声明
学习视频来自B站UP主 泷羽sec,如涉及侵权马上删除文章 笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负
关于信息收集的那些事儿-大总结
一、信息收集4
1、wappalyzer收集
使用wappalyzer用来查看web网站使用哪些技术和框架,根据框架和技术栈寻找历史漏洞和cve、cnvd漏洞等
信息收集:渗透的过程其实也是信息收集,扩大攻击面,以点为入口。
一般登录框都可以存在sql注入,绕过,需要信息收集准备字典,使用字典爆破灯光等,对于登录框,只要是输入框都可能存在相同的问题,自行了解即可。
常见问题:
注入点及万能密码登录:登录框可能存在SQL注入漏洞,攻击者可以尝试使用万能密码登录,例如 'or 1=1-- 或 "or “a”="a 等,这些万能密码尝试通过构造特定的SQL语句绕过登录验证。
不安全的用户提示:如果登录时系统提供了过于详细的错误信息,比如区分“用户名不存在”和“密码错误”,可能会泄露用户信息,使得攻击者能够进行用户名枚举
该说不说:信息收集的思路很重要,子域名,旁站、各种历史漏洞等,信息收集很多,而且重复的操作也多,但是信息收集无疑是重要的,字典收集也很重要。没有信息收集,那么就没有支撑,遇到问题,无法完成时也就可能被卡住了
2、字典收集
字典收集可以用github和棱角社区,怎么提高访问GitHub的速度就需要各位信息收集了:github
3、指纹识别收集
云溪指纹识别、潮汐指纹识别、360指纹识别
渗透测试中指纹是什么?哈希值又是什么?
3-1:在渗透测试中,“指纹”通常指的是通过各种技术手段识别目标网站或系统所使用的技术栈、服务器类型、框架、应用程序及其版本等信息的过程。这些信息被称为“指纹”,因为它们可以像人的指纹一样唯一标识一个系统或应用。
3-2:哈希值(Hash Value)是一种通过**哈希函数计算得到的固定长度的字符串,这个字符串是原始数据的一种“指纹”或“摘要”。**哈希函数接收任意长度的输入数据,并产生一个固定长度的输出。
指纹识别的平台很多,这里就不做介绍了,可以自行了解,平台很多,本质相通,都是为了信息收集
信息收集是步步为营。
不过指纹识别和插件wappalyzer是差不多的,只是指纹识别可能更详细,主要就是观察,对比不一样的地方,并且做好信息收集的记录,通过蛛丝马迹,最后获取到整个信息网。也为后方的渗透奠定基础。
4、使用namp扫描
namp扫描,查询端口、资产查看是否有waf,那么我们在使用namp,可以获取哪些资产和信息呢?,学习的过程其实就是思考的过程,该说不说,举一反三。
那么namp有哪些功能?
- 主机发现:确定哪些主机在线,即IP地址在线。
- 端口扫描:确定在线的某主机开启的端口号,以及端口上的服务。
- 服务指纹识别:工具对目标服务器的服务版本进行识别,获取厂商、版本以及操作系统信息。
- WEB应用识别:利用工具对WEB应用程序进行识别,获取应用的信息并生成应用地图。
- 子域名扫描:发现隐藏在主域名下的子域名并获取相关信息。
- 关于查看是否有WAF(Web Application Firewall)或者安全狗WAF等,Nmap提供了一些脚本可以
帮助识别:
Nmap脚本探测WAF:Nmap提供了http-waf-detect.nse脚本来探测WAF。
探测命令:
基本探测:nmap -p 80,443 --script=http-waf-detect 目标主机
精度更高的探测:nmap -p 80,443 --script=http-waf-fingerprint 目标主机。
探测结果:如果探测到WAF,Nmap会显示http-waf-detect: IDS/IPS/WAF detected。
也可以使用
WAFW00F探测WAF
命令:wafw00f -a 域名
5、铸剑WebPathBrute
可以在github上自行clone,使用方便且高效,主要用于暴力破解web路径和文件的。
那么WebPathBrute有哪些功能呢?
- URL生成
- HTTP请求发送
- 结果解析
- 多线程支持
- 随机组合爆破目录扫描器
- 延时扫描功能
- 延时扫描功能
- 批量导入 URL
6、提炼路由
什么是路由呢?这个就是前端的知识啦
路由(Routing)是一种允许用户在不同的视图(页面)之间导航的机制,而不需要重新加载页面。它使得单页应用(Single Page Application, SPA)成为可能,即整个应用加载一次,然后用户的所有操作都在同一个页面上完成,通过路由来动态更新页面内容。
好处就是无需重新记载页面,减少服务器请求,交互性增强
一种找超链接的提炼方式
body=prod-api/
7、Shodan
Shodan 是一个网络搜索引擎,它与一般的搜索引擎如Google或Baidu有所不同,主要侧重于搜索互联网上连接的设备、服务和网络。在linux中主要是使用命令方式,也有图形化的界面
比如常见的语法有:
city:搜索指定城市 例如:city:“tokyo ”
country:搜索指定国家 例如:country:“JP”
http.title:搜索指定网站标题 列如:http.title:“hacked by”
http.html:搜索指定网页类容 例如:http.html:“hello world”
http.status:搜索指定返回响应码 例如:http.status:“200”
http.server:搜索指定返回中的server类型 例如:http.server:“PHP”
net:搜索指定网络范围或 IP段,例如:net:“8.8.0.0/16”
org:搜索指定的组织或机构,例如:org:“google”
port:搜索指定的端口或服务,例如:port:“22”
product:搜索指定的操作系统/软件/中间件,列如:product:“Samsung”
screenshot.label:搜索指定描述图像内容的标签 列如:screenshot.label:“ics”
os:搜索指定限定系统OS版本, 例如:os:“Windows Server 2008 R2”
hostname:搜索指定的主机或域名,例如:hostname:“google”
vuln:搜索指定CVE漏洞编号,例如:vuln:“CVE-2014-0723”
isp:搜索指定的ISP供应商,例如:isp:“China Telecom”
version:搜索指定的软件版本,例如:version:“1.2.3”
geo:搜索指定的地理位置,参数为经纬度,例如:geo:“44.55,66.77”
示例:比如这里我们搜索小樱花,中间件使用的apache且code为200的device
country:"JP" && apache && http.status:"200"
搜索小樱花,摄像头为海康的
country:"JP" && Hikvision-Webs
搜索小樱花,操作系统是Windows Server 2008 R2并且开放3389端口的机器
country:jp && os:Windows Server 2008 R2 && port:3389
搜索小樱花国家,操作系统是Windows Server并且存在永恒之蓝漏洞的机器(更高级会员才能使用vuln),这里提供思路,可以根据cve的漏洞特征确定具体的洞洞
country:jp && os:Windows Server * && vuln:CVE-2017-0146
shodan语法参考资料:shodan语法
shodan使用指南:shodan使用指南
shodan常用的搜索语法:shodan常用的搜索语法
8、网络空间测绘查询
1、钟馗之眼-知道创宇:钟馗之眼
常用的语法:
country:搜索指定国家 例如:country:“JP”
city:搜索指定城市 例如:city:“San Diego”
subdivisions:搜索相关指定行政区的资产 例如:subdivisions:“****东京”
ssl.cert.availability:搜索证书是否在有效期内 例如:ssl:“1”or“0”
ip:搜索指定的IP(ipv4/6) 列如:ip:“8.8.8.8”
cidr:搜索指定的IP段 列如:cidr:“52.2.254.36/24”
org:搜索指定的组织或机构,例如:org:“google”
isp:搜索相关网络服务提供商的资产 例如:isp:“China Mobile”
port:搜索指定的端口或服务,例如:port:“22”
hostname:搜索相关IP"主机名"的资产 例如:hostname:“google.com”
site:搜索域名相关的资产 例如:site:“baidu.com”
device:搜索路由器相关的设备类型 例如:device:“router”
os:搜索指定限定系统OS版本, 例如:os:“Windows Server 2008 R2”
title:搜索指定网页类容 例如:title:“hello world”
app:搜索指定的组件 列如:app:“apache ”
ver:搜索指定的版本 l例如:ver“1.2.3”
service:指定服务类型 例如:service:“ftp”
2、fofa空间测绘:fofa
常用语法:
domain=“baidu.com”:搜索所有根域名为“baidu.com”的网站。
title=“标题”:搜索标题中包含“标题”的IP。
body=“内容”:搜索HTML正文中包含“内容”的资产。
host=“admin”:搜索URL中包含“admin”的资产。
port=“8080”:搜索开放了8080端口的资产。
ip=“1.1.1.1”:搜索包含“1.1.1.1”的IP地址。
icp=“京ICP备18024709号-2”:搜索备案号为“京ICP备18024709号-2”的资产。
header=“nacos”:搜索HTTP头中带有“nacos”的资产。
js_name=“js/query.js”:搜索网站中包含特定JS文件“js/query.js”的资产。
&&:逻辑与,例如 app=“Apache” && country=“jp” 搜索应用为Apache且位于小樱花的资产。
||:逻辑或,例如 title=“百度” || title=“谷歌” 搜索标题为百度或谷歌的资产。
!=:逻辑非,例如 app!=“Apache” 搜索应用不是Apache的资产。
icon_hash=“-123456789”:根据图片icon_hash来搜索,获取到图片后可通过icon_hash转换工具获得icon_hash值。
cert=“证书内容”:搜索使用特定证书的资产。
常用语法:
3、360 quake网络空间测绘:360网络空间测绘
常用语法:
country:搜索指定国家(中文添加_cn) 例如:country:“JP”
city:搜索指定城市 例如:city:“tokyo ”
owner:搜索IP归属单位 例如:owner:“tencent.com”
isp:搜索IP归属运营商 例如:isp:“amazon.com”
ip:查询IP地址或网段 列如:ip:“1.1.1.1/22”
is_ipv6:查询IPV6格式的IP 列如:sis_ipv6:“true”
port:搜索指定的端口或服务 例如:port:“[50 TO 60]”
transport:查询udp数据 例如:transport:“udp”
domain:查询资产域名 例如:domain:“google.com”
hostname:查询主机名包含指定资产的数据 例如: hostname:“google.com”
app:搜索指定的组件 列如:app:“apache ”
response:查询端口原生返回数据中包含指定参数的资产 列如:response:“google.com”
还有一些国外的网络空间测绘网站
比如:
Censys Search
GreyNoise
然后就是需要去了解各个gj的代码是什么:GJ代码
强大的Space_view:添加链接描述
聚合测绘空间搜索工具(蓝队情报收集):聚合测绘空间搜索
使用步骤:
首先:克隆项目,其次安装搜索文本,使用python直接运行
1. git clone https://github.com/atdpa4sw0rd/Search-Tools.git
2. cd Search-Tools && pip3 install -r requirements.txt
3. python3 search_main.py
具体请看github的issue
9、关于下APP、小程序、公众号信息收集
1、七麦数据:七麦数据
这里测试可以搜索apppstore试试
2、微信公众号和小程序
是的, 你们没有看错,通过微信的公众号和小程序也是可以获取很多重要信息的,比如点击查看文章,很多网页的来源是weixin提供,查看是否是第三方还是wx的就查看前缀,具体自行了解,找到url后就可以进行一波子域名信息收集
3、logo标识
假如我们不知目标产品是什么,是个什么样的软件,有哪些功能,什么类型的,对吧,那么我们这个时候,你也不知道是xx的waf,那么可以时候可以通过element先copy网站的logo标识,通过搜索图标的方式去判断产品和厂商即可,该说不说,图标还得鹰图才行,也可以用shodan,通过favicon.ico的hash值去搜索相关的信息资产。
10、子域名收集(挖掘)
1、SSL(HTTPS)证书
可以在浏览器页面查看证书,不同的浏览器都可以查看ssl证书,自行了解
很多大厂商的ssl证书一般都是一证多用,所以可以获得一些子域名。
2、hhttps证书错误泄露域名
有些时候https证书报错会泄露域名
3、在线网站证书查询
证书查询:证书查询1
证书查询:证书查询1
4、网络深度爬虫
比如一级深度去爬虫所url
#!/usr/bin/env python
# coding=utf-8
# [email protected]
# create=20160701
import re
import requests
from pprint import pprint
def crawl_page(url, domain):
print('[*] Crawl URL: {0}'.format(url))
found_urls = set()
try:
req = requests.get(url, timeout=15)
content = req.text
link_list = re.findall(r"(?<=href=\").+?(?=\")|(?<=href=\').+?(?=\')", content)
for link in link_list:
result = re.findall('http[s]?://(.*?)\.sina\.com\.cn', link)
if len(result) > 0:
found_urls.add('{0}.{1}'.format(result[0], domain))
pprint(found_urls)
except requests.exceptions.RequestException as e:
print('[!] Error during requests to {0} : {1}'.format(url, str(e)))
if __name__ == '__main__':
page_url = 'http://www.sina.com.cn/'
main_domain = 'sina.com.cn'
crawl_page(page_url, main_domain)
11、域传送漏洞
快速判断出某个特定区域的所有主机,获取域信息,如网络拓扑结构、服务器ip地址,为攻击者的入侵提供大量敏感信息。这一块的知识,只有学了服务器。自己搭建过集群可能才有所涉及。
正确的配置:
allow-transfer {ipaddress;}; 通过ip限制可进行域传送的服务器
allow-transfer { key transfer; }; 通过key限制可进行域传送的服务器
1、常用DNS记录
主机记录(A记录): A记录是用于名称解析的重要记录,它将特定的主机名映射到对应主机的IP地址上。
IPv6主机记录(AAAA记录): 与A记录对应,用于将特定的主机名映射到一个主机的IPv6地址。
别名(CNAME记录): CNAME记录用于将某个别名指向到某个A记录上,这样就不需要再为某个新名字另外创建一条新的A记录。
电子邮件交换记录(MX记录): 记录一个邮件域名对应的IP地址
域名服务器记录 (NS记录): 记录该域名由哪台域名服务器解析
反向记录(PTR记录): 也即从IP地址到域名的一条记录
TXT记录:记录域名的相关文本信息
2、DNS区域传送
DNS服务器分为主服务器、备份服务器和缓存服务器。而域传送指的是一台备用服务器使用来自主服务器的数据更新自己的域(zone)数据库。这为运行中的DNS服务提供了一定的冗余度,其目的是为了防止主的域名服务器因意外故障变得不可用时影响到整个域名的解析。
检测
3、nmp检测
3-1、nmap脚本扫描
nmap –script dns-zone-transfer –script-args dns-zone-transfer.domain=targetdomain -p 53 -Pn dns.xxx
3-2、dig命令
dig @114.114.114.114 twosmi1e.com axfr @指定DNS服务器, 后面指定域名,axfr为域传送请求
3-3、使用nslookup命令
nslookup 域名:检查是否有cdn
输入nslookup命令进入交互式shell界面
server 命令参数设定查询将要使用的DNS服务器;针对某个域名可先输入域名获取dns信息。
ls命令列出某个域中的所有域名;如果太长不适合查看可定向保存至文件夹中。
exit命令退出使用server
这里也可以使用在线的DNS数据去检索
比如常见的dns检索网站
VirusTotal:VirusTotal
DNSdumpster:DNSdumpster
dnsdb:dnsdb
4、自身泄露
比如以下配置文件
robots.txt
crossdomain.xml(跨域策略文件cdx)
从流量中分析提取
至于github泄露,这种情况是很少见的
5、Google Hacking可以
使用google的语法或者,或者调用bind的api去辅助采集
6、在线子域名查询
http://sbd.ximcx.cn/
http://tool.chinaz.com/subdomain/
7、子域名枚举
向DNS服务器(如8.8.8.8和8.8.4.4)请求字典里面的子域名,看返回的数据里面是否有记录,如果有则说明这是一个存在的子域名。比如说,向114.114.114.114定向请求www.qq.com的记录,返回了一条A记录指向182.254.34.74,就说明存在这个域名;相应的请求wooyun.qq.com并没有相应的记录返回,这就说明没有这个域名存在。
注:一般只使用同一套主、副DNS,即8.8.8.8和8.8.4.4,DNS服务器不宜混搭,否则容易出现大量误报
8、OneForAll:OneForAll
9、subDomainBrute:subDomainBrute
10、Layer:Layer子域名挖掘机是一款域名查询工具,自定了解
11、FuzSub:FuzSub
12、Fierce:Fierce
13、御剑
14、wydomain
15、orangescan
16、DNSRecon
17、K8
工具众多,本质一样,都先要学会使用工具,其次需要学会工作原理
12、IP信息收集
1、在线cdn查询网站进行查询:cdn查询
若ip大于1,则不是真实服务器地址,过只有2-3个,都是在同一地区的不同运营商,则可能是出口地址,该服务器可能在内网中,是通过nat映射提供互联网访问,那么同时采用不同的运营商有什么好处呢?可以负载均衡以及热备份。
如果是有福多个ip地址,且分布在不同地区则基本断定是用CDN。
2、CDN概念:
内容分发网络(content delivery network或content distribution network,缩写作CDN)指一种通过互联网互相连接的电脑网络系统,利用最靠近每位用户的服务器,更快、更可靠地将音乐、图片、视频、应用程序及其他文件发送给用户,来提供高性能、可扩展性及低成本的网络内容传递给用户,主要就是通过多个不同节点加快网站的访问速度。(谁离的近就用谁)
3、判断是否真实IP
3-1、使用nslookup 域名
意义:用了CDN的会返回多个IP地址在线工具
http://tools.bugscaner.com/nslookup/
http://tool.chinaz.com/nslookup/
3-2、多地ping
通过在线工具进行多地ping,查看ip是否一致
http://ping.chinaz.com/
http://ping.aizhan.com/
3-3、ip反查
什么叫ip反查
通过ip地址反查多少个域名,然后再来确定有多少个子域名
说了这多多,那么到底如何才能快速定位真实ip呢?
首先、可以查看是否是否https协议,其次在搜索证书
再其次找到序列号,讲序列号转换成十进制
最后通过cert="十进制编码"去查询真实的ip
4、历史DNS解析记录
查询未使用CDN前的DNS服务器解析记录,查看IP与域名绑定的历史记录,可能会存在使用CDN前的记录
https://dnsdb.io/zh-cn/ DNS查询
https://x.threatbook.cn/ 微步在线
http://toolbar.netcraft.com/site_report?url= 在线域名信息查询
http://viewdns.info/ DNS、IP等查询
https://tools.ipip.net/cdn.php CDN查询IP
5、通过SSL证书查询
https://censys.io/certificates/
6、通过魔法访问,可能外部访问就不会存在cdn(前提用户覆盖率低)
7、ltm解码
比如服务器使用的f5 ltm做负载均衡,那么可以获取Set-Cookie的值,通过.区分,并且转换成16进制,在转换成10进制数,也就是真实ip了,这个东西,要实践积累经验才行啊
13、基本目录以及mg目录文件扫描
在信息收集过程中,需要收集的敏感目录/文件信息包括:
这些配置文件其实多很多都是见过的,不是吗,都是一些常见网站的配置文件。
1.robots.txt
2.crossdomin.xml
3.sitemap.xml
4.后台目录
5.网站安装包
6.网站上传目录
7.mysql管理页面
8.phpinfo
9.网站文本编辑器
10.测试文件
11.网站备份文件(.rar、zip、.7z、.tar.gz、.bak)
12.DS_Store 文件
13.vim编辑器备份文件(.swp)
14.WEB—INF/web.xml文件
也可以使用工具进行目录文件搜集:
比如
1、dirsearch:dirsearch
2、dirbuster:dirbuster
下面在列举一些信息收集工具:
虽然前面已经介绍了不少,但是咱加深下映像
1、7kbscan
2、Webrobot
3、御剑
4、爬虫-中国菜刀
5、wwwscan
6、cansina
7、dirmap
8、Webdirscan
9、BBscan
10、GSIL
端口扫描工具
1、namp
2、masscan
3、ScanPort
== 如何区分服务机类型==
可以是哦那个ping命令,查看响应的TTL值进行判断,一般windows 是大于100,linux则是64左右。
14、web信息收集–指纹
1、什么叫web指纹?
Web指纹定义:Web指纹是一种对目标网站的识别技术,通过识别网站所使用的服务器、运行的脚本、安装的CMS等信息对目标进行精准的分类和定位。Web指纹识别可以帮助安全研究人员在安全测试中快速了解目标网站的基本信息,有助于搜索其相关漏洞。
2、什么叫CMS?
内容管理系统(Content Management System,CMS),是一种位于WEB前端(Web 服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统。内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。这里指的“内容”可能包括文件、表格、图片、数据库中的数据甚至视频等一切你想要发布到Internet、Intranet以及Extranet网站的信息。
常见的cms系统:
企业网站系统:MetInfo(米拓)、蝉知、SiteServer CMS
B2C商城系统:商派shopex、ecshop、hishop、xpshop
门建站系统:DedeCMS(织梦)、帝国CMS、PHPCMS、动易、cmstop
博客系统:wordpress、Z-Blog
论坛社区:discuz、phpwind、wecenter
问题系统:Tipask、whatsns
知识百科系统:HDwiki
B2B门户系统:destoon、B2Bbuilder、友邻B2B
人才招聘网站系统:骑士CMS、PHP云人才管理系统
房产网站系统:FangCms
在线教育建站系统:kesion(科汛)、EduSoho网校
电影网站系统:苹果cms、ctcms、movcms
小说文学建站系统:JIEQI CMS、linhuaming
根据编程语言也可以分为
php类cms系统:dedeCMS、帝国CMS、php168、phpCMS、cmstop、discuz、phpwind等
asp类cms系统:zblog、KingCMS等
.net类cms系统:EoyooCMS等
java类cms系统: RuoYi等
外部的著名cms系统:joomla、WordPress 、magento、drupal 、mambo等
下面列举一些常见且使用广泛的CMS系统
(1):DedeCMS(织梦)
织梦内容管理系统(DedeCMS)以简单、实用、开源而闻名,是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统。DedeCMS免费版主要目标锁定在个人站长,功能更加专注于个人网站或中小型门户的构建,当然也有企业用户和学校等在使用本系统。
(2):Discuz
Crossday Discuz! Board(简称Discuz!)是康盛创想(北京)科技有限公司推出的一套通用的社区论坛软件系统,用户可以在不需要任何编程的基础上,通过简单的设置和安装,在互联网上搭建起具备完善功能、很强负载能力和可高度定制的论坛服务。Discuz! 的基础架构采用世界上最流行的web编程组合PHP+MySQL实现,是一个经过完善设计,适用于各种服务器环境的高效论坛系统解决方案。
(3):帝国CMS
帝国CMS又称为Empire CMS,简称Ecms,它是基于B/S结构并且功能强大而易用的网站管理系统。它采用了系统模型功能:用户通过此功能可直接在后台扩展与实现各种系统,因此又被称为是万能建站工具。帝国CMS具有强大的功能,并且现在已经全部开源。
(4):WordPress
WordPress是使用PHP语言开发的博客平台,用户可以在支持PHP和MySQL数据库的服务器上架设属于自己的网站,WordPress也被当作一个内容管理系统(CMS)。WordPress是一款个人博客系统,使用PHP和MySQL语言进行开发的。
(5)RuoYi
是一款基于Spring boot框架的权限管理系统,你可以轻松的使用若依来进行开发,更加专注于业务逻辑的开发,而不用在意一些繁琐的增删改查操作。
该说不说,RUOYI是真的火,很多明捷开发的项目都是基于ruoyi
如果判断是否用了CMS呢?
1、可以通过robots.txt查看是否有wp-admin目录,有则cms是WordPress
2、F12查看网页源码,有些可能有注释
3、查看banquan信息等
为什么要提炼路由?路由是什么?在前端网页中,后端代码一般我们无法通过抓包等收集,除非你获取到了仓库的权限
那么在信息收集中,前端页面是最常见的,也是信息收集的重点。
路由好处就是讲同一个页面的所有内容、表单、控件、按钮等,只要是同一个级别的菜单或者同一个页面,那么就使用同一个路由,可以减少重复加载和重复请求,提高页面响应时间,在前端中,也是非常常用的,尤其是vue下的web系统
3、那么对于指纹,其他都已经介绍过了,这次主要记录下工具
1、WhatWeb(kali集成了该工具):WhatWeb
2、Finger:Finger
3、TideFinger(潮汐指纹识别工具版):TideFinger
4、Ehole:Ehole
4、上面介绍的都是工具,实际中手动识别也是非常常见的,那么,如果手动识别指纹信息呢?
1、根据HTTP响应头判断,重点关注X-Powered-By、Cookie等字段。
2、根据HTML特征,重点关注body、title、meta等标签的内容和属性。
3、根据特殊的CLASS类型判断,HTML中存在特定CLASS属性的某些DIV标签。
Wappalyzer插件识别,这个就不介绍了,这个很常用,插件真的好用。
那么现在我们基本对网站使用的框架和技术栈以及一些域名等资产信息以及有了收集,但是我们还需要确实网站是用web服务器是什么类型,并且还要知道是web服务器的具体版本,不同的版本有不同的历史版本漏洞。比如中间件的解析漏洞等
我们也可以使用火狐浏览器渗透版本,集成了很多的工具
5、如果确实web端使用的脚本呢?
有些可以快速通过工具识别,有些则隐藏了,可以手动修改,通过修改index.xxx后缀内容(为ASP\ASPX\PHP\JSP),查看页面返回情况,页面返回正常便可以判断脚本类型,判断脚本类型是信息收集中最基本的工作之一。
常见的数据库类型
15、数据库类型
我们需要知道网站用的是哪种类型的数据库:Mysql、Oracle、SqlServer 还是 Access 。虽然这几种数据库的语法大体上相同,但是还是有区别的。所以我们还是要知道目标网站用的是哪种数据库,并且数据库是哪个版本的
各端口对应数据库类型:
sql server–1433
oracle–1521
mysql–3306
postgresql–5432
access–默认不开放连接端口,数据库存储在FTP服务器上。
具体数据库类型的后缀,大家自动gpt了解
16、什么是WAF?
我们需要判断安全狗、阿里云云盾、360网站卫士、护卫神等WEB应用程序防火墙,便于采取绕过WAF的办法。
Nmap探测WAF有两种脚本。
一种是http-waf-detect。
命令:nmap -p80,443 --script=http-waf-detect ip
一种是http-waf-fingerprint。
命令:nmap -p80,443 --script=http-waf-fingerprint ip
WAFW00F探测WAF
命令:wafw00f -a 域名
也可以使用sql注入、xss等确实是哪个厂商的waf
17、后台查找
可以尝试使用弱口令
1、弱口令默认后台:admin,admin/login.asp,manage,login.asp等等常见后台
为啥用admin呢?,因为单词都是管理员,很多网页命令是规范且见名知意的。
2、查看网页的链接;一般来说,网站的主页有管理登陆类似的东西,大多数在网站底部版权处或鲁在冒页导肌程等,有些可能被管理员删掉
3、查看网站图片的属性有可能图片是上传大管理后台目录,但是是在前台显示
4、查看网站使用的管理系统,从而确定后台
5、用工具查找:wwwscan,intellitamper,御剑,进行爬虫、字典穷举扫描
6、robots.txt的帮助:robots.txt文件告诉蜘蛛程序在服务器上什么样的文件可以被查看
7、 GoogleHacker通过语法查找后台
8、查看网站使用的编辑器是否有默认后台,FCK、ewb等默认后台
9、短文件利用短文件漏洞进行猜解
10、子域名有可能管理后台为admin.xxxxx.com、login.xxxxx.com
11、sqlmap-sql-shell load_file(‘d:/wwroot/index.php’);利用sql注入查看文件源码获取后台
12、社工、XSS利用社会工程去获取后台,利用存储型XSs获取后台
好啦,我写了很多笔记和内容,并且每个都进行实操,总之,在渗透测试过程中,信息收集是非常重要的,无论是未开始渗透测试之前还是渗透测试中。只有信息收集做的好,社工熟练,渗透测试中就可以避免很多不必要的头疼问题,可能往往就差这点信息就止步了。
谢谢你们可以认真看完,能看完的是少数,可以的话,评论+点赞+收藏,编写不易。谢谢你们,又到了该说不说的时候了!!!