web滲透測試之資訊收集

目錄

• 資訊收集
• • 一. 域名資訊搜集
  • • 1.域名介紹
    • 2.whois 介紹
    • 3.whois作用
    • 4.whois查詢方式
  • 二.子域名資訊搜集
  • • 1.子域名介紹
    • 2.子域名搜集的作用
    • 2.子域名搜集方法
  • 三.web站點資訊搜集
  • • 1.CMS指紋識别
    • 2.網站敏感目錄和檔案
  • 四.端口資訊搜集
  • • 1.端口介紹
    • 2.端口資訊搜集方法
    • 3.常見端口攻擊
  • 五.敏感資訊搜集
  • • 1.敏感資訊搜集的必要性
    • 2.搜尋的基本方式
  • 六.真實IP位址搜集
  • • 1.CDN介紹
    • 2.判斷CDN是否存在
    • 3.繞過CDN查詢真實IP位址

資訊收集

一. 域名資訊搜集

1.域名介紹

域名，由于IP不友善記憶，且不能顯示位址組織的名稱和性質等缺點，人們設計出了域名,用于對計算機的定位辨別（有時也指地理位置）。IP位址和域名是一一對應的。

例子： baidu.com為百度的域名 ，www.baidu.com和mail.baidu.com是該域名的子域名。

2.whois 介紹

whois是用來查詢一個域名是否已經被注冊，及其詳細資訊。

3.whois作用

對于滲透測試人員來說，通過whois查詢可以擷取域名注冊人、公司、電話、郵箱進行反查。或者根據擷取的資訊在搜尋引擎進行更多資訊搜尋。因為有些企業的域名注冊者就是網站管理者。

4.whois查詢方式

• 方法一: https://whois.aliyun.com/

  

• 方法二: http://whois.chinaz.com/

• 方式三：kali自帶whios查詢工具

  

二.子域名資訊搜集

1.子域名介紹

• 子域名，是頂級域名（一級域名或父域名）的下一級，域名整體包括兩個“.”或包括一個“.”和一個“/”。

• 頂級域名：

  頂級域名（一級域名或父域名）是".com"、".net"、".org"、".cn"等等。

• 多級域名：

  凡頂級域名前加字首的都是該頂級域名的子域名，而子域名根據技術的多少分為二級子域名，三級子域名以及多級子域名

2.子域名搜集的作用

子域名是某個主域的二級域名或者多級域名。目前很多主域防禦措施周全，而二級域名防護措施可能相對薄弱些，是以可以通過拿下子域名，然後再進一步拿下主域。

2.子域名搜集方法

• 方法一：搜尋引擎挖掘

  eg：在Google中輸入 site：baidu.com

  

• 方法二：子域名挖掘工具

  eg：layer子域名挖掘機，subDomainBrute ,wydomain等其他工具

  

• 第三方網站查詢： lhttps://phpinfo.me/old/domain/.

  

三.web站點資訊搜集

1.CMS指紋識别

CMS意為"内容管理系統",一種位于WEB 前端和後端辦公系統或流程（内容創作、編輯）之間的軟體系統。内容的創作人員使用内容管理系統來送出、修改、審批、釋出内容。

常見的CMS：phpcms、dedecms、discuz等等

CMS識别方法：

• 方法一：線上工具 http://whatweb.bugscaner.com/look/.；線上工具www.yunsee.cn.

  

• 方法二：本地工具：kali自帶的whatweb 、大禹CMS 識别工具等（https://github.com/Ms0x0/Dayu）

  

2.網站敏感目錄和檔案

對于滲透人員來說，目标WEB站點的目錄結構和敏感檔案的探測是很關鍵的，可能會發現背景目錄、上傳目錄、phpinfo、安裝頁面、資料庫檔案、robots.txt檔案、網站源代碼檔案等等。

• 目錄掃描方法：
• 方法一：dirsearch、禦劍 、 dirbuster等等

  

四.端口資訊搜集

1.端口介紹

"端口"可以認為是裝置與外界通訊交流的出口。端口可分為虛拟端口和實體端口，其中虛拟端口指計算機内部端口，不可見。例如80、21、23端口等。實體端口又稱為接口，是可見端口，計算機背闆的RJ45網口，交換機路由器集線器等RJ45端口。通俗講，如果把IP比作一棟房屋，端口就是這間房子的門和窗。

一個IP位址擁有的端口号在理論值範圍是從0到65535。而每一個端口代表一個服務。在windows中，使用netstat -anbo 檢視開放端口。

2.端口資訊搜集方法

• 方法一：使用nmap 搜集，nmap -A -v -4T 目标。

• 方法二：使用線上網站探測：http://tool.chinaz.com/port/.

  

• 方法三：masscan，掃描的比較快，但是準确率較低。

3.常見端口攻擊

• ftp: 端口：20（資料端口）；21（控制端口）；

  攻擊方式：爆破：ftp的爆破工具，owasp的Bruter或者msf中ftp爆破子產品；

• ssh:端口 ：22

  攻擊方式 爆破：弱密碼 漏洞：28倒退漏洞、OpenSSL漏洞

• telnet: 端口：23

  攻擊方式 爆破：弱密碼 嗅探：此種情況一般發生在區域網路；

• windows遠端連接配接： 端口：3389

  攻擊方式：爆破：3389端口爆破工具較多

• Shift粘滞鍵後門：5次shift後門

  漏洞攻擊：利用ms12-020攻擊3389端口，導緻伺服器關機；

• IIS服務：端口 80/81/443

  攻擊方式：PUT寫檔案：利用IIS漏洞，put方法直接将檔案放置到伺服器上

  解析漏洞

• Apache/Tomcat/Nginx/Axis2 預設端口：80/8080

  攻擊方式：爆破：弱密碼（爆破manager背景）

  HTTP慢速攻擊：可以把伺服器打死，對一些大型的網站有影響；

  解析漏洞

• MYSQL資料庫：預設端口 3306

  攻擊方式：爆破：弱密碼

  身份認證漏洞：CVE-2012-2122

  拒絕服務攻擊：利用sql語句是伺服器進行死循環打死伺服器

  Phpmyadmin萬能密碼繞過：使用者名：‘localhost’@’@”密碼任意

• MSSQL資料庫 預設端口：1433，1434

  攻擊方式：爆破：弱密碼/使用系統使用者

• redis資料庫 預設端口：6379

  攻擊方式：爆破：弱密碼

  未授權通路+配合ssh key提權

五.敏感資訊搜集

1.敏感資訊搜集的必要性

目前很多企業的安全性做的非常好，有時候通過技術面無法完成滲透測試，此時可以通過在網際網路上搜尋目标站點的敏感資訊。資料庫檔案，伺服器配置資訊，洩露源代碼等等資訊，來完成滲透測試。

2.搜尋的基本方式

方法一： Google hacking文法

• intitle：搜尋網頁标題中包含特定資訊的網頁。

  eg:intitle: 背景，網頁标題中帶有‘背景’的網頁都會被搜尋出來。

• inurl：搜尋包含有特定内容的URL。

  eg:inurl:admin，可以用來查找網站背景。

• intext: 搜尋網頁正文内容中的指定内容

  eg：intext:登陸。可以搜尋含有‘登陸’的頁面

• Filetype: 搜尋指定類型的檔案。

  eg:作業系統　filetype:txt，找到關于作業系統的txt文檔。

• Site：找到與指定網站有聯系的URL。

  eg:Site：kugou.com。和kugou有關的URL都會被顯示。

進階篇：

• 查找背景位址：site:域名

  inurl:login|admin|manage|member

• 查找文本内容：site:域名 intext:管理|背景|登陸|使用者名
• 查找可注入點：site:域名 inurl:aspx|jsp|php|asp
• 查找上傳漏洞：site:域名 inurl:file|load|editor|Files
• 檢視腳本類型：site:域名 filetype:asp/aspx/php/jsp
• 網絡裝置關鍵詞：intext:WEB Management Interface for H3C SecPath Series
• 存在的資料庫：site:域名 filetype:mdb|asp|#

google hacking資料庫：https://www.exploit-db.com/google-hacking-database.

方法二： github資訊洩露

• Github之郵件配置資訊洩露：

site:Github.com smtp

site:Github.com smtp @qq.com

site:Github.com smtp @sina.com.cn

site:Github.com smtp password

• Github之資料庫資訊洩露

site:Github.com sa password

site:Github.com root password

• Github之svn資訊洩露

site:Github.com svn

site:Github.com svn username

site:Github.com svn password

• Github之資料庫備份檔案

site:Github.com inurl:sql

• Github之綜合資訊洩露

site:Github.com password

site:Github.com ftp ftppassword

site:Github.com 密碼

site:Github.com 内部

六.真實IP位址搜集

1.CDN介紹

在滲透測試過程中，很多網站有CDN。CDN即内容分發網絡，主要解決因傳輸距離和不同營運商節點造成的網絡速度性能低下的問題。CDN采用各種緩存伺服器，将這些緩存伺服器分布到使用者通路相對集中的地區或網絡中，在使用者通路網站時，指向距離最近的工作正常的緩存伺服器上，由緩存伺服器直接響應使用者請求。隻有使用者有實際資料互動時才會從遠端Web伺服器上響應，這樣可以大大提高網站的響應速度及使用者體驗。

故在滲透測試過程中，要想知道網站伺服器的真實IP，得繞過CDN查找出網站的真實ip位址。

2.判斷CDN是否存在

方法：通過Ping判斷是否存在CDN。利用線上ping網站，不同地方的 ping 服務，檢視對應 IP 位址是否唯一,不唯一有可能是使用了CDN.

• http://ping.chinaz.com/.

• 

3.繞過CDN查詢真實IP位址

• 方法一：收集内部郵箱伺服器IP位址

  通過注冊，郵件頭中的郵件伺服器域名IP，ping該域名，就可以獲得目标的真實IP。

• 方法二：國外代理網站通路

  https://www.netcraft.com .該域名的IP曆史記錄。

• 方法三：分站IP位址