目錄
資訊收集
資訊收集手段
被動資訊收集
主動資訊收集
資訊收集階段要做什麼?
域名
子域名
子目錄
真實實體路徑
真實ip
真實ip段
旁站
背景
端口
服務
作業系統
cms(指紋)
waf
防火牆
社工庫
其他
資訊收集的實作(重點)
Google Hack or Baidu Hack
cdn判斷及繞過
子域名擷取
子目錄及真實路徑及旁站的探測
web架構及作業系統及服務資訊
cms查詢
端口掃描
whois
特殊工具詳解篇
dig
netdiscover
fping
nmap
snmpwalk
wafw00f
資訊收集的手段大體可以分為兩類:
不與目标系統産生直接互動,如搜尋引擎,網站查詢,nslookup,dig等
說白了就是具有查詢性質的手段
至于這個查詢,學會自己體會,查詢一些個資訊,或者對網站進行搜尋通路肯定是不會給系統産生攻擊表現,就不會在日志上留下痕迹
與目标系統産生直接互動,會在目标系統日志留下痕迹
如nmap ping fping awvs 。。。等手段
雖然說會給目标系統留下痕迹,當我們還是要盡可能減少痕迹
如:使用代理,僞造ip等手段
在後續工具講解中我不會再去分哪些是主動,哪些是被動,大家自行了解 😃 不管什麼手段,一切都是為了收集資訊!!!
資訊收集階段要盡可能的收集滲透測試對象的一切資訊,越詳細對于後續漏洞掃描,利用階段越有利。
主要内容如下:
如baidu.com是百度的域名 qq.com是qq的域名。www.baidu.com是百度的FQDN,或者說是域名。這裡大家要把域名和FQDN搞清楚。
至于域名的收集沒什麼好說的。
即FQDN,如qq.com是域名,那麼www.qq.com,music.qq.com都是qq.com的子域名。一般來說一個主網站都是www開頭。往往網站的主站都會存在本系統最進階别防護措施,如果拿不下主站嘗試從子域名出發提權哪些主站。
幾乎網站都由一系列目錄組成,一個網站的架構就是有子目錄及檔案構成,是以相當重要
即在作業系統中真實檔案路徑
為啥ip位址要加個真實呢?很多網站為了加快各地對網站的通路,會去購買cdn服務,如果存在cdn,簡單方式将無法擷取目标ip位址。後續我會簡述cdn發現及繞過尋找真實ip位址
真實ip段往往和子域名相生相依,在ip段應當進行存活主機的探測。往往來說一個系統主站,子站都回存在于一個ip段内,利用ip段,探測可能找出真實ip位址。
多說一句為啥要加一個真實兩個字,還是繞不過cdn這個話題,某些有錢的網站可能除了主站做cdn可能子站也做了cdn,我們必須盡可能去尋找沒有做cdn的ip位址進而找出真實ip段。比如一些被遺忘的老站等
一般來說往往都是一個蘿蔔一個坑,一般是一個ip位址對應一個網站。但可能存在一系列疏忽,導緻一個ip位址可能存在多個網站,抛去正常通路到哪個網站就叫旁站。我們可以嘗試尋找旁站提權到同ip主站
背景是管理者登入處,可以嘗試弱密碼或者爆破等手段登陸
一個端口對應一種服務,一個應用程式監聽一個端口.如:
80端口對應http服務
53端口對應dns解析服務
21對應FTP服務
具體還有很多資料庫服務對應端口等等在這裡不具體闡述,遇到自行百度
嘗試找出端口對應服務是否開啟
也就是端口對應的服務,有時可能存在預設端口号不對應預設服務,具體問題具體分析
目标作業系統識别如windows linux 等
很多公司建站都會使用一些架構,如織夢,discuz,我們嘗試擷取其web架構名稱及版本,然後查詢該web架構存在漏洞,攻擊網站
web防火牆識别
防火牆的識别
社工庫相當可怕,一個qq号,一個網名,可以查出很多私密資訊,具體就不說了。
郵箱
電話
傳真
公司位址
管理者資訊
...
這些資訊可以用來做一些個釣魚
文法:
site:
指定必須包含域名,尋找某網站的子域名,常用此參數
inurl:
表明我url連結中必須包含的目錄或檔案
可以用來批量找背景
常用:
Admin/
System/login.php
admin/login.asp
3.intext:
intext是在搜尋内容處加限定,
如 intext:背景
intitle:
而intitle則是在标題處加限定
如intitle:背景
背景管理
管理者登陸
歡迎來到管理中心
| and + -
"" | 是一個或判斷,and是必須都有判斷
+号表示必須含有 -号表示必須不包含
"内容"表示其中内容必須連續
5.filetype:
可以是:
doc xls conf inc PHP ASP CGI PDF JSP FCGI SWF DOC TXT EXE PPT XLS INI YML MP3 MP4 JPG
加一些特定關鍵詞可能搞到網站賬号,密碼檔案
n's'look'j
cache:url
打開網頁緩存資訊
當網站異常,我們可以打開删除資訊,曆史資訊,快照資訊
判斷方法一:
https://ping.chinaz.com/
輸入域名,會進行多地ping,若出現不同ip位址則說明存在cdn
判斷方法二:
dig:
若存在cname則存在cdn
繞過大法:
法一:
擷取曆史dns記錄
擷取未采用cdn時ip
強推一個網站
https://viewdns.info/
它還有許多其他功能,讀者自己體會
可以發現很早的ip記錄,找到ip
法二:ssl證書查詢
https://myssl.com/ssl.html
該網站根據網站的ssl證書資訊,可能會爆出真實ip或真實ip段
法三 子域名,ip段查詢查詢
之前提過cdn如果給是以子域名做,那麼價格不菲,有時為了節省成本,可能出現子域名任在真實ip段
之後我再講此法
法四 利用網站漏洞
指令執行反彈shell xss盲打 ssrf
這些我會以後詳談
法五 采用國外主機解析域名
有些網站為了節約,不會給國外方法做cdn
嘗試使用谷歌dns解析
法六 敏感檔案洩露
phpinfo()
後續會講的目錄爬取可能存在爬出敏感資訊
法七
利用mx記錄
可能會暴露真實ip段
etc...才疏學前有些大佬的法子沒看懂也就不寫上來了
法一:網站查詢
直接輸入域名擷取子域名
輸入真實ip擷取真實ip段存活主機
https://site.ip138.com/
法二:shodan fofa zoomeye
https://fofa.so/
https://www.zoomeye.org/
https://www.shodan.io/
在此僅介紹shodan,其餘兩個都是中文網站具有手冊
net:1.1.1.1
net:1.1.1.0/24
net:xxx.com
city:城市英文名
country:CN
port:
os:
三個都是搜尋神器,功能遠不止子域名擷取,這裡就不詳談,請自行學習
法三:dns區域傳輸
某些dns伺服器配置不當導緻能夠利用
法四:工具爆破
常用法子
layer子域名發掘機
爆破工具繁雜,自行選擇
法一:手工法
1.直接上手網站進行敏感檔案測試
www.xxx.com/robots.txt
2.探針檔案(遺留檔案)
常見探針名
phpinfo.php info.php php.php 1.php
3.報錯獲得
容錯不好網站 404
動态url加單引号 錯誤sql語句保出真實路徑
4.工具爬蟲
awvs爬蟲
結構最為可靠
burp的爬蟲功能
5.爆破工具
禦劍背景爆破
dirbuster
1.服務平台即腳本類型通過通過http響應包
可能會傳回目标系統的架構及作業系統資訊
2.nmap
推薦使用-A,注意大小寫
這裡先帶過nmap後續詳談
3.一定注意資料庫和web架構和作業系統搭配,如mssql智能在windows ,iis隻能在windows
1.手工法
打開網站 f12 進行手工搜尋url中特殊路徑,可能搜出cms資訊
2.爆破法
使用
禦劍web指紋識别等指紋識别工具
3.網站大法
http://whatweb.bugscaner.com/
最好使用
後續詳談nmap
通過whois可以擷取一些其他類别資訊
1.指令
whois xxx.com
2.網站
https://whois.chinaz.com/
不好使
dns資訊收集工具
被動資訊收集神器
二層發現工具
使用arp協定發現同區域網路ip存活
三層發現工具
基于icmp/ip協定
可路由
速度慢于二層發現
nmap是一款主機探測/端口掃描工具
首先針對掃描目标進行闡述:
可以是ip,ip段,域名
端口闡述
常用主機存活發現指令
常用端口存活主機發現
防護牆識别
服務識别
作業系統識别
waf識别