不乱于心,不困于情。
不畏将来,不念过往。如此,安好。

web渗透之信息收集

1.系统的信息收集

1.1.CDN

什么是CND?

内容分发式服务

CDN的优势?

隐藏源主机ip,降低延迟,提高服务响应速度,增加网络冗余,减小主机服务器压力。

1.2真实ip查询

1判断目标是否使用了CDN

利用在线网站

  • http://www.17ce.com
  • http:/ping.chinaz.com/
  • http:/ping.aizhan.com/
  • http://ce.cloud.360.cn/

进行全国多地区的ping服务器操作

然后对比每个地区ping出的ip结果,查看这些ip是否一致,如果都是一样的,极有可能不存在CDN。

如果ip大多不太一样或者规律性很强,可以尝试查询这些ip的归属地,判断是否存在CDN

2.判断是否存在CDN。使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

有 CDN 的示例:nslookup www.163.com服务器:  public1.114dns.comAddress:  114.114.114.114非权威应答:名称:    163.xdwscache.ourglb0.comAddresses:  58.223.164.86            125.75.32.252Aliases:  www.163.com            www.163.com.lxdns.com
无 CDN 的示例:nslookup xiaix.me服务器:  public1.114dns.comAddress:  114.114.114.114非权威应答:名称:    xiaix.meAddress:  192.3.168.172  0.0.0.0 255.255.255.255 

3.使用各种在线工具帮助检测目标网站是否使用了CDN

  • http://www.cdnplanet.com/tools/cdnfinder/
  • http://www.ipip.net/ip.html

1.3 绕过CDN查找真实ip

1.内部邮件邮件源ip

通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping邮件服务器的域名,就可以获得目标的真实ip,注意:,必须是目标自己的邮件服务器,第三方或者公共邮件服务器是没有用的。

以qq邮箱为列:

2.网站漏洞查找

1)目标敏感文件泄露,例如:phpinfo之类的探针、GitHub信息泄露等。

2)XSS盲打,命令执行反弹shell,SSRF等。

3)无论是用社工还是其他手段,拿到了目标网站管理员在CDN的账号,从而在从CDN的配置中找到网站的真实IP。

3.查询子域名

由于目标服务可能在主站上做好了相应的CDN,但是由于种种原因二级域名没有做,这时我们可以从这个方面入手进行查询。

1)微步在线(https://x.threatbook.cn/)

2)Dnsdb查询法。(https://dnsdb.io/zh-cn/)黑客只需输入baidu.com type:A就能收集百度的子域名和ip了

3)Google 搜索Google site:baidu.com -www就能查看除www外的子域名,

4.国外访问

代理网站App Synthetic Monitor(https://asm.ca.com/en/ping.php)

5.查询域名的解析记录:

查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录,相关查询网站有:https://dnsdb.io/zh-cn/ ###DNS查询 https://x.threatbook.cn/ ###微步在线 http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询 http://viewdns.info/ ###DNS、IP等查询 https://tools.ipip.net/cdn.php ###CDN查询IP,也可以大致分析出目标的真实IP段。

利用SecurityTrails平台,攻击者就可以精准的找到真实原始IP。他们只需在搜索字段中输入网站域名,然后按Enter键即可,这时“历史数据”就可以在左侧的菜单中找到。

如何寻找隐藏在CloudFlare或TOR背后的真实原始IP

除了过去的DNS记录,即使是当前的记录也可能泄漏原始服务器IP。例如,MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器,那么原始服务器IP将在MX记录中。

6.App

如果目标网络站有自己的App 可以尝试通过利用fiddler或Burp Suite抓取App的请求,从里面找到目标的真实ip

7.网络空间引擎搜索法

常见的有以前的钟馗之眼,shodan,fofa搜索。以fofa为例,只需输入:title:“网站的title关键字”或者body:“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名,很多时候能获取网站的真实ip,

8.绕过CloudFlare CDN查找真实ip:

在线网站查询cloud Flarewatch (http://www.crimeflare.us/cfs.xhrml#box)(需要翻墙)

1.3验证ip

借助工具批量扫描对应ip段所有开了的80,443,8080端口的ip,

如借助工具:

然后逐个尝试ip访问,观察相应是否为目标站点。

1.4操作系统判断

1.通过大小写的敏感字

1.判断是Linux还是Windows最简单就是通过ping来探测,Windows的TTL值都是一般是128,Linux则是64。所以大于100的肯定是Windows,而几十的肯定是Linux。

2.Windows大小写不敏感,Linux大小写敏感。

表现如www.xxxx.com/index.php和www.xxxx.com/index.phP打开的一样就说明是Windows

2.对服务器进行扫描:

Nmap -O

1.5 主机扫描及端口信息

1.NMAP

对端口进行扫描

扫描某一目标地址的指定端口如:21,22,23,80 端口

如果不需要对目标主机进行全端口扫描,只想探测它是否开放了某一端口,那么使用-p参数指定端口号,将大大提升扫描速度。

nmap192.168.0.100-p21,22,23,80

目标地址的操作系统指纹识别

nmap-O192.168.0.105

目标地址提供的服务版本检测

map-sV192.168.0.100

探测防火墙状态

利用FIN扫描的方式探测防火墙的状

nmap-sF-T4192.168.0.100z

FIN扫描用于识别端口是否关闭,收到RST回复说明该端口关闭,否则就是open或filtered状态

2.无状态的扫描工具:

Masscan (可以扫描全网)

使用方法

masscan -p0-65535 28.41.0.0/16 –banners –rate 100000000

masscan –ping 28.41.0.0/16 –rate 1000000 #主机存活

默认情况下,Masscan扫描速度为每秒100个数据包

Zmap

kali安装命令:

sudo apt install zmap

默认情况下,ZMap会对于指定端口实施尽可能大速率的TCP SYN扫描。较为保守的情况下,对10,000个随机的地址的80端口以10Mbps的速度扫描,如下所示:

zmap--bandwidth=10M--target-port=80--max-targets=10000--output-file=results.csv

或者更加简洁地写成:

$ zmap-B10M-p80-n10000-o results.csv

ZMap也可用于扫描特定子网或CIDR地址块。例如,仅扫描10.0.0.0/8和192.168.0.0/16的80端口,运行指令如下:

zmap-p80-o results.csv10.0.0.0/8192.168.0.0/16

如果扫描进行的顺利,ZMap会每秒输出类似以下内容的状态更新:

  1. 0%(1h51mleft);send:28777562Kp/s(560Kp/s avg);recv:1192248p/s(231p/s avg);hits:0.04%
  2. 0%(1h51mleft);send:34320554Kp/s(559Kp/s avg);recv:1442249p/s(234p/s avg);hits:0.04%
  3. 0%(1h50mleft);send:39676535Kp/s(555Kp/s avg);recv:1663220p/s(232p/s avg);hits:0.04%
  4. 0%(1h50mleft);send:45372570Kp/s(557Kp/s avg);recv:1890226p/s(232p/s avg);hits:0.04%

这些更新信息提供了扫描的即时状态并表示成:

完成进度%(剩余时间);send:发出包的数量即时速率(平均发送速率);recv:接收包的数量接收率(平均接收率);hits:命中率

如果您不知道您所在网络能支持的扫描速率,您可能要尝试不同的扫描速率和带宽限制直到扫描效果开始下降,借此找出当前网络能够支持的最快速度。

3.御剑高速TCP端口扫描

https://github.com/foryujian/yujianportscan 解压密码:1

2.web信息搜集

1.Whois查询

站长之家,VirusTotal等

查询域名的相关信息,如域名服务商,域名拥有者,及邮箱,电话,地址等。

2.备案信息查询

Icp备案查询网:http://www.beianbeian.com

天眼查:http://www.tianyancha.com

3.搜集敏感信息

搜集敏感目录文件的目的

在渗透测试中,探测Web目录结构和隐藏的敏感文件是一个必不可少的环节,

从中可以获取网站的后台管理页面、文件上传页面、甚至可以扫描出网站的源代码。

3.1收集方向:

后台目录:弱口令,万能密码,爆破

安装包:获取数据库信息,甚至是网站源码

上传目录:截断、上传图片马等

mysql管理接口:弱口令、爆破,万能密码,然后脱裤,甚至是拿到shell

安装页面 :可以二次安装进而绕过

phpinfo:会把你配置的各种信息暴露出来

编辑器:fck、ke、等

iis短文件利用:条件比较苛刻 windows、apache等

robots.txt文件

3.2探测目标网站后台目录的工具有:

字典爆破:kali环境下的dirb如:dirb http://192.168.200.113

对目标网站进行目录扫描:DirBuster、 wwwscan 、御剑后台、Webdirscan等

蜘蛛爬行:Burp、OWASP ZAP、AWVS等

在线工具站:[webscan][http://www.webscan.cc/]

  1. 3 Google hacking

Google Hack常用语法:

site:可限制你搜索范围的域名

inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用

intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)

filetype:搜索文件的后缀或者扩展名

intitle:限制你搜索的网页标题

link: 可以得到一个所有包含了某个指定URL的页面列表

info:查找指定站点的一些基本信息

cache:搜索Google里关于某些内容的缓存

查找后台地址:site:域名 inurl:login|admin|manage|member|adminlogin|loginadmin|system|login|user|main|cms

查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

查找可注入点:site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞:site:域名 inurl:file|load|editor|Files找eweb

编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库:site:域名 filetype:mdb|asp|#

查看脚本类型:site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵:inurl:cms/data/templates/images/index/

列:尝试搜索一些学校网站的后台,语法为:”site:edu.cn intext: 后台管理”

意思为搜索网页正文中包含有“后台管理” 并且域名后缀是edu.cn的网站,

3.4.网络空间搜索引擎:

钟馗之眼www.zoomeye.com。

傻蛋www.oshadan.com(使用)

联网设备搜索引擎可以检索到许多搜索引擎不收录的页面,通常是后台等页面。

构造检索关键词时:

系统/后台类,可以搜索“xxx系统/平台/管理”。

企业类,可以搜索“xxx企业/公司/平台”。

比如我们要挖电信的系统,可以搜索“电信系统/平台/管理”。

4.指纹识别

指纹识别

常见的CMS有:

Dedecms (织梦),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,

Dvbbs,SiteWeaver,ASPCMS,帝国,Z-Blog,WordPress等。

扫描工具:御剑web指纹识别,whatweb,webRobo,椰树,轻量web指纹识别等

除了工具以为还可以利用一些在线网站查询CMS指纹识别,

在线网站查询:

BugScaner:http://whatweb.bugscaner.com/look/

云悉指纹:http://www.yunsee.cn/finger.html和whatweb:https://whatweb.net/

5.旁站和C段

旁站和C段扫描

旁站

C段

旁站和C段在线查询地址:

http://www.webscan.cc/ 、 [http://www.5kik.com/]

常用工具:

Web:k8旁站、御剑1.5

端口:portscan

6.整站分析

整站分析

服务器类型,服务器平台,版本等

网站容器,搭建网站的服务组件

列如:IIS,Apache,nginx,tomcat。

脚本类型,Asp,php,jsp,aspx等

数据库类型,mysql,mssql,oracle等

Cms类型,Dedecms(织梦),Discuz,PHPcms,Worspress等。

Waf,阿里云,安全狗,腾讯云,D盾等。

赞(0)
未经允许不得转载:seo优化_前端开发_渗透技术 » web渗透之信息收集