N0rth3ty's Blog.

渗透测试0x00 信息收集

字数统计: 699阅读时长: 2 min
2018/10/21 Share

前言

写这篇文章是总结一下思路,思考接下来的信息收集工具应该怎么开发。
借着这次课设的机会,刚好能够开发一个具备子域名搜集和站点地图探查的工具。
理想的应该是带上目标IP,指纹,端口等等一系列的集成工具。

同时,随着学习的不断深入,越加明白信息收集的重要性。

信息收集

通常将信息收集分为主动和被动。主动信息搜集是与目标主机进行直接交互,从而拿到我们的目标信息,而被动信息搜集恰恰与主动信息搜集相反,不与目标主机进行直接交互,通过搜索引擎或者社交等方式间接的获取目标主机的信息。

whois

whois通常能够发现一些有用的信息

IP确定

首先应该确定的是IP
判断是否使用CDN
使用nslookup进行检测,如果返回域名解析对应多个IP,那么多半是使用了CDN.
nslookup aa.com
或者直接使用多地ping网站
http://ping.chinaz.com/
给一个在线IP工具
https://www.ipip.net/
如果使用CDN就要绕过CDN获取真实IP,常用以下方法

  • 查询DNS记录

    1
    2
    3
    4
    5
    6
    7
    https://dnsdb.io/zh-cn/

    https://x.threatbook.cn/

    http://toolbar.netcraft.com/site_report?url=

    http://viewdns.info/
  • 查询子域名
    子域名可能没有CDN,但是和主站处于同一服务器或者C段

  • 网站漏洞
    fopen 、 file_get_contents 这些函数,将文件参数改成自己服务器的IP,让对方服务器主动连接我们,然后从日志找到对方真实IP
    或者铭感文件,敏感信息泄露
  • 利用Zgrab绕CDN找真实IP
  • 邮件可能是个可以利用的点

    服务器信息

    IP其实也涵盖在服务器信息之中
  • IP地址,结合上面的CDN绕过,获取到IP

  • 服务器的系统类型 (windows、linux(Ubuntu、ContentOS))

  • 支持的脚本类型 (asp、aspx、php、jsp)

  • Web容器 (apache 、IIS 、nginx)

  • 开放端口情况 (21,22,80,1433,5900,3306,3389,8080,43958)

  • 绝对路径 (报错页面显示、探针显示)

子域名发掘

  • github上有一些现成的工具
    例如 subDomainsBrute,layer
  • 一些资产平台,例如roomeye
  • 谷歌百度等搜索引擎收录,有特定搜索语法

指纹验证

  • 扫描器 不过暂时没有什么顺手的扫描器,大概没什么开源的
  • 云悉之类也可以查到

Waf探测

手动感觉要靠谱一点

漏洞扫描

  • AWVS大概是我能想到的
  • burp其实还有漏洞扫描功能

敏感文件泄露

  • dirsearch在进行目录扫描的同时已经扫描了敏感文件

写得很粗略。。长期更新

CATALOG
  1. 1. 前言
  2. 2. 信息收集
    1. 2.1. whois
    2. 2.2. IP确定
    3. 2.3. 服务器信息
    4. 2.4. 子域名发掘
    5. 2.5. 指纹验证
    6. 2.6. Waf探测
    7. 2.7. 漏洞扫描
    8. 2.8. 敏感文件泄露