信息搜集

信息收集

1.系统的信息收集

1.1.CDN

什么是CND？

内容分发式服务

CDN的优势？

隐藏源主机ip，降低延迟，提高服务响应速度，增加网络冗余，减小主机服务器压力。

1.2真实ip查询

1判断目标是否使用了CDN

利用在线网站

http://www.17ce.com

http:/ping.chinaz.com/

http:/ping.aizhan.com/ http://ce.cloud.360.cn/

进行全国多地区的ping服务器操作

然后对比每个地区ping出的ip结果，查看这些ip是否一致，如果都是一样的，极有可能不存在CDN。

如果ip大多不太一样或者规律性很强，可以尝试查询这些ip的归属地，判断是否存在CDN

2.判断是否存在CDN。使用 nslookup 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

有 CDN 的示例：
nslookup www.163.com
服务器:  public1.114dns.com
Address:  114.114.114.114
非权威应答:
名称:    163.xdwscache.ourglb0.com
Addresses:  58.223.164.86  
          125.75.32.252
Aliases:  www.163.com  
          www.163.com.lxdns.com

无 CDN 的示例：
nslookup xiaix.me
服务器:  public1.114dns.com
Address:  114.114.114.114
非权威应答:
名称:    xiaix.me
Address:  192.3.168.172  
0.0.0.0 255.255.255.255

3.使用各种在线工具帮助检测目标网站是否使用了CDN

http://www.cdnplanet.com/tools/cdnfinder/

http://www.ipip.net/ip.html

1.3 绕过CDN查找真实ip

1.内部邮件邮件源ip

通过目标网站用户注册或者RSS订阅功能，查看邮件，寻找邮件头中的邮件服务器域名IP，ping邮件服务器的域名，就可以获得目标的真实ip,注意：，必须是目标自己的邮件服务器，第三方或者公共邮件服务器是没有用的。

以qq邮箱为列：

2.网站漏洞查找

1）目标敏感文件泄露，例如：phpinfo之类的探针、GitHub信息泄露等。

2）XSS盲打，命令执行反弹shell，SSRF等。

3）无论是用社工还是其他手段，拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP。

3.查询子域名

由于目标服务可能在主站上做好了相应的CDN，但是由于种种原因二级域名没有做，这时我们可以从这个方面入手进行查询。

1）微步在线(https://x.threatbook.cn/)

2）Dnsdb查询法。(https://dnsdb.io/zh-cn/)黑客只需输入baidu.com type:A就能收集百度的子域名和ip了

3）Google 搜索Google site:baidu.com -www就能查看除www外的子域名，

4.国外访问

代理网站App Synthetic Monitor（https://asm.ca.com/en/ping.php）

5.查询域名的解析记录：

查看 IP 与 域名绑定的历史记录，可能会存在使用 CDN 前的记录，相关查询网站有：https://dnsdb.io/zh-cn/ ###DNS查询 https://x.threatbook.cn/ ###微步在线 http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询 http://viewdns.info/ ###DNS、IP等查询 https://tools.ipip.net/cdn.php ###CDN查询IP，也可以大致分析出目标的真实IP段。

利用SecurityTrails平台，攻击者就可以精准的找到真实原始IP。他们只需在搜索字段中输入网站域名，然后按Enter键即可，这时“历史数据”就可以在左侧的菜单中找到。

如何寻找隐藏在CloudFlare或TOR背后的真实原始IP

除了过去的DNS记录，即使是当前的记录也可能泄漏原始服务器IP。例如，MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器，那么原始服务器IP将在MX记录中。

6.App

如果目标网络站有自己的App 可以尝试通过利用fiddler或Burp Suite抓取App的请求，从里面找到目标的真实ip

7.网络空间引擎搜索法

常见的有以前的钟馗之眼，shodan，fofa搜索。以fofa为例，只需输入：title:“网站的title关键字”或者body：“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名，很多时候能获取网站的真实ip，

8.绕过CloudFlare CDN查找真实ip:

在线网站查询cloud Flarewatch (http://www.crimeflare.us/cfs.xhrml#box)(需要访问外国网站)

1.3验证ip

借助工具批量扫描对应ip段所有开了的80，443，8080端口的ip，

如借助工具：

然后逐个尝试ip访问，观察相应是否为目标站点。

1.4操作系统判断

1.通过大小写的敏感字

1.判断是Linux还是Windows最简单就是通过ping来探测，Windows的TTL值都是一般是128，Linux则是64。所以大于100的肯定是Windows，而几十的肯定是Linux。

2.Windows大小写不敏感，Linux大小写敏感。

表现如www.xxxx.com/index.php和www.xxxx.com/index.phP打开的一样就说明是Windows

2.对服务器进行扫描：

Nmap -O

1.5 主机扫描及端口信息

1.NMAP

对端口进行扫描

扫描某一目标地址的指定端口如：21，22，23，80 端口

如果不需要对目标主机进行全端口扫描，只想探测它是否开放了某一端口，那么使用-p参数指定端口号，将大大提升扫描速度。

nmap192.168.0.100-p21,22,23,80

目标地址的操作系统指纹识别

nmap-O192.168.0.105

目标地址提供的服务版本检测

map-sV192.168.0.100

探测防火墙状态

利用FIN扫描的方式探测防火墙的状

nmap-sF-T4192.168.0.100z

FIN扫描用于识别端口是否关闭，收到RST回复说明该端口关闭，否则就是open或filtered状态

2.无状态的扫描工具：

Masscan （可以扫描全网）

使用方法

masscan -p0-65535 28.41.0.0/16 --banners --rate 100000000

masscan --ping 28.41.0.0/16 --rate 1000000 #主机存活

默认情况下，Masscan扫描速度为每秒100个数据包

Zmap

kali安装命令：

sudo apt install zmap

默认情况下，ZMap会对于指定端口实施尽可能大速率的TCP SYN扫描。较为保守的情况下，对10,000个随机的地址的80端口以10Mbps的速度扫描，如下所示：

zmap--bandwidth=10M--target-port=80--max-targets=10000--output-file=results.csv

或者更加简洁地写成：

$ zmap-B10M-p80-n10000-o results.csv

ZMap也可用于扫描特定子网或CIDR地址块。例如，仅扫描10.0.0.0/8和192.168.0.0/16的80端口，运行指令如下：

zmap-p80-o results.csv10.0.0.0/8192.168.0.0/16

如果扫描进行的顺利，ZMap会每秒输出类似以下内容的状态更新：

1. 0%(1h51mleft);send:28777562Kp/s(560Kp/s avg);recv:1192248p/s(231p/s avg);hits:0.04%
2. 0%(1h51mleft);send:34320554Kp/s(559Kp/s avg);recv:1442249p/s(234p/s avg);hits:0.04%
3. 0%(1h50mleft);send:39676535Kp/s(555Kp/s avg);recv:1663220p/s(232p/s avg);hits:0.04%
4. 0%(1h50mleft);send:45372570Kp/s(557Kp/s avg);recv:1890226p/s(232p/s avg);hits:0.04%

这些更新信息提供了扫描的即时状态并表示成：

完成进度%(剩余时间);send:发出包的数量即时速率(平均发送速率);recv:接收包的数量接收率(平均接收率);hits:命中率

如果您不知道您所在网络能支持的扫描速率，您可能要尝试不同的扫描速率和带宽限制直到扫描效果开始下降，借此找出当前网络能够支持的最快速度。

3.御剑高速TCP端口扫描

https://github.com/foryujian/yujianportscan 解压密码：1

2.web信息搜集

1.Whois查询

站长之家，VirusTotal等

查询域名的相关信息，如域名服务商，域名拥有者，及邮箱，电话，地址等。

2.备案信息查询

Icp备案查询网：http://www.beianbeian.com

天眼查：http://www.tianyancha.com

3.搜集敏感信息

搜集敏感目录文件的目的

在渗透测试中，探测Web目录结构和隐藏的敏感文件是一个必不可少的环节，

从中可以获取网站的后台管理页面、文件上传页面、甚至可以扫描出网站的源代码。

3.1收集方向：

后台目录：弱口令，万能密码，爆破

安装包：获取数据库信息，甚至是网站源码

上传目录：截断、上传图片马等

mysql管理接口：弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell

安装页面 ：可以二次安装进而绕过

phpinfo：会把你配置的各种信息暴露出来

编辑器：fck、ke、等

iis短文件利用：条件比较苛刻 windows、apache等

robots.txt文件

3.2探测目标网站后台目录的工具有：

字典爆破：kali环境下的dirb如：dirb http://192.168.200.113

对目标网站进行目录扫描：DirBuster、 wwwscan 、御剑后台、Webdirscan等

蜘蛛爬行：Burp、OWASP ZAP、AWVS等

在线工具站：[webscan][http://www.webscan.cc/]

1. 3 Google hacking

Google Hack常用语法：

site：可限制你搜索范围的域名

inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用

intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)

filetype：搜索文件的后缀或者扩展名

intitle：限制你搜索的网页标题

link: 可以得到一个所有包含了某个指定URL的页面列表

info：查找指定站点的一些基本信息

cache：搜索Google里关于某些内容的缓存

查找后台地址：site:域名 inurl:login|admin|manage|member|adminlogin|loginadmin|system|login|user|main|cms

查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

查找可注入点：site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞：site:域名 inurl:file|load|editor|Files找eweb

编辑器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库：site:域名 filetype:mdb|asp|#

查看脚本类型：site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵：inurl:cms/data/templates/images/index/

列：尝试搜索一些学校网站的后台，语法为:”site:edu.cn intext: 后台管理”

意思为搜索网页正文中包含有“后台管理” 并且域名后缀是edu.cn的网站，

3.4.网络空间搜索引擎：

钟馗之眼www.zoomeye.com。

傻蛋www.oshadan.com(使用)

联网设备搜索引擎可以检索到许多搜索引擎不收录的页面，通常是后台等页面。

构造检索关键词时：

系统/后台类，可以搜索“xxx系统/平台/管理”。

企业类，可以搜索“xxx企业/公司/平台”。

比如我们要挖电信的系统，可以搜索“电信系统/平台/管理”。

4.指纹识别

指纹识别

常见的CMS有：

Dedecms （织梦），Discuz，PHPWEB，PHPWind，PHPCMS，ECShop，

Dvbbs，SiteWeaver，ASPCMS，帝国，Z-Blog，WordPress等。

扫描工具：御剑web指纹识别，whatweb，webRobo，椰树，轻量web指纹识别等

除了工具以为还可以利用一些在线网站查询CMS指纹识别，

在线网站查询：

BugScaner:http://whatweb.bugscaner.com/look/

云悉指纹:http://www.yunsee.cn/finger.html和whatweb:https://whatweb.net/

5.旁站和C段

旁站和C段扫描

旁站

C段

旁站和C段在线查询地址：

http://www.webscan.cc/ 、 [http://www.5kik.com/]

常用工具：

Web：k8旁站、御剑1.5

端口：portscan

6.整站分析

整站分析

服务器类型，服务器平台，版本等

网站容器，搭建网站的服务组件

列如：IIS，Apache，nginx，tomcat。

脚本类型，Asp，php，jsp，aspx等

数据库类型，mysql，mssql，oracle等

Cms类型，Dedecms（织梦），Discuz，PHPcms，Worspress等。

Waf，阿里云，安全狗，腾讯云,D盾等。