0x00 資訊收集
資訊收集也稱踩點,指的是黑客為了更加有效地實施攻擊而在攻擊前或攻擊程序中對目標的所有探測活動,資訊搜集是滲透測驗的最重要的階段,根據收集的有用資訊,可以大大提高我們滲透測驗的成功率,
資訊收集的作用:
-
了解安全架構:資訊收集使攻擊者能夠了解組織完整的安全架構
-
縮小攻擊范圍:通過IP地址范圍、網路、域名、遠程訪問點等資訊,可以縮小攻擊范圍
-
建立資訊資料庫:攻擊者能夠建立他們自己的相關目標組織安全性弱點的資訊資料庫來采取下一步的入侵行動
-
描繪網路拓撲:攻擊者可以描繪出目標組織的網路拓撲圖,分析最容易進入的攻擊路徑
從方式來分類:
- 被動資訊收集,被動資訊收集不會與目標服務器做直接的互動,在不被目標系統察覺的情況下,通過搜索引擎、社交媒體等方式對目標外圍的資訊進行收集,例如:網站的whois資訊、DNS資訊、管理員以及作業人員的個人資訊等等,
- 主動資訊收集,主動收集會與目標系統有直接的互動,從而得到目標系統相關的情報資訊,例如:主機開發的埠、站點的目錄結構等等,
沒有一種方式是最完美的,每個方式都有自己的優勢,主動方式,你能獲取更多的資訊,但是目標主機可能會記錄你的操作記錄,被動方式,你收集的資訊會相對較少,但是你的行動并不會被目標主機發現,一般在一個滲透專案下,你需要有多次的資訊收集,同時也要運用不同的收集方式,才能保證資訊收集的完整性,
從結果來分類:
- 直接可用,結果可以直接進行利用,比如:資料庫組態檔泄露;
- 間接可用,結果不能直接進行利用,但是可以間接的產生產生效果,比如:后臺登錄地址;
- 未來可用,結果當前時間不能進行可用,但是未來某個時間點可用,比如:新系統上線公告,
0x01 域名相關資訊收集
子域名收集
- 搜索引擎類:google、baidu、bing、zoomeye、shodan、fofa、censys等
- 普通搜索引擎就用google hacking語法
- 網路空間搜索引擎都有各自的語法
- 工具類:
- 列舉爆破工具(layer、subdomainbrute等)
- 爬行工具(SubDomainizer等)
- 搜索引擎工具(teemo等)
- DNS查找:
dnsdumpster.com、www.virustotal.com、nslookup、dig、DNS區域傳送漏洞
whois資訊收集
whois是用來查詢域名的IP以及所有者等資訊的傳輸協議,簡單說,whois就是一個用來查詢域名是否已經被注冊,以及注冊域名的詳細資訊的資料庫(如域名所有人、域名注冊商),通過whois來實作對域名資訊的查詢,
常用站點:
- 站長工具
http://whois.chinaz.com/ - 微步在線
https://x.threatbook.cn/ - Bugscaner
http://whois.bugscaner.com/
還可以使用whois和nmap等工具進行查詢
root@localhost>nmap --script=whois-domain www.4399.com
Host script results:
| whois-domain:
|
| Domain name record found at whois.verisign-grs.com
| Domain Name: 4399.COM\x0D
| Registry Domain ID: 98536565_DOMAIN_COM-VRSN\x0D
| Registrar WHOIS Server: whois.ename.com\x0D
| Registrar URL: http://www.ename.net\x0D
| Updated Date: 2019-05-02T13:07:29Z\x0D
| Creation Date: 2003-05-29T22:54:38Z\x0D
| Registry Expiry Date: 2028-05-29T22:54:38Z\x0D
| Registrar: eName Technology Co., Ltd.\x0D
| Registrar IANA ID: 1331\x0D
| Registrar Abuse Contact Email: abuse@ename.com\x0D
| Registrar Abuse Contact Phone: 86.4000044400\x0D
| Domain Status: clientDeleteProhibited https://icann.org/epp#clientDeleteProhibited\x0D
| Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited\x0D
| Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited\x0D
| Name Server: NS1.DNSV5.COM\x0D
| Name Server: NS2.DNSV5.COM\x0D
| DNSSEC: unsigned\x0D
| URL of the ICANN Whois Inaccuracy Complaint Form: https://www.icann.org/wicf/\x0D
| >>> Last update of whois database: 2021-03-30T02:59:28Z <<<
集成工具
maltego,kali自帶,先注冊賬號,用起來很容易功能也很強大,
0x02 整站相關資訊收集
web服務器軟體,資料庫軟體,動態腳本語言,作業系統,CDN,WAF
作業系統,windows,類linux
- 手工識別:TTL,大小寫,物理路徑,特殊埠,腳本語言,banner,,,
- 工具識別:nmap/zenmap,掃描器NESSUS
web系統的識別
服務器(中間件),資料庫,動態腳本語言,cms,框架,web指紋
- 手工識別:特殊檔案md5,報錯資訊,網站URL的標識,,,
- 工具識別:瀏覽器插件,掃描器AWVS,在線識別,whatweb,
http://whatweb.bugscaner.com/look/
旁站和C段
-
旁站指的是同一服務器上的其他網站,可以分為同域名不同目錄和同域名不同埠的情況
- 不同目錄,
localhost/abc/index.php和localhost/cba/index.php - 不同埠,
localhost:81/index.php和localhost:82/index.php
有時候也可以考慮app,公眾號,wap等頁面,
- 不同目錄,
-
C段,指的是拿下它同一C段中的其中一臺服務器,也就是說是1-255中的一臺服務器,然后利用工具拿下該服務器,
https://www.webscan.cc/或者搜索引擎使用google hacking語法也可以,
CDN和WAF
-
CDN檢測就很容易,用超級Ping進行檢測就可以了,比如站長里面的ping檢測就可以,比如回傳多個獨立IP一般都是部署了CDN,
-
繞過CDN查找真實IP的話有常用以下方法:
- 一級域名查找
- 邊緣業務二級域名查找
- 國外DNS查找
- 郵件服務器,MX記錄或者郵件訂閱
- 域名歷史決議記錄,
https://searchdns.netcraft.com/、https://tools.ipip.net/cdn.php - 網站漏洞,有時會出真實服務器資訊
-
WAF識別大多基于Headers頭資訊,可以使用Wafw00f、Sqlmap的waf腳本、Nmap的http-waf-detect和http-waf-fingerprint腳本等等,
0x03 敏感資訊相關資訊收集
收集敏感資訊更多是找到比較精準的攻擊入口或直接利用資訊收集結果,
- 敏感資訊泄露
GitHub、碼云等代碼托管平臺,百度云,社交平臺等,主要有以下資訊- 代碼資訊
- 檔案資訊
- 賬號密碼資訊
- 個人資訊
- 敏感檔案/目錄泄露
- 測驗檔案:robots.txt、test.php、phpinfo.php等檔案
- 組態檔:資料庫組態檔.mdb、代碼備份檔案.git,.svn,.bzr等
- 敏感目錄:管理后臺目錄、介面目錄與地址等
- 常用工具有:dirsearch,dirbuster,weakfilescan
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/271247.html
標籤:其他
下一篇:MybatisPlus邏輯洗掉