第3章-3.1-信息收集简介

信息收集简介信息收集对于渗透测试前期来说是非常重要的。正所谓，知己知彼百战不殆，信息收集是渗透测试成功的保障，只有我们掌握了目标网站或目标主机足够多的信息之后，才能更好地进行渗透测试。前言目录/CONTENTS信息收集基础信息收集范围信息收集是指通过各种方式获取所需要的信息，以便我们在后续的渗透过程更好的进行。最简单的比如：目标站点的IP、中间件、脚本语言、端口、邮箱等等。信息收集在渗透测试的过程当中，是最重要的一环，这一环节没做好，没收集到足够多的可利用的信息，将很难进行下一步的操作。渗透测试流程信息收集是渗透测试团队通过各种信息来源与信息搜集方法尝试获取更多与目标组织有关的信息的过程。正所谓“知己知彼，百战百胜”，信息收集就像一场战争中的“深入敌后”的一项“情报收集”任务。信息收集介绍准确性原则全面性原则时效性原则信息收集原则主动信息收集主动信息收集方式会对目标网络进行查询及扫描等操作，目标网络可感知到这些恶意的交互，可能会引起目标网络系统的告警及封堵，暴露渗透测试者的身份信息。主动信息收集方式包含了活跃主机扫描、操作系统指纹识别、端口扫描、服务指纹识别等方式。被动信息收集被动信息收集方式不会和目标的网络产生直接的恶意交互，这种方式下，攻击者的源IP等信息不会被目标网络的日志记录。被动信息收集包含Google搜索、Whois信息查询、子域名查询等间接方式，也包含了正常注册登录目标网站，查看各个网页并下载公开文档进行信息搜集的直接方式。信息收集分类在拿到目标主域名后，信息收集方式一般是遵循从广泛到具体的过程。首先，对目标网络进行资产的横向探测，尽可能多的收集与主域名相关的信息，这样做的好处是，当就某个点进行渗透测试无法进行下去时，可较快的切换至其他的点继续进行。其次，就某个点进行纵向的深入信息挖掘，以期从详细的信息中找到可利用的漏洞点。信息收集流程横向资产探测的步骤大致包括：通过查询IP解析历史，确定目标网络的真实IP地址。查询Google、Baidu等搜索引擎收集目标网络的信息。查询主域名的所有子域名。查询GitHub、GitLab等代码托管平台，寻找站点相关开源代码。C段扫描，查询目标网络相同网段上的其他站点。横向资产探测纵向信息收集的步骤大致包括：通过Whois信息、备案信息等确定目标域名注册人的姓名、邮箱、电话、地址等信息，这些信息在后续的口令爆破中比较有用。扫描确定目标网络的站点操作系统、开发语言、数据库类型、网站的架构类型、网站的组件等网站架构信息，确定是否存在相关的可利用漏洞信息。端口扫描，确定目标网络开启的服务；扫描收集探测敏感目录或敏感文件，包括配置文件、备份文件等，为后续WebShell上传奠定基础。Banner扫描，获取目标系统的软件开发商、软件名称、服务类型以及版本号，确定有无历史漏洞。纵向信息收集目录/CONTENTS信息收集基础信息收集范围常见信息收集范围有：域名注册相关信息子域名相关信息域名IP信息服务器系统信息端口信息Web指纹识别敏感目录CDN信息WAF信息信息收集范围当拿到目标的信息时，可能只是某个公司名字，或者域名信息。域名注册信息查询可以通过以下渠道进行查询：whois查询（站长之家、kali）工信部备案公开信息查询第三方备案信息库查询域名注册信息查询1.whois查询（kali）Whois是一个标准服务，可以用来查询域名是否被注册以及注册的详细资料Whois可以查询到的信息：域名所有者域名以及IP地址对应信息联系方式域名到期时间域名注册时间域名所使用的DNSserversWhois查询2.域名注册信息查询-whois（站长之家）Whois查询工信部备案公开信息查询/publish/query/indexFirst.actionWhois查询第三方备案信息库查询/Whois查询目标的子域是一个重要的测试点，你收集到的可用的子域名越多，意味着你的机会也就越多，所以说要尽可能的收集目标的子域名。可以通过以下途径去尽可能多的获取子域名：搜索引擎站长工具查询（nslookup）威胁情报系统查询DNS区域传送漏洞crossdomain.xmlSSL证书泄漏子域名子域名信息收集搜索引擎site:子域名信息收集站长工具查询/?domain=子域名信息收集威胁情报系统查询子域名信息收集dns区域传送漏洞子域名信息收集dns区域传送漏洞子域名信息收集crossdomain.xml子域名信息收集SSL证书泄露子域名子域名信息收集layer子域名挖掘机子域名信息收集Nslookup：操作系统自带命令，主要用来查询域名名称和IP之间对应的关系域名与IP信息收集系统鉴定-nmapWindows系统：nmap–o35Linux系统：nmap–o34网站服务器有不同的操作系统：windows、Linux、macos，这里需要知道的是windows对大小写不敏感，其他两个对大小写敏感。服务器系统收集通过端口扫描可以判断出网站开启的服务，从而通过爆破枚举或者漏洞利用进行突破，进一步提升网站权限，端口扫描也是信息收集必备的操作。扫描到的端口也许是网站的一个旁站，可以尝试对旁站进行漏洞探测，但是有些服务开启的端口可能被管理员修改，通过手工判断分析即可（例如开启了8888端口，通过尝试远程桌面连接确定该端口为3389修改过的端口）。端口信息各服务对应的端口号文件共享21/22/69FTP文件传输139Samba服务389LDAP目录访问协议2049NFS服务各服务对应的端口号远程连接22SSH23Telnet3389RDP远程桌面连接5632PyAnywhere5900VNC各服务对应的端口号Web应用服务80/443/8080Web服务端口1352邮件服务4848GlassFish控制台7001/7002WebLogic控制台8888宝塔控制台9090WebSphere控制台10000Webmin-Web控制台各服务对应的端口号1433MSSQL1521Oracle3306MySQL5000SysBase5432PostgreSQL6379Redis27017/27018MongoDB各服务对应的端口号邮件服务25SMTP110POP3143IMAP网络协议53DNS67/68DHCP161SNMP各服务对应的端口号特殊服务端口512/513/514LinuxRexec873Rsync2181Zookeeper3690Svn8069Zabbix9200/9300Elasticsearch11211Memcache50000SAPScanport起始IP、结束IP、端口号、线程端口扫描Nmap端口扫描：端口扫描查询网站的指纹信息：操作系统数据库Web中间件CMS类型Web框架Web指纹识别CMS信息利用：我们可以在百度上面搜索CMS版本的漏洞、默认的登录后台、登录密码，这样的信息是非常重要的，如果前期拿到这样的信息进入到网站的管理后台，那为我们后期漏洞发现、漏洞利用提供了重要的参考价值，毕竟都进入到了网站后台。web容器利用思路：通过查询网站的web容器版本信息，可以利用低版本（测试站点的web容器属于解析漏洞的版本中）的解析漏洞进行上传脚本木马进行拿到服务器的webshell，一般解析漏洞都是配合上传漏洞、编辑器漏洞来进行拿到服务器的webshell，进而获取服务器权限。Web指纹识别bugscanner在线指纹地址：/look/Web指纹识别云悉指纹：地址：/finger.htmlWeb指纹识别常见敏感文件及目录：robots.txt后台目录安装包上传目录Mysql管理页面Phpinfo编辑器目录扫描御剑工具的使用御剑也是一款好用的网站后台扫描工具，图形化页面，使用起来简单上手。目录扫描Dirbuster工具目录扫描工具DirBuster支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描，也支持基于字典暴力扫描，还支持纯暴力扫描。该工具使用Java语言编写，提供命令行（Headless）和图形界面（GUI）两种模式。其中，图形界面模式功能更为强大。用户不仅可以指定纯暴力扫描的字符规则，还可以设置以URL模糊方式构建网页路径。同时，用户还对网页解析方式进行各种定制，提高网址解析效率。目录扫描Burpsuite的spider模块+target模块目录扫描弱口令默认后台：admin，admin/login.asp,manage，login.asp等等常见后台查看网页的链接查看网站图片的属性查看网站使用的管理系统，从而确定后台用工具查找：wwwscan，intellitamper，御剑，进行爬虫、字典穷举扫描robots.txt的帮助：robots.txt文件告诉蜘蛛程序在服务器上什么样的文件可以被查看GoogleHacker通过语法查找后台查看网站使用的编辑器是否有默认后台，FCK、ewb等默认后台短文件利用短文件漏洞进行猜解子域名有可能管理后台为、sqlmap-sql-shellload_file（'d:/wwroot/index.php'）；利用sql注入查看文件源码获取后台社工、XSS利用社会工程系获取后台，利用存储型XSs获取后台网站后台查找CDN的全称是ContentDeliveryNetwork，即内容分发网络。互联网上的任何内容都可以通过CDN加速。例如图像、样式表、JavaScript文件、文件下载、直播和点播流媒体视频、整个网页、博客、游戏和应用程序等等。事实上，大部分互联网已经通过CDN传送，几乎包括日常看到的所有网站。毋庸置疑，任何连接到互联网的人都会与CDN进行交互，因为CDN不仅用于提供我们在计算机上消费的内容，还用于移动设备，智能电视，机顶盒和许多其他互联网——需要快速，可靠，安全地在线传输数据的连接设备。CDN基本概述用户访问未使用CDN缓存网站的过程为:用户向浏览器提供要访问的域名；浏览器调用域名解析函数库对域名进行解析，以得到此域名对应的IP地址；浏览器使用所得到的IP地址，向域名的服务主机发出数据访问请求；浏览器根据域名主机返回的数据显示网页的内容。访问过程访问使用CDN缓存后的网站的过程：用户向浏览器提供要访问的域名；浏览器调用域名解析库对域名进行解析，由于CDN对域名解析过程进行了调整，所以解析函数库一般得到的是该域名对应的CNAME记录，为了得到实际IP地址，浏览器需要再次对获得的CNAME域名进行解析以得到实际的IP地址；在此过程中，使用的全局负载均衡DNS解析，如根据地理位置信息解析对应的IP地址，使得用户能就近访问。此次解析得到CDN缓存服务器的IP地址，浏览器在得到实际的IP地址以后，向缓存服务器发出访问请求；缓存服务器根据浏览器提供的要访问的域名，通过Cache内部专用DNS解析得到此域名的实际IP地址，再由缓存服务器向此实际IP地址提交访问请求；访问过程访问使用CDN缓存后的网站的过程：缓存服务器从实际IP地址得得到内容以后，一方面在本地进行保存，以备以后使用，另一方面把获取的数据返回给客户端，完成数据服务过程；客户端得到由缓存服务器返回的数据以后显示出来并完成整个浏览的数据请求过程。访问过程CDN防护原理：在相关节点中成功的建立动态加速机制和智能沉于等机制，这种机制能够帮助网站流量访问分配到每个节点上，智能进行流量分配。节省站点服务器的压力，增强网站被黑客攻击的难度。有效防止DDOS攻击。CDN工作机制和架构CDN工作机制和架构加速网站访问跨运营商，全网覆盖保障网站安全CDN优点网站开启CDN功能后，会出现一个现象：

在不同的地区ping网址得到的IP是不同的。比如：

在山东ping得到IP是67；

在江苏地区得到IP是11。CDN防护的影响在线工具ping线路1：/线路2：/线路3：/Index/Ping绕过CDN防护查找源站IPkali中dnsenum绕过CDN防护查找源站IP二级域名法目标站点一般不会把所有的二级域名放cdn上。比如试验性质地二级域名。Googlesite一下目标的域名，看有没有二级域名出现，挨个排查，确定了没使用cdn的二级域名后。本地将目标域名绑定到同ip（修改host文件），如果能访问就说明目标站与此二级域名在同一个服务器上；如果两者不在同一服务器也可能在同C段，扫描C段所有开80端口的ip。绕过CDN防护查找源站IPnslookup法

寻找国外冷门的DNS，大部分CDN提供商只针对国内市场，对国外市场几乎不做CDN。绕过CDN防护查找源站IP查看域名历史解析记录指的是查找域名历史解析记录，因为域名在上CDN之前用的IP，很有可能就是CDN的真实源IP地址，有专门的网站提供域名解析历史记录查询。/site_report?url=绕过CDN防护查找源站IPrss订阅一般也会得到真实的IP地址，通过rss订阅的方式，可以查找到订阅的消息中真实IP。看订阅邮箱有的服务器本地自带sendmail…注册之后，会主动发一封邮件给我们...好吧,打开邮件的源代码,你就能看到服务器的真实ip。利用网站漏洞phpinfo敏感信息泄露、Apachestatus和Jbossstatus敏感信息泄露、网页源代码泄露、svn信息泄露、github信息泄露XSS漏洞、ssrf漏洞、命令执行、反弹shell绕过CDN防护查找源站IP查询https证书

https://censys.io/网络空间引擎搜索法

zoomeye、fofa、shodan国外请求多地ping查询绕过CDN防护查找源站IPWeb应用防护系统（也称为：网站应用级入侵防御系统。英文：WebApplicationFirewall，简称：WAF）。国际上公认的一种定义是：Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通俗理解为：用于保护网站，防黑客，放网络攻击的安全防护系统；是最有效，