web渗透测试——信息收集上(超详细)
1、信息收集介绍
信息收集
渗透测试流程中最重要的就是进行信息收集,在这个阶段,我们要尽可能多的收集目标组织的信息。所谓“知己知彼,百战不殆”,我们越是了解测试目标,渗透测试的工作就越容易。
常见的信息收集有哪些
子域名查询
whois信息收集
IP段的收集
开放端口探测
目录
指纹识别
旁站、C段
敏感文件、敏感目录探测
waf探测
整站分析:操作系统(Linux Windows) web容器(Apache Nginx Tomcat IIS ) 数据库 (mysql sqlserver access oracle) 脚本类型 (PHP jsp asp\aspx python)
信息收集的方式
主动信息收集:通过直接访问、扫描网站、流量将流经第三方网站
被动信息收集:利用第三方的服务对目标网站进行访问,如Google搜索、FOFA 等
2、域名信息收集
什么是域名
域名是指互联网中的网站地址,也就是只是网站网址的名称。这些名称由一系列字符串组成,通常是以“.com”、“.net”、“.cn”等结尾。
域名的是以若干个英文字母和数字组成,由“.”分隔成几份,形成唯一的访问地址。a.baidu.com
什么是域名系统
域名系统(Domain Name System,缩写DNS)是互联网的一项核心服务,它可以将域名和IP地址进行相互映射,相当于一个分布式数据库。域名系统可以使人更方便地访问互联网,而无需记住复杂的IP地址。此外,域名系统还提供了如域名注册、域名解析等功能。简单来说就是一个将域名翻译成IP地址的系统。
域名解析
域名是为了方便大家记忆而专门建立的一套地址翻译系统。用户想在互联网上访问服务器,最终访问服务器必须通过IP地址来进行访问。域名解析是将域名重新转换为IP地址的过程,域名解析由DNS服务器完成。
子域名收集
什么是子域名
收集子域名的目的是获取更多的资产信息,子域名也就是二级域名,是指顶级域名下的域名。a.baidu.com
为什么收集子域名
如果目标的网络规模比较大,直接从主域入手显然是很不理智的,因为一般其主域都是重点防护区域,这种情况下可以选择“曲线渗透”,即先进入目标的某个子域,然后再想办法迂回接近真正的目标。
1、常见的域名检测工具
Layer子域名挖掘机、subDomainsBrute,oneforall,dnsmaper,K8,wydomain ,Sublist3r,,Maltego等
Layer子域名挖掘机
这个工具俗称断网挖掘机,只做介绍,了解即可。
subDomainsBrute
SubDomainsBrute是一个子域名爆破工具,该工具使用字典暴力破解的方式来尝试各种可能的子域名,并通过DNS解析来确定是否存在有效的子域名。
在kali 中使用
下载:git clone https://github.com/lijiejie/subDomainsBrute.git
使用:python3 subDomainsBrute.py -t 10 域名 (-t 指定线程数量)
2、通过在线工具集
3.1 DNSdumpster: https://dnsdumpster.com/
3.2 潮汐指纹识别 http://finger.tidesec.com/
3.3.站长工具:http://tool.chinaz.com/subdomain/
3.4在线子域名爆破 :http://z.zcjun.com/
3、在线子域名查询
1、FOFA搜索子域名
地址:https://fofa.info
语法: domain="bilibili.com"
2、利用搜索引擎发现子域名
利用谷歌语法site:bilibili.com查询
whois信息收集
什么是whois
Whois是用来查询域名的IP以及所有者等信息的传输协议,可用于查询域名是否被注册,以及注册域名的详细信息(如域名所有人、域名注册商等)。
为什么要收集whois
通过Whois收集可以获得域名注册者 姓名 手机号 邮箱地址等信息,一般情况下对于中小型网站域名注册者就是网站管理员,可以尝试社工、套路、查询是不是注册了其他域名扩大攻击范围。
whois信息收集重点关注:注册商、注册人、邮件、DNS解析服务器、注册人联系电话。
web接口查询
常见的信息收集网站包括:
Whois站长之家:http://whois.chinaz.com
国外的whois:https://www.whois.com
微步在线:https://x.threatbook.cn/
阿里云中国万网:https://whois.aliyun.com/
Whois Lookup查找目标网站所有者信息:http://whois.domaintools.com/
Netcraft Site Report显示目标网站使用的技术:http://toolbar.netcraft.com/site_report?url=
Robtex DNS查询显示关于目标网站的全面的DNS信息:https://www.robtex.com/
全球Whois查询:https://www.whois365.com/cn/
站长工具爱站查询:https://whois.aizhan.com/
爱站网ping检测\IP反查域:https://dns.aizhan.com/
备案信息查询
网站备案是根据国家法律法规规定,需要网站的所有者向国家有关部门申请的备案,这是国家信息产业部对网站的一种管理,为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站,如果网站搭建在其他国家,则不需要进行备案。
IPC备案查询方法包括:
http://icp.chinaz.com/
https://www.beian88.com/
https://www.tianyancha.com/
http://www.beianbeian.com/
以及企查查、天眼查,小蓝本等查询更多信息
域名反查ip站长工具:https://ip.tool.chinaz.com/
3、CDN信息收集
什么是CDN
CDN就是缓存服务器,存储网站的静态资源,提高网站响应速度和用户体验。
从图中可以看到,如果没有CDN,那么我们得到的IP应该就是真实IP,但是如果有CDN的话,我们得到的IP可能就是CDN服务器的IP地址。
如何检测是否存在CDN
1、采用多地点ping
https://www.17ce.com/
http://ping.chinaz.com
2、ping 和ip138结合起来进行辅助判断
如果ping和ip138的ip地址是一样的,那么没有CDN,反之
3、命令:nslookup判断
nslookup(Name Server Lookup)是一种网络管理命令,用于从 DNS 服务器查询域名、IP 或其他 DNS 记录信息
绕过CDN查找真实ip地址
内部邮箱:一般邮件系统都在系统内部,没经过CDN,通过注册或者RSS订阅收到的邮件查找。(必须是目标自己的邮件 服务器)
子域名:一般网站主站访问量过大需要挂CDN,而子站没有。https://ping.chinaz.com/
国外访问:一般国内CDN只针对国内用户,国外不好说。https://tools.ipip.net/cdn.php
查询历史DNS记录:查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录 https://viewdns.info/
国外查ip:https://get-site-ip.com/
4、端口扫描
什么是端口
端口是计算机或其他设备与外界进行通信交流的出口。它既可以指物理上的连接点,也可以指逻辑上的抽象概念。
物理端口:也称为接口,如USB端口,用于物理连接
虚拟端口:一般是指TCP/IP 协议中的端口,如用网页浏览的80端口、21端口、23端口等。
计算机端口有0-65535端口
为什么要进行端口探测
有些危险端口开放了我们就可以尝试入侵、比如445、3306、22、3389、6379可以利用端口存在的漏洞服务进行入侵或者尝试爆破。
常见的端口
端口号 | 端口说明 |
|---|---|
22 | SSH远程连接 |
23 | Telnet远程连接 |
3389 | 远程桌面连接 |
3306 | MySQL数据库 |
1521 | Oracle数据库 |
6379 | Redis数据库 |
25 | SMTP邮件服务 |
80/443/8080 | 常见的web服务端口 |
53 | DNS域名系统 |
端口探测方法
nmap
nmap(Network Mapper)是一款开源免费的针对大型网络的端口扫描工具,nmap可以检测目标主机是否在线、主机端口开放情况、检测主机运行的服务类型及版本信息、检测操作系统与设备类型等信息
nmap主要功能
1、检测主机是否在线
2、扫描指定主机/主机列表端口开放状态
3、检测主机运行服务类型及版本等等
利用可视化界面Zenmap来进行扫描
指令 | 用法 |
|---|---|
namp url/ip | 最常用的扫描指令 |
nmap –p 80,22 url/ip | 自定义想扫描的端口 |
nmap –p 1-255 url/ip | 自定义扫描的端口范围 |
nmap –r url/ip | 随机扫描端口 |
nmap –O –fuzzy url/ip | 推测操作系统 |
nmap -sV url/ip | 版本探测 |
nmap -A -T4 url/ip | -A 这个选项启用了操作系统检测(-O) 和版本扫描(-sV) -T4 使用时间模板4 |
在线工具扫描
站长工具 https://tool.chinaz.com/port/
5、目录扫描
在渗透测试中,探测Web目录结构和隐藏的敏感文件是一个必不可少的环节,从中可以获取网站的后台登录、文件上传等重要页面,其至可能扫出网站的源代码,从而进行白盒审计。
目录扫描工具
御剑、 Dirsearch、awvs、 DirBuster dirmap Webdirscan
6、指纹识别
指纹识别介绍
对于每个网站来说,他们具有可标识性,我们一般通过网站CMS识别、计算机操作系统识别以及web容器识别来标识网站。
指纹识别的目的
在渗透测试中,对目标服务器进行指纹识别,并识别出相应的web容器或者CMS,才能查看与其相关的漏洞,然后利用可用的漏洞进行相应的渗透测试。
cms介绍
CMS(Content Management System)又称整站系统或文章系统,用于网站内容管理,内容管理系统=快速搭建网站的源码。因为这种cms是开源的,可能存在一个通杀的漏洞,如果使用了CMS建站,我们可以用通杀漏洞直接攻击。
常见的cms
dedecms(织梦)、 phpcms、帝国cms、 shopex、ECShop、 PHPWind Discuz
指纹识别方法
线上识别
微步社区:https://x.threatbook.cn/
潮汐识别:http://finger.tidesec.com/
云悉指纹:https://www.yunsee.cn/
wappalyzer插件:https://www.wappalyzer.com/
WhatWeb:https://www.whatweb.net/
测试网站:http://www.superwing.com.cn/识别CMS
GITHUB上面的工具:
Webfinger指纹识别,2000+条指纹数据 https://github.com/se55i0n/Webfinger
CMSeek,超过170个CMS的基本CMS检测 https://github.com/Tuhinshubhra/CMSeek
常见工具
whatweb网站探测,该工具kali自带
whatweb http:域名/ip
wappalyzer浏览器插件工具
7、旁站扫描
“旁站”一般指同一IP或者域名在同一台服务器的其他网站,都是为了找到更多的资产。
旁站就是找和目标网站在同服务器下的某一个网站,同服务器说明同ip,所以只要找ip相同的网站就好了。它们不一定是同一家公司。
通过在线工具来查询旁站
站长之家同ip查询:https://stool.chinaz.com/same
wenscan:https://www.webscan.cc/
8、C段嗅探
什么是C段
ip有四个段,分为ABCD,比如说192.168.0.1 A段:192 B段:168 C段:0 D段:1
什么是C段嗅探
拿下它同一C段中的其它服务器,也就是说拿下D段1-255中的一台服务器。比如说192.168.0.1这台主机无法拿下,那么尝试从C端入侵突破,探测192.168.0.2-255下存在的主机进行渗透。
C段:同网段不同服务器的渗透方案---更多的是针对于内网的渗透
nmap进行扫描
nmap -sn -PE -n ip/24
-sn 不扫描端口
-PE ICMP扫描(ping服务器的时候就是用的ICMP协议)
-n 不进行dns解析
fofa
https://fofa.info/
ip="ip/24"
9、敏感内容泄露
敏感信息包括但不限于: 口令、密钥、证书、会话标识、License、隐私数据、授权凭据、个人数据等、程序文件、配置文件、日志文件、备份文件、敏感路径等
robots.txt
robots文件写了反爬策略,介绍了可以爬取的路径和不能爬取的路径,那么可能会存在敏感路径,比如后台,备份文件路径等等
目录浏览
目录浏览(目录遍历)漏洞是由于网站存在配置缺陷,存在目录可浏览漏洞,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑
备份文件泄露
网站遗留的过时文件、备份页面、开发文件残留的测试文件等。一旦泄露,测试人员可以通过分析确定网站大体的结果,甚至推算出网站源代码。
比如:sql备份文件则直接泄露用户数据,密码等信息。
报错页面敏感信息泄漏
服务器代码信息、数据库连接信息、泄露物理路径 、泄露网站源代码
物理路径泄露
物理路径单纯泄露没啥大问题,但当网站存在漏洞时,通过sql注入,上传等写webshell时就有用了。
比如在用sqlmap进行获取shell时,前提条件就是有权限,并且知道绝对路径。