些)有什么东西
(例如通过忘记密码,输入手机号码/邮箱就可能可以查看是否注册了账号)
-
-
商标/服务商(有时候网站可以发现开发者留下的信息(邮箱/……))
-
源码
-
查看www.zip, robots.txt,index.phps,.git,.svn,index.php.swp,composer.json(php)等是否可能有源码泄露 ------》GitHack,SvnHack
-
看网站是否伪通用型网站(一般指小网站),看看
源码贩卖处
是否有相应源码贩卖
-
-
阻碍信息
-
CDN(使用超级ping,如果有不同的ip返回,就证明开启了这个服务)
绕过CDN查看网站真实IP的一些办法 - blacksunny - 博客园 (cnblogs.com)
-
域名加速
CDN可以选择加速指定域名或所有域名,但是有些目标业务繁多,所以有可能某些子域名并未被加速,那么这些未被加速的子域名ip有较大可能与主站ip相同,从而得到真实服务器ip
-
加速区域
CDN有加速区域,某些目标可能就指在国内进行了加速,所以就可以从外国来访问目标,就可能直接访问到真实服务器ip
-
业务类型
CDN有加速业务的类型,如果不是全站加速,那么就存在某些未进行加速的业务,那么访问未加速的业务从而得到真实服务器IP
-
敏感文件泄露
phpinfo.php在目标服务器没有内网网卡的情况下,会在$_SERVER['REMOTE_ADDR']中泄露真实ip(如果有内网网卡,那就是网卡的ip(没用))
-
ssrf漏洞
ssrf漏洞可以让目标去访问我们自己的服务器应用,我们就可以知道那个服务器访问了我们的服务器,从而获取对方真实IP
-
邮件发送
大部分厂商并未给邮件开启CDN服务(一般是给内部人员通信的),因此在发出的邮件中就有可能会暴露其真实IP,所以我们可以同过注册/找回密码等方式,让目标向我们发邮件(QQ邮箱可以查看邮件源码(Received中可以查看)),从而得到目标服务器真实IP
-
历史查看
目标网站可能在前期并未使用CDN,是后面采用的,那么就能够通过查询DNS历史记录来看看之前所解析历史ip
-
在得到目标ip时,可以查看ip地址是否与目标网站备案地址是否相同来验证其准确性
-
成功得到后真实IP后,在host文件写入,就可以实现访问目标网站可以直接与真实IP的相连,为后续测试提供便利(不能访问就绝对不是真实ip)
-
-
-
WAF(识别出是什么厂商的waf看图识WAF——搜集常见WAF拦截页面 - Charon·1937 - 博客园 (cnblogs.com)) -----》wafw00f
-
负载均衡((大厂几乎都有))(查看是否有这个负载,有的话查看是什么类型的,看是这个均衡是否本身就有安全问题) ---------》ldb,
-
防火墙
-
-
框架
-
PHP常用框架为tp,用框架写的网站,漏洞就产生在框架上(前提是按照框架要求)
-
识别
-
黑盒->看返回数据包/报错提示/url判断
-
百盒->看配置文件
-
-
漏洞->网上查看是否爆过漏洞(自己挖很难)/看修复代码补丁(学习一下)
-
对于验证response包里有
code:"" msg=""
之类的信息,大概率为前端验证,就可以记录其正确情况,在错误情况下,用正确情况的code和msg代替,看是否绕过