声明:学习视频来自b站up主 泷羽sec,如涉及侵权马上删除文章
笔记只是方便各位师傅学习知识,文章提及的工具和网站只涉及学习,其他的都与本人无关,切莫触碰法律红线。
视频地址: 信息收集(1)_哔哩哔哩_bilibili
目录
目的:增加攻击面。
一般情况下,主站点的防护工作更加全面,渗透难度大。因此,我们可以转换思路,通过信息收集,从子域名和旁站下手,增加攻击面,从多方面入手。
1.WEB网站资产收集
流程:
1.域名后缀注册
在 whois 上面查看目标的 域名后缀注册 情况:
通过 域名后缀注册 情况可以判断是否有相关的域名网站。如果没有相关的后缀注册情况,则可以初步判断该目标站点存在较多的子网站。
2.查询CDN
判断目标是否使用CDN,若使用CDN,我们对真实IP地址的收集存在干扰。
解决方法:windows的cmd控制台输入命令:nslookup 域名,如果非权威应答只返回一个IP,那基本可以确定未使用CDN,其为真实IP地址
3.查询子域名
(1)使用 微步社区 查询目标域名,找到子域名
(2)也可以进行IP反查(站长之家),得到子域名,进而增加攻击面
(3)使用各大威胁情报平台的搜索引擎,尽可能收集有用的攻击面,进行信息收集查漏补缺。
(4)与目标站点进行比对,将信息进行筛选,确认信息对我们渗透测试流程有用
(5)然后在子域名平台查看子域名中的友链,将进攻面扩充到最大
4.查找关键信息
(1)通过查询网站初步收集敏感信息,并且要进行比对信息,确保信息正确(名称,邮箱,手机号,地址,备案号,法人等)
相关网站:ICP/IP地址/域名信息备案管理系统 (miit.gov.cn),
国家企业信用信息公示系统 (gsxt.gov.cn),
天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统 (tianyancha.com),企查查,爱站网等
5.搜索引擎语法查询
Google,Bing,baidu
| 语法 | 含义 |
|---|---|
| site | 可以限制你搜索范围的域名 |
| inurl | 用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用 |
| intext | 只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字) |
| intitle | 查包含关键词的页面,一般用于社工别人的webshell密码 |
| filetype | 搜索文件的后缀或者扩展名 |
| link | 可以得到一个所有包含了某个指定URL的页面列表 |
| allintitle | 搜索所有关键字构成标题的网页. 但是推荐不要使用 |
示例:
intext:管理
filetype:mdb
inurl:file
site:http://xx.com filetype:txt 查找TXT文件 其他的依次内推
site:http://xx.com intext:管理
site:http://xx.com inurl:login
site:http://xx.com intitle:后台
6.Github源码泄露
网站域名,网站js路径,网站备案,网站下的技术支持都可以放进去Github搜索
7.网络测绘空间
网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统
首页 - 网络空间测绘,网络安全,漏洞分析,动态测绘,钟馗之眼,时空测绘,赛博测绘 - ZoomEye(“钟馗之眼”)网络空间搜索引擎
2.端口信息收集
端口:是设备与外界通讯交流的出口
(1)使用nmap进行端口扫描,获取端口开放的信息
(2)浏览器访问开放端口,可能有惊喜,进一步扩宽攻击面
3.站点框架信息收集
(1)使用 Wappalyzer 检测出使用目标站点的Web服务器、内容管理系统、编程语言、JavaScript库、框架等信息
(2)可以通过框架信息,查询历史漏洞
4.字典收集
(1)可以在github收集
(2)也可以通过在工具,将收集到的信息生成字典
5.指纹识别
指纹识别出来目标资产使用了哪些框架、OA、CMS等,就可以尝试利用专项漏洞工具或者网上搜索相关漏洞从而实现快速打点目的。
https://whatcms.org/, TideFinger 潮汐指纹 TideFinger 潮汐指纹等等在线指纹识别平台(可网上搜索)
注意:通过浏览器插件 Wappalyzer 也可以实现
6.WAF
判断安全狗,阿里云云盾,360网站卫士,护卫神等WEB应用程序防火墙,便于采取绕过WAF的办法
1.Nmap探测WAF有两种脚本:
(1)http-waf-detect : nmap -p80,443 --script=http-waf-detect ip
(2)http-waf-fingerprint : nmap -p80,443 --script=http-waf-fingerprint ip
2.手动检测是否拦截页面或HTTP可识别字段
(1)在搜索框输入xss代码或其他代码,WAF拦截后判断WAF
7.后台查找
-
弱口令默认后台
-
查看网页链接
-
查看网站图片的属性,有可能是上传管理后台的目录,但是在前端显示
-
查看网站使用的管理系统,从而确定后台
-
用工具查找,wwwscan,intellitamper,御剑,进行爬虫,字典穷举扫描
-
robots.txt的帮助,robots.txt文件可以告诉蜘蛛程序在服务器上什么文件可以爬取
-
GoogleHacker通过语法查找后台
-
查看网站使用的编辑器是否有默认后台,FCK,ewb等默认后台
-
短文件利用短文件漏洞进行猜解
-
子域名有可能管理后台为 admin.xxxxxx.com,login.xxxxx.com
-
sqlmap-sql-shell load——file('d:/wwroot/index.php')。利用sql注入查看文件源码获取后台
-
社工,xss利用社会工程学获取后台,利用存储xss获取后台
总结:信息收集至关重要,可以扩宽渗透测试的攻击面,提高渗透成功的机会。