滲透測驗之資訊收集

一、資訊收集的概念

🚗資訊搜集也稱踩點，資訊搜集毋庸置疑就是盡可能的搜集目標的資訊，包括埠資訊、DNS資訊、員工郵箱等等看似并不起眼的一些資訊都算是資訊搜集，這些看似微乎其微的資訊，但關系到滲透測驗成功與否（相當于小偷去偷一個目標房子的時候，會先提前了解這一家人的作息時間，家里有幾口人，門安裝的是什么鎖…）

🚗另附滲透測驗階段：
1.前期互動階段
2.情報收集（滲透測驗）階段
3.威脅建模階段
4.漏洞分析階段
5.滲透攻擊階段
6.后滲透攻擊階段
7.報告階段

二、資訊收集的意義

🚗進行一次成功的滲透測驗前，我們必須獲取足夠多的目標資訊，詳細分析這些目標資訊，只有對目標的各類情況具備了一個充分的了解，才能夠部署下一步的滲透測驗作業， 有效的進行后續的滲透作業，

三、資訊收集的步驟

測驗網站：
http://testfire.net/
http://vulnweb.com/

🚗DNS（域名決議）資訊收集

1.whois查詢

目的：
查詢域名注冊資訊，其中時域名注冊人可能就是網站管理員，當我們使用whois在根據百度搜索其注冊資訊如郵箱，公司名稱，注冊人員姓名時，有時候會出現很多相關資訊，這些資訊可以進行形成字典，從而進行后臺弱口令爆破，

方法：

• KALI whois查詢
  1.先ping一個網址查看KALI是否可以正常上網
  2.直接命令 [ whois 想要查詢的域名 ]
  得到：
  Domain ID：注冊域名的ID
  WHOIS Server：資料庫的位置
  Updated Date：更新時間
  Creation Date：創建時間
  Registrar Abuse Contact Email: 注冊郵箱
  Registrar Abuse Contact Phone: 注冊電話
  Name Server：域名的服務器
  注意：查的是根域名，查子域名查不到

• 站長之家查詢
  http://whois.chinaz.com/

2.子域名查詢

• 利用網站查詢
  https://phpinfo.me/domain/
  https://searchdns.netcraft.com/（此網站需要科學上網）

• 證書

• 通過爆破子域名進行查詢，如 Layer子域名爆破機、subDomainBrute

• oneforall
  基本命令為：python3 oneforall.py --target example.com run 如圖：
  
  掃描后的結果會在result目錄下形成相關
  
  利用 python3 oneforall.py --help 查看幫助檔案
  

• 利用google查詢

 site:[ 域名 ] -www

3.IP查詢

① 判斷ip是否為網站真實IP

• win下使用nslookup命令進行查詢，若回傳域名決議結果為多個ip，多半使用了CDN，是不真實的IP
• 使用不同區域ping，查看ping的ip結果是否唯一，若不唯一，則目標網站可能存在CDN
  http://ping.chinaz.com/

② 繞過CDN查找真實IP

推薦博客：https://www.cnblogs.com/-qing-/p/10743874.html

🚗資訊泄露

① github資訊泄露：
在滲透測驗的資訊收集階段，可以去Github和碼云上搜索與目標有關的資訊，有些開發人員將代碼上傳到代碼庫的時候，有可能連一些重要的配置資訊也上傳了，
推薦：https://sec.xiaomi.com/article/37 (全ub資訊自動監控gith泄露工具)

② 網盤資訊泄露：

網盤搜索：
http://www.pansou.com/
https://www.lingfengyun.com/
網盤密碼破解可使用百度網盤密碼破解程式

③常見原始碼資訊泄露：

推薦：http://j1tax.cn/2020/04/21/%e5%b8%b8%e8%a7%81web%e6%ba%90%e7%a0%81%e6%b3%84%e9%9c%b2%e6%80%bb%e7%bb%93/

④郵箱資訊收集：

目的：
1.通過發現目標系統賬號的命名規律，可以用來后期登入其他子系統，
2.爆破登入郵箱用，

通常郵箱的賬號有如下幾種生成規律： 比如某公司有員工名叫做“張小三”，它的郵箱可能如下：
zhangxiaosan@xxx.com xiaosan.zhang@xxx.com zxiaosan@xxx.com

當我們收集幾個郵箱之后，便會大致猜出對方郵箱的命名規律，除了員工的郵箱之外，通過公司會有一些共有的郵箱，比如人力的郵箱、客服的郵箱，hr@xxx.com/kefu@xxx.com,這種郵箱有時會存在弱口令，在滲透時可額外留意一下，

我們可以通過手工或者工具的方式來確定搜集郵箱：
1.可以到百度等搜索引擎上搜索郵箱資訊
2.github等第三方托管平臺
3.社工庫

🚗網站指紋識別

目的：
識別出相應的Web容器或CMS（整站系統），找到與其相關的漏洞，然后進行相應的滲透操作，

方法：

• 利用網站
  http://whatweb.bugscaner.com/batch.html
  https://whatweb.net/
• KALI whatweb

what 域名

• robots

域名/robots.txt

🚗整站分析

本文部分內容借鑒了這篇文章
https://xie1997.blog.csdn.net/article/details/84027438

①服務器型別
目的：

現在企業網站服務器的作業系統90%以上用的是Linux作業系統，知道服務器的作業系統之后，還需要知道作業系統使用的具體版本，因為很多低版本的作業系統都存在已知的漏洞

方法：

• 通過ping來探測，Windows的TTL值都是一般是128，Linux則是64，大于100的肯定是Windows，幾十的是Linux
• 判斷目標網站服務器的具體的版本：采用 nmap 進行掃描，-O 和 -A引數都能掃描出來

②web服務

目的：

探測web服務器具體的版本，比如Ngnix版本<0.83會有決議漏洞 ，IIS6.0會有檔案名決議漏洞、IIS7.0會有畸形決議漏洞等，不同的web服務器版本，存在著不同漏洞，

③腳本型別+資料庫型別

常見搭配：
ASP 和 ASPX：ACCESS、SQL Server
PHP：MySQL、PostgreSQL
JSP：Oracle、MySQL

資料庫的區別：

Access是由微軟發布的關聯式資料庫管理系統，小型資料庫，當資料庫達到100M左右的時候性能就會下降，資料庫后綴名： .mdb 一般是asp的網頁檔案用access資料庫

SQL Server是由Microsoft開發和推廣的關系資料庫管理系統（DBMS），是一個比較大型的資料庫，埠號為1433，資料庫后綴名 .mdf

MySQL是一個關系型資料庫管理系統，由瑞典MySQL AB 公司開發，目前屬于 Oracle 旗下產品，MySQL是最流行的關系型資料庫管理系統，在 WEB 應用方面MySQL是最好的應用軟體之一，MySQL資料庫大部分是php的頁面，默認埠是3306

Oracle又名Oracle RDBMS或簡稱Oracle是甲骨文公司的一款關系資料庫管理系統，常用于比較大的網站，默認埠是1521

方法：

• wappalyzer（Firefox或Chrome插件）
  

🚗WAF識別

• KALI wafw00f
  需要先安裝！
  1.KALI: git clone https://github.com/sandrogauci/wafw00f
  
  2.進入wafw00f所在的目錄：cd wafw00f
  3.安裝：python setup.py install
  4.一些命令：
  -h， - help顯示此幫助訊息并退出
  -v， - verbose啟用詳細程度 - 多個-v選項可增加詳細程度
  -a， - findind查找所有WAF，不要在第一個上停止測驗
  -r， - disableredirect不要遵循3xx回應給出的重定向
  -t TEST， - test = TEST測驗一個特定的WAF
  -l， - list列出我們能夠檢測到的所有WAF
  –xmlrpc啟用XML-RPC介面而不是CUI
  -p 代理,代理=代理
  使用HTTP代理執行請求，例如:
  http://hostname: 8080年,socks5: / /主機名:1080
  –xmlrpcport = XMLRPCPORT指定要偵聽的備用埠，默認為8001
  -V - version列印出版本
  -h HEADERSFILE, HEADERSFILE = HEADERSFILE
  傳遞自定義標頭，例如覆寫默認的用戶代理字串

例：

5.wafw00f 域名

• 手動測驗然后辨別
  對照
  https://mp.weixin.qq.com/s?__biz=Mzg4NTUwMzM1Ng==&mid=2247483802&idx=1&sn=bd0b61b881a3d833da2719a0a8b241c7&chksm=cfa6a589f8d12c9f6a8592124b6bd49f14357d1b7d78b4a44ff17838199b6e81b13f4becc328&mpshare=1&scene=23&srcid=1028rU1zkKSoBLkBQalm38ZY&sharer_sharetime=1603885022502&sharer_shareid=8ac5329a7d1a252da00024e79c849359#rd
  在這里，我用了一下XSS彈窗來判斷的：

 <script>alert(1)</script>

🚗埠掃描

目的：

需要知道目標服務器開放了哪些埠，常見的如 135 、137 、138 、139 、445，這幾個埠經常爆發漏洞，以下是一些服務埠的漏洞（可以搜得到常見危險埠服務及對應的漏洞）：

22——>ssh弱口令
873——>rsync 未授權訪問漏洞
3306——>mysql弱口令
6379——>redis未授權訪問漏洞

埠掃描工具有nmap和masscan：
nmap掃描的準確性較高，但是掃描的比較慢；
masscan掃描的比較快，但是準確性較低

常見服務對應的埠號：

方法：

• nmap
• masscan
• 御劍

🚗目錄掃描

目的：

?掃描網站目錄結構，看看是否可以遍歷目錄，或者敏感檔案泄漏
?后臺目錄：弱口令，萬能密碼，爆破
?安裝包：獲取資料庫資訊，甚至是網站原始碼
?上傳目錄：截斷、上傳圖片馬等
?mysql管理介面：弱口令、爆破，萬能密碼，然后脫褲，甚至是拿到shell
?安裝頁面 ：可以二次安裝進而繞過
?phpinfo：會把你配置的各種資訊暴露出來
?編輯器：fck、ke、等
?iis短檔案利用：條件比較苛刻 windows、apache等

方法：

• KALI DirBuster
  
• 御劍
  

🚗旁站和C段掃描

目的：

?旁站指的是同一服務器上的其他網站，很多時候，有些網站可能不是那么容易入侵，那么，可以查看該網站所在的服務器上是否還有其他網站，如果有其他網站的話，可以先拿下其他網站的webshell，然后再提權拿到服務器的權限，最后拿下該網站，

?C段是和目標服務器ip處在同一個C段的其它服務器，一般大型企業或者學校會買一個c段的ip來搭建他們功能不同的網站，如何我們getshell了一個服務器那我們就可以通過內網的去攻擊別的同ip的網站，

方法：

• nmap
• Polar bear
  

🚗主機 / 資產掃描

目的：

自動收集關于分析目標的相關資產資訊，即對方服務器都有哪些IP、IP上開了哪些埠、埠上運行著哪些服務等，以供研究人員分析和使用

方法：

• goby
• 燈塔資產工具

🤚寫到最后

如果大家喜歡我的文章的話，歡迎大家給我點下關注，新手上路，多多指教😊