1.系统的信息收集
1.1.CDN
什么是CND?
内容分发式服务
CDN的优势?
隐藏源主机ip,降低延迟,提高服务响应速度,增加网络冗余,减小主机服务器压力。
1.2真实ip查询
1判断目标是否使用了CDN
利用在线网站
- http://www.17ce.com
- http:/ping.chinaz.com/
- http:/ping.aizhan.com/
- http://ce.cloud.360.cn/
进行全国多地区的ping服务器操作
然后对比每个地区ping出的ip结果,查看这些ip是否一致,如果都是一样的,极有可能不存在CDN。
如果ip大多不太一样或者规律性很强,可以尝试查询这些ip的归属地,判断是否存在CDN
2.判断是否存在CDN。使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 地址多半是使用了 CDN。
有 CDN 的示例:
nslookup www.163.com
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
名称: 163.xdwscache.ourglb0.com
Addresses: 58.223.164.86
125.75.32.252
Aliases: www.163.com
www.163.com.lxdns.com
无 CDN 的示例:
nslookup xiaix.me
服务器: public1.114dns.com
Address: 114.114.114.114
非权威应答:
名称: xiaix.me
Address: 192.3.168.172
0.0.0.0 255.255.255.255
3.使用各种在线工具帮助检测目标网站是否使用了CDN
- http://www.cdnplanet.com/tools/cdnfinder/
- http://www.ipip.net/ip.html
1.3 绕过CDN查找真实ip
1.内部邮件邮件源ip
通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping邮件服务器的域名,就可以获得目标的真实ip,注意:,必须是目标自己的邮件服务器,第三方或者公共邮件服务器是没有用的。
以qq邮箱为列:
2.网站漏洞查找
1)目标敏感文件泄露,例如:phpinfo之类的探针、GitHub信息泄露等。
2)XSS盲打,命令执行反弹shell,SSRF等。
3)无论是用社工还是其他手段,拿到了目标网站管理员在CDN的账号,从而在从CDN的配置中找到网站的真实IP。
3.查询子域名
由于目标服务可能在主站上做好了相应的CDN,但是由于种种原因二级域名没有做,这时我们可以从这个方面入手进行查询。
1)微步在线(https://x.threatbook.cn/)
2)Dnsdb查询法。(https://dnsdb.io/zh-cn/)黑客只需输入baidu.com type:A就能收集百度的子域名和ip了
3)Google 搜索Google site:baidu.com -www就能查看除www外的子域名,
4.国外访问
代理网站App Synthetic Monitor(https://asm.ca.com/en/ping.php)
5.查询域名的解析记录:
查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录,相关查询网站有:https://dnsdb.io/zh-cn/ ###DNS查询 https://x.threatbook.cn/ ###微步在线 http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询 http://viewdns.info/ ###DNS、IP等查询 https://tools.ipip.net/cdn.php ###CDN查询IP,也可以大致分析出目标的真实IP段。
利用SecurityTrails平台,攻击者就可以精准的找到真实原始IP。他们只需在搜索字段中输入网站域名,然后按Enter键即可,这时“历史数据”就可以在左侧的菜单中找到。
如何寻找隐藏在CloudFlare或TOR背后的真实原始IP
除了过去的DNS记录,即使是当前的记录也可能泄漏原始服务器IP。例如,MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器,那么原始服务器IP将在MX记录中。
6.App
如果目标网络站有自己的App 可以尝试通过利用fiddler或Burp Suite抓取App的请求,从里面找到目标的真实ip
7.网络空间引擎搜索法
常见的有以前的钟馗之眼,shodan,fofa搜索。以fofa为例,只需输入:title:“网站的title关键字”或者body:“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名,很多时候能获取网站的真实ip,
8.绕过CloudFlare CDN查找真实ip:
在线网站查询cloud Flarewatch (http://www.crimeflare.us/cfs.xhrml#box)(需要翻墙)
1.3验证ip
借助工具批量扫描对应ip段所有开了的80,443,8080端口的ip,
如借助工具:
然后逐个尝试ip访问,观察相应是否为目标站点。
1.4操作系统判断
1.通过大小写的敏感字
1.判断是Linux还是Windows最简单就是通过ping来探测,Windows的TTL值都是一般是128,Linux则是64。所以大于100的肯定是Windows,而几十的肯定是Linux。
2.Windows大小写不敏感,Linux大小写敏感。
表现如www.xxxx.com/index.php和www.xxxx.com/index.phP打开的一样就说明是Windows
2.对服务器进行扫描:
Nmap -O
1.5 主机扫描及端口信息
1.NMAP
对端口进行扫描
扫描某一目标地址的指定端口如:21,22,23,80 端口
如果不需要对目标主机进行全端口扫描,只想探测它是否开放了某一端口,那么使用-p参数指定端口号,将大大提升扫描速度。
nmap192.168.0.100-p21,22,23,80
目标地址的操作系统指纹识别
nmap-O192.168.0.105
目标地址提供的服务版本检测
map-sV192.168.0.100
探测防火墙状态
利用FIN扫描的方式探测防火墙的状
nmap-sF-T4192.168.0.100
z
FIN扫描用于识别端口是否关闭,收到RST回复说明该端口关闭,否则就是open或filtered状态
2.无状态的扫描工具:
Masscan (可以扫描全网)
使用方法
masscan -p0-65535 28.41.0.0/16 –banners –rate 100000000
masscan –ping 28.41.0.0/16 –rate 1000000 #主机存活
默认情况下,Masscan扫描速度为每秒100个数据包
Zmap
kali安装命令:
sudo apt install zmap
默认情况下,ZMap会对于指定端口实施尽可能大速率的TCP SYN扫描。较为保守的情况下,对10,000个随机的地址的80端口以10Mbps的速度扫描,如下所示:
zmap--bandwidth=10M--target-port=80--max-targets=10000--output-file=results.csv
或者更加简洁地写成:
$ zmap-B10M-p80-n10000-o results.csv
ZMap也可用于扫描特定子网或CIDR地址块。例如,仅扫描10.0.0.0/8和192.168.0.0/16的80端口,运行指令如下:
zmap-p80-o results.csv10.0.0.0/8192.168.0.0/16
如果扫描进行的顺利,ZMap会每秒输出类似以下内容的状态更新:
0%(1h51mleft);send:28777562Kp/s(560Kp/s avg);recv:1192248p/s(231p/s avg);hits:0.04%
0%(1h51mleft);send:34320554Kp/s(559Kp/s avg);recv:1442249p/s(234p/s avg);hits:0.04%
0%(1h50mleft);send:39676535Kp/s(555Kp/s avg);recv:1663220p/s(232p/s avg);hits:0.04%
0%(1h50mleft);send:45372570Kp/s(557Kp/s avg);recv:1890226p/s(232p/s avg);hits:0.04%
这些更新信息提供了扫描的即时状态并表示成:
完成进度%(剩余时间);send:发出包的数量即时速率(平均发送速率);recv:接收包的数量接收率(平均接收率);hits:命中率
如果您不知道您所在网络能支持的扫描速率,您可能要尝试不同的扫描速率和带宽限制直到扫描效果开始下降,借此找出当前网络能够支持的最快速度。
3.御剑高速TCP端口扫描
https://github.com/foryujian/yujianportscan 解压密码:1
2.web信息搜集
1.Whois查询
站长之家,VirusTotal等
查询域名的相关信息,如域名服务商,域名拥有者,及邮箱,电话,地址等。
2.备案信息查询
Icp备案查询网:http://www.beianbeian.com
天眼查:http://www.tianyancha.com
3.搜集敏感信息
搜集敏感目录文件的目的
在渗透测试中,探测Web目录结构和隐藏的敏感文件是一个必不可少的环节,
从中可以获取网站的后台管理页面、文件上传页面、甚至可以扫描出网站的源代码。
3.1收集方向:
后台目录:弱口令,万能密码,爆破
安装包:获取数据库信息,甚至是网站源码
上传目录:截断、上传图片马等
mysql管理接口:弱口令、爆破,万能密码,然后脱裤,甚至是拿到shell
安装页面 :可以二次安装进而绕过
phpinfo:会把你配置的各种信息暴露出来
编辑器:fck、ke、等
iis短文件利用:条件比较苛刻 windows、apache等
robots.txt文件
3.2探测目标网站后台目录的工具有:
字典爆破:kali环境下的dirb如:dirb http://192.168.200.113
对目标网站进行目录扫描:DirBuster、 wwwscan 、御剑后台、Webdirscan等
蜘蛛爬行:Burp、OWASP ZAP、AWVS等
在线工具站:[webscan][http://www.webscan.cc/]
- 3 Google hacking
Google Hack常用语法:
site:可限制你搜索范围的域名
inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用
intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)
filetype:搜索文件的后缀或者扩展名
intitle:限制你搜索的网页标题
link: 可以得到一个所有包含了某个指定URL的页面列表
info:查找指定站点的一些基本信息
cache:搜索Google里关于某些内容的缓存
查找后台地址:site:域名 inurl:login|admin|manage|member|adminlogin|loginadmin|system|login|user|main|cms
查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
查找可注入点:site:域名 inurl:aspx|jsp|php|asp
查找上传漏洞:site:域名 inurl:file|load|editor|Files找eweb
编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的数据库:site:域名 filetype:mdb|asp|#
查看脚本类型:site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵:inurl:cms/data/templates/images/index/
列:尝试搜索一些学校网站的后台,语法为:”site:edu.cn intext: 后台管理”
意思为搜索网页正文中包含有“后台管理” 并且域名后缀是edu.cn的网站,
3.4.网络空间搜索引擎:
钟馗之眼www.zoomeye.com。
傻蛋www.oshadan.com(使用)
联网设备搜索引擎可以检索到许多搜索引擎不收录的页面,通常是后台等页面。
构造检索关键词时:
系统/后台类,可以搜索“xxx系统/平台/管理”。
企业类,可以搜索“xxx企业/公司/平台”。
比如我们要挖电信的系统,可以搜索“电信系统/平台/管理”。
4.指纹识别
指纹识别
常见的CMS有:
Dedecms (织梦),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,
Dvbbs,SiteWeaver,ASPCMS,帝国,Z-Blog,WordPress等。
扫描工具:御剑web指纹识别,whatweb,webRobo,椰树,轻量web指纹识别等
除了工具以为还可以利用一些在线网站查询CMS指纹识别,
在线网站查询:
BugScaner:http://whatweb.bugscaner.com/look/
云悉指纹:http://www.yunsee.cn/finger.html和whatweb:https://whatweb.net/
5.旁站和C段
旁站和C段扫描
旁站
C段
旁站和C段在线查询地址:
http://www.webscan.cc/ 、 [http://www.5kik.com/]
常用工具:
Web:k8旁站、御剑1.5
端口:portscan
6.整站分析
整站分析
服务器类型,服务器平台,版本等
网站容器,搭建网站的服务组件
列如:IIS,Apache,nginx,tomcat。
脚本类型,Asp,php,jsp,aspx等
数据库类型,mysql,mssql,oracle等
Cms类型,Dedecms(织梦),Discuz,PHPcms,Worspress等。
Waf,阿里云,安全狗,腾讯云,D盾等。