网络攻防之信息收集和社工技巧

工欲善其事必先利其器，在发起网络攻击之前，通过各种渠道收集信息，建立起针对渗透目标相对完善的信息库是首要任务，这里给大家分享几种信息收集的方式。

第一章 网站资产探测

1.1查询域名和子域名

Google、baidu、Bing等传统搜索引擎

Censys：https://www.censys.io

Dnsdb搜索引擎：https://www.dnsdb.io

/

/subdomain/

1.2HTTPS证书

/ssl-checker.html

/ssltools/ssl-checker.html

/

https://crt.sh/

https://search.censys.io/

基于 HTTPS 证书的子域名收集小程序 ：GetDomainsBySSL.py

参考链接：/articles/network/140738.html

1.3 综合搜索

提莫：/bit4woo/teemo

主要有三大模块：搜索引擎 第三方站点 枚举

利用全网IP扫描http端口 在访问IP的80或者8080端口的时候，可能会遇到配置了301跳转的，可以在header里获取域名信息。

全网扫描结果如下：https://scans.io/study/sonar.http

1.4同IP网站及C段查询

1.4.1C段扫描原因

（1）收集C段内部属于目标的IP

（2）内部服务只限IP访问，没有映射域名

（3）更多的探测主机目标资产

1.4.2C段扫描方法

1.4.2.1 NMAP

1）快速扫描大型网络

2）可以获得主机运行的端口、服务、系统指纹

3）上百个扩展脚本提供日常支持

A.Nmap-扫描C段主机存活

nmap -sn -PE -n 192.168.1.1/24 -oX out.xml

-sn 不扫描端口，只查看主机是否存活

-PE 不进行ICMP扫描

-n 不进行DNS解析

-oX 将结果输出到某个文件

B.Namp-定向端口扫描

nmap -sS -Pn -p 3389

-sS 扫描方法：半开放扫描

-Pn 不进行主机存活探测

-p 端口

C.Nmap-全端口扫描

nmap -sS -Pn -p 1-65535 -n

D.Nmap-服务扫描

nmap -sS -sV -p 1-65535 -n

显示出端口开发的服务

1.4.2.2MSSCAN

Masscan允许任意地址范围和端口范围，速度很快。

masscan -p 80 /24 -rate 10000 -oL ouput.txt

-p 设置端口

-rate 发包速率

-oL 输出位置

绕过特定ip地址语法：

masscan -p 80 --excludefile special.txt

1.5 行业系统

同行业可能存在类似的系统，甚至于采用同一家厂商的系统，可互做对比

通用：办公OA、邮件系统、VPN等

医院：门户、预约系统、掌上医院、微信公众平台等

第二章网站信息收集

主要是针对单个站点的信息收集技巧，主要围绕服务器IP、域名、网站。

2.1 服务器IP

2.1.1确定厂商是否有用到CDN服务

在线查询：

/

/cdn.php

/

工具查询

Best trace

浏览器查询

各厂家http header自定义字段汇总

2.1.2绕过DNS查询真实IP

1、查询历史DNS记录：

查看 IP 与 域名绑定的历史记录，可能会存在使用 CDN 前的记录，相关查询网站有：

https://dnsdb.io/zh-cn/

/ 微步在线

/site_report?url=

http://viewdns.info/

2、xcdn

/3xp10it/xcdn

Tips：找到真实ip，绑定host ，是否可以打开目标网站，就是真实IP，对真实IP进行入侵测试，DDOS流量攻击，CC等等，实现无视CDN防御，但是源站如果做了黑白名单策略，只允许CDN节点IP地址访问，这种绕过CDN的方式就无效。

2.1.3识别服务器及中间件类型

远程操作系统探测

用 NMAP 探测操作系统

Nmap -O 192.168.100.101

2.1.4端口及服务

Nmap 1-65535端口扫描，探测端口服务

2.1.5查询IP所在位置

2.2域名

在whois查询中，获取注册人姓名和邮箱、电话信息，可以通过搜索引擎，社交网络，进一步挖掘出更多域名所有人的信息

DNS服务器

域名注册邮箱，可用于社工或是登录处的账号。

2.3站点

2.3.1网站架构

网站语言、数据库，网站框架、组件框架历史漏洞

常用的网站架构如：LAMP/LNMP

PHP框架：ThinkPHP

2.3.2Web目录结构

2.3.2.1目录扫描原因

（1）寻找网站后台管理

（2）寻找未授权界面

（3）寻找网站更多隐藏信息

2.3.2.2目录扫描方法

（1）robots.txt

Robots协议（网络爬虫排除标准），网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。同时也记录网站所具有基本的目录。

（2）搜索引擎

搜索引擎会爬取网站下目录，并且不需要触碰网站任何防御设备

site:

（3）爆破

通过字典匹配网站是否返回相应正确状态码，然后列出存在的目录。

爆破可能会触发网站防火墙拦截规则，造成IP封禁。

工具：

1）dirb

DIRB是一个Web内容扫描程序

通过字典查找Web服务器的响应

DRIB只能扫描网站目录，不能扫描漏洞

语法：

dirb

参数：

-a 设置User-Agent，告诉服务器，本地的一些信息。

-b 不扫描…/或者./

-c 设置Cookie

-E 设置证书文件

-o outfile 保持扫描文件

前面出现+号，表示存在文件

前面出现==>，表示存在文件夹

2）dirbuster

DirBuster多线程Java应用程序，主要扫描服务器上的目录和文件名，扫描方式分为基于字典和纯爆破，OWASP 下开源项目

语法：

命令行下输入：disbuster，出现窗口界面

字典爆破使用步骤：

1.Target URL 输入URL

2.work method 选择Auto Switch

3.Number of Threads 线程数，根据环境设定

4.select scaning type 选择List based brute force

5.File with list of dirs/files 点击browse选择字典文件

6.select starting options 选择URL fuzz

7.URL to fuzz 输入 /{dir}

8.start

2.3.3敏感文件信息泄露

备份文件、测试文件、Github泄露、SVN源码泄露

2.3.4Web指纹

2.3.4.1在线收集

云悉在线WEB指纹CMS识别平台：

浏览器插件：wappalyzer

2.3.4.2工具收集

2.3.4.2.1系统指纹识别

（1）方式1：通过发送TCP/IP数据包到目标主机，由于每个操作系统处理TCP/IP数据包都不相同，所以可以通过它们之间的差别判定操作系统。

语法：

nmap -sS -Pn -O

-O 启用操作系统探测

nmap识别操作系统指纹必须使用端口，所以不允许添加-sn参数。

Nmap -sV 192.168.100.101 显示该资产的版本信息

（2）方式2：端口服务识别，每个操作系统都有特有的服务和端口，如：windows桌面连接使用的3389 RDP协议；windows的smb协议开启端口445；iis 80端口

方法

nmap -sS -sV

2.3.4.2.2中间件指纹识别

（1）方式1：通过http返回消息中提取server字段

Response Headers view source

Content Type:text/html;charset=ISO-8859-1

Date:Wed, 15 Aug 08:25:12 GMT

Server:Apache-Coyote/1.1

Transfer-Encoding:chunked

（2）方式2：通过端口服务探测中间件

常用端口：Tomcat、Jboss 8080，weblogic 7001

方法

nmap -sS -Pn -sV

（3）方式3：通过构造错误界面返回信息查看中间件

主要通过构造不存在的路径和畸形数据

2.3.4.2.3Web程序指纹识别

识别目标：开发语言、开发框架、第三方组件、CMS程序、数据库

（1）开发语言

1.后缀名识别：.asp、.php、.jsp

2.抓包查看与后台交互点，如：登录、查询等

3.http返回消息头：X-Powered-By字段

4.cookie信息：PHPSESSIONID -> php、JSPSESSIONID -> jsp、ASPSESSIONIDAASTCACQ -> asp

（2）开发框架

1.php的thinkphp框架识别方法：拥有特定ico图标

2.Action后缀90%几率为struts2或者webwork

3.do后缀50%几率spring mvc

4.url路径 /action/xxx 70%几率struts2

5.form后缀 60%几率spring mvc

6.Vm后缀90%几率VelocityViewServlet

7.jsf后缀99%几率Java Server Faces

（3）第三方组件

一般包括流量统计、文件编辑器、模板引擎

识别方法：一般为目录扫描

FCKeditor

CKEditor

（4）CMS程序

1.特定文件夹：dede/、admin/admin_Login.aspx

2.Powered by ***

3.网站favicon图标

（5）数据库

1.常规判断：asp -> sql server，php -> mysql，jsp -> oracle

2.网站错误信息

3.端口服务：1443 -> sql server，3306 -> mysql，1521 -> oracle

2.3.4.2.4防火墙指纹识别

识别方法：

1.nmap -p 80 -srcript http-waf-fingerprint

2.sqlmap -u <域名> -identify-waf

2.3.5安全防护摸底

安全防护，云waf、硬件waf、主机防护软件、软waf

第三章社工方式

寻找指定目标的已经泄露的数据 // 撞库、用户名、密码。

构建社工库

/Announcement-Database-Index-CLICK-ME

（1）app

隐私信息未做加密直接存放本地

前端信息正常，抓包发现过多信息返回，前后端开发不一致

（2）微信公众号

（3）目标qq群

群文件，群消息记录

（4）威胁情报

已知的某些漏洞如何利用

（5）网站开发者角度

（6）运维角度

（7）架构师角度去获得目标相关信息

（8）web方面-评论处

 评论处部分信息未加密

 追加评论和商家回复，抓包获取未加密的数据

（9）web方面-搜索处

 数据存放未设权限或者防爬处理造成搜索引擎爬取

例：wooyun--069909

（10）web方面-转账

一般在转账处输入手机号或邮箱账户的旁边，有一个历史转账信息，点击以后可以看到转账信息，由于加密不全，可以抓包查看真实姓名

转账越权造成信息泄露

例：wooyun--0168304

（11）web方面-客服处

客服未经过系统安全培训，当客户询问用户手机号，没有经过验证直接返回给用户

（12）越权-任意查看

平台没有对上传的文件进行复杂格式化处理。

例：/xxx/xx/012313.jpg

文件极易造成任意读取或者爆破

（13）越权-任意修改

用户在进行订单交易时可以将ID修改成任意ID，然后服务器返回可以查看其他用户信息，如：收货地址

例：wooyun--0203940

（14）接口-测试接口用户信息泄露

网站在上线的时候都忘记把测试时的接口进行关闭，从而导致这个接口可以查询大量用户信息

例：wooyun--0116563

（15）员工信息泄露

 各第三方平台

Github

wooyun--0177720

（16）弱密码问题

内部系统员工密码为弱口令或默认密码

后台管理密码为开发密码

材料引用：

/Fly_hps/article/details/82755336

/Dajian1040556534/article/details/124681544