目录
1 信息收集概述1.1 目的1.2 收集内容2 收集域名信息2.1 Whois查询2.1.1 Whois简介2.1.2 Whois操作2.2 备案信息查询3 收集敏感信息3.1 敏感信息类型3.2 通过搜索引擎收集敏感信息3.3 通过BurpSuite收集敏感信息3.4 其他4 收集子域名信息4.1 子域名检测工具4.1.1 Layer子域名挖掘机5.0下载及使用4.1.2 subDomainsBrute下载及使用4.2 搜索引擎枚举4.3 第三方聚合应用枚举4.4 证书透明度公开曰志枚举5 收集常用端口信息5.1 文件共享服务端口说明及攻击方向5.2 远程连接服务端口说明及攻击方向5.3 Web应用服务端口说明及攻击方向5.4 数据库服务端口说明及攻击方向5.5 数据库服务端口说明及攻击方向5.6 网络常见协议端口说明及攻击方向5.7 特殊服务端口说明及攻击方向6 指纹识别6.1 CMS及Web指纹识别的必要性6.2 采用工具进行指纹识别6.3 采用网站查询指纹7 查找真实IP7.1 CDN技术概述7.2 对渗透测试的影响7.3 判断及绕过CDN的方法7.3.1 判断方法7.3.2绕过CDN寻找真实IP的方法7.4 验证获取的IP8 收集敏感目录文件8.1 目的及常见工具8.2 御剑后台扫描珍藏版8.2 DirBuster9 社会工程学10 总结参考文献1 信息收集概述
1.1 目的
进行渗透测试之前, 最重要的一步就是信息收集,在这个阶段,我们要尽可能地收集目标组织的信息。所谓“知己知彼,百战不殆”,我们越是了解测试目标,测试的工作就越容易。
1.2 收集内容
在信息收集中,最主要的就是收集服务器的配置信息和网站的敏感信息,其中包括域名及子域名信息、目标网站系统、CMS指纹、目标网站真实IP 、开放的端口等。换句话说,只要是与目标网站相关的信息,我们都应该去尽量搜
集。
2 收集域名信息
知道目标的域名之后,我们要做的第一件事就是获取域名的注册信息,包括该域名的DNS服务器信息和注册人的联系信息等。域名信息收集的常用方法有以下这几种。
2.1 Whois查询
2.1.1 Whois简介
Whois是一个标准的互联网协议, 可用于收集网络注册信息,注册的域名、IP地址等信息。简单来说, Whois就是一个用于查询域名是否己被注册以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。在Whois查询中,得到注册人的姓名和邮箱信息通常对测试个人站点非常有用,因为我们可以通过搜索引擎和社交网络挖掘出域名所有人的很多信息。对中小站点而言,域名所有人往往就是管理员。2.1.2 Whois操作
Kali系统:在Kali系统中, Whois 己经默认安装,只需输入要查询的域名即可。站长之家();阿里云查询(/)
2.2 备案信息查询
网站备案是根据国家法律法规规定,需要网站的所有者向国家有关部门申请的备案,这是国家信息产业部对网站的一种管理,为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站,如果网站搭建在其他国家,则不需要进行备案。
ICP备案查询网:/
天眼查: http : //o
3 收集敏感信息
3.1 敏感信息类型
此处提到的敏感信息主要包括:数据库文件、SQL注入、配置信息(server及PHP版本等)、源代码泄露、未授权访问和robots.txt等。
3.2 通过搜索引擎收集敏感信息
Google是世界上最强的搜索引擎之一,对一位渗透测试者而言,它可能是一款绝佳的黑客工具。我们可以通过构造特殊的关键字语法来搜索互联网上的相关敏感信息。下面列举了一些Google 的常用语法及其说明。
3.3 通过BurpSuite收集敏感信息
通过BurpSuite工具同样可以获取一些服务器的信息,如运行的Server类型及版本、PHP的版本信息等。针对不同的Server ,可以利用不同的漏洞进行测试。
3.4 其他
除此之外,也可以尝试在GitHub 上寻找相关敏感信息,如数据库连接信息、邮箱密码、uc-key 、阿里的osskey,有时还可以找到泄露的源代码等。读者可以通过乌云漏洞表查询历史漏洞信息。4 收集子域名信息
子域名也就是二级域名, 是指顶级域名下的域名。假设我们的目标网络规模比
较大,直接从主域入手显然是很不理智的, 因为对于这种规模的目标, 一般其主域
都是重点防护区域,所以不如先进入目标的某个子域,然后再想办法迂回接近真正
的目标,这无疑是个比较好的选择。那么问题来了,怎样才能尽可能多地搜集目标
的高价值子域呢? 常用的方法有以下这几种。
4.1 子域名检测工具
用于子域名检测的工具主要有Layer子域名挖掘机、K8 、wydomain , Sublist3r dnsmaper 、subDomainsBrute 、Maltego CE 等。重点推荐Layer子域名挖掘机、Sublist3r和subDomainsBrute 。
4.1.1 Layer子域名挖掘机5.0下载及使用
layer子域名挖掘机5.0下载百度云链接,提取码:121l。在windows系统双击exe文件即可使用。输入要扫描的域名开启扫描,扫描进度在左下角查看。鼠标右击列表可以导出域名,选择位置保存为txt文件,默认保存在软件所在文件夹下。
4.1.2 subDomainsBrute下载及使用
subDomainsBrute下载:工具GIthub下载地址,在如下图处下载并解压。以Kali系统使用该工具为例,将解压后文件夹复制到kali系统中,待用,同理可在Windows系统运行。打开kaili终端,配合cd和ls命令,进入解压文件夹中。
查看目录下文件列表,共有2个目录及3个文件,使用kali自带的python2或python3来运行subDomainBrute.py文件,并添加参数-h来表示获取帮助文件。发现python2运行时缺少部分模块,python3可以正常运行。
到此,subDomainBrute安装完成并能正常使用,通过命令python3 subDomainBrute.py 目标域名运行该程序来收集目标域名下的子域名。运行完成后,在该目录下新生成了一个目录和一个文件,存放扫描结果。
4.2 搜索引擎枚举
可以利用Google语法搜索子域名,例如使用site:语法搜索百度旗下的子域名。
4.3 第三方聚合应用枚举
很多第三方服务汇聚了大量DNS 数据集,可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名,就可检索到相关的域名信息。读者也可以利用DNSdumpster网站(/)、在线DNS侦查和搜索的工具挖掘出指定域潜藏的大量子域。
4.4 证书透明度公开曰志枚举
证书透明度(Certificate Transparency, CT)是证书授权机构(CA)的一个项目,证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。首推好用网站:https://crt.sh次推好用网站:https://censys.io/其他网站:https://phpinfo.me/domain5 收集常用端口信息
在渗透测试的过程中,对端口信息的收集是一个很重要的过程,通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务,就可以对症下药,便于我们渗透目标服务器。所以在端口渗透信息的收集过程中,我们需要关注常见应用的默认端口和在端口上运行的服务。最常见的扫描工具就是Nmap 、无状态端口扫描工具Mas scan 、ZMap和御剑高速TCP端口扫描工具。5.1 文件共享服务端口说明及攻击方向
5.2 远程连接服务端口说明及攻击方向
5.3 Web应用服务端口说明及攻击方向
5.4 数据库服务端口说明及攻击方向
5.5 数据库服务端口说明及攻击方向
5.6 网络常见协议端口说明及攻击方向
5.7 特殊服务端口说明及攻击方向
6 指纹识别
6.1 CMS及Web指纹识别的必要性
必要性:在渗透测试中,只有识别出相应的Web容器或者CMS ,才能查找与其相关的漏洞,然后才能进行相应的渗透操作。内容管理系统(content management system,CMS):是一种位于WEB前端(Web 服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。6.2 采用工具进行指纹识别
Web指纹识别代表工具有WhatWeb 、御剑Web 指纹识别、WebRobo 、椰树、轻量WEB指纹识别等,可以快速识别一些主流CMS。Whatweb是kali系统自带工具,可以搜索直接使用。6.3 采用网站查询指纹
BugScaner: /look/。云悉指纹:/finger.html。· WhatWeb: /。
7 查找真实IP
在渗透测试过程中,目标服务器可能只有一个域名,那么如何通过这个域名来确定目标服务器的真实IP对渗透测试来说就很重要。如果目标服务器不存在CDN,可以直接通过获取目标的一些IP及域名信息。这里主要讲解在以下这几种情况下,如何绕过CDN寻找目标服务器的真实IP 。
7.1 CDN技术概述
定义:CDN的全称是Content DeliveryNetwork,即内容分发网络。简介:CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率。基本原理:CDN的基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。目的:是使用户可就近取得所需内容,解决 Internet网络拥挤的状况,提高用户访问网站的响应速度。7.2 对渗透测试的影响
当公司服务器单纯只使用DNS解析,直接PING就会显示出其真实IP;如果使用CDN,直接PING出来的IP就不是用户的真实IP而是CDN服务器的IP节点。cdn会隐藏服务器真实的ip地址,无法对目标网站的操作系统进行渗透,但cdn站点又可以理解为是目标站点的镜像站点(大多数都是静态cdn加速),拥有相同的网站架构,且cdn服务器可与站点服务器进行交互,因此sql注入,xss等漏洞的挖掘并不受太大影响。7.3 判断及绕过CDN的方法
7.3.1 判断方法
通过超级ping的网站可以看到CDN的解析情况,可以浏览器搜索“超级ping”打开对应网页输入域名进行搜索,或直接在浏览器输入“/+目标域名”的方式进行检索。以百度WEB服务器为例,/。返回结果有多个,说明启用了CND技术。.7.3.2绕过CDN寻找真实IP的方法
内部邮箱源。一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件、寻找邮件头中的邮件服务器域名IP,ping 这个邮件服务器的域名, 就可以获得目标的真实IP (注意,必须是目标自己的邮件服务器,第三方或公共邮件服务器是没有用的)。扫描网站测试文件,如phpinfo 、test 等,从而找到目标的真实IP 。分站域名。很多网站主站的访问量会比较大,所以主站都是挂CDN 的,但是分站可能没有挂CDN,可以通过ping二级域名获取分站IP,可能会出现分站和主站不是同一个IP但在同一个C段下面的情况,从而能判断出目标的真实IP段。国外访问。国内的CDN往往只对国内用户的访问加速,而国外的CDN就不一定了。因此,通过国外在线代理网站App Synthetic Monitor (/en/ping.php)访问,可能会得到真实的IP。查询域名的解析记录。也许目标很久以前并没有用过CDN,所以可以通过网站NETC RAFT(/)来观察域名的IP历史记录,也可以大致分析出目标的真实IP段。如果目标网站有自己的App,可以尝试利用Fiddler或BurpSuite截取App的请求,从里面找到目标的真实IP。绕过CloudFlare CDN查找真实IP 。现在很多网站都使用CloudFlare提供的CDN服务,在确定了目标网站使用CDN后,可以先尝试通过在线网站Cloud Flare Watch ( http://www.crimeflare.us/cfs.html#box)对CloudFlare客户网站进行真实IP查询。7.4 验证获取的IP
找到目标的真实IP以后,如何验证其真实性呢?如果是Web,最简单的验证方法是直接尝试用IP访问,看看响应的页面是不是和访问域名返回的一样;或者在目标段比较大的情况下,借助类似Masscan的工具批扫描对应IP段中所有开了80、443、8080端口的IP,然后逐个尝试IP访问,观察响应结果是否为目标站点。
8 收集敏感目录文件
8.1 目的及常见工具
目的:在渗透测试中,探测Web 目录结构和隐藏的敏感文件是一个必不可少的环节,从中可以获取网站的后台管理页面、文件上传界面, 甚至可能扫描出网站的源代码。针对网站目录的扫描主要有:DirBuster 、御剑后台扫描珍藏版、wwwscan 、Spinder.py (轻量级快速单文件目录后台扫描)、Sensitivefilescan (轻量级快速单文件目录后台扫描)、Weakfilescan (轻量级快速单文件目录后台扫描)等工具。8.2 御剑后台扫描珍藏版
扫描线程自定义:用户可根据自身电脑的配置来设置调节扫描线程;集合DIR扫描 ASP ASPX PHP JSP MDB数据库 包含所有网站脚本路径扫描;默认探测200 (也就是扫描的网站真实存在的路径文件)。使用界面:8.2 DirBuster
简介:DirBuster是OWASP开发的一款基于Java编写的、专门用于探视Web服务器的目录和隐藏文件。因为是用Java编写的,所以需要在Java运行环境ORE )下安装。该工具的界面是纯图形化的,用法相对简单。kali系统中自带了DirBuster工具,可以搜索找到该工具。点击运行后软件界面如下图。在Target URL输入框中输入要扫描的网址,扫描时将请求方法设置为“Auto Switch”。设置线程的数值,推荐在20-30之间。太大了容易引起系统死机。选择字典类型,如果使用个人字典扫描,先选择“ List based brute force ”选项,再单击“ Browse ”选择字典,可以选择工具自带的字典,也可以选择自己的字典。可以点击List info查看软件自带字典的简介再做选择。在Select starting options 中选择“ URL Fuzz ”方式进行扫描。设置fruzzing 时需要注意,在URL to fuzz里输入“/{dir}”。这里的{dir}是一个变量,用来代表字典中的每一行。如果你扫描的目标是/admin/ ,那么就要在URL to fuzz 里填写“/admin/{dir}”,意思是在“{dir}”的前后可以随意拼接你想要的目录或者后缀,例如输入“/admin/{dir}.php ”就表示扫描admin目录下的所有php文件。参考以上说明设置如下图,适当调整窗口大小,可以看到Start按钮。
