信息收集
1.简介
渗透的本质是信息收集,信息收集也叫做资产收集。
信息收集是渗透测试的前期主要工作,是非常重要的环节,收集足够多的信息才能方便接下来的测试,信息收集主要是收集网站的域名信息、子域名信息、目标网站信息、目标网站真实IP、敏感/目录文件、开放端口和中间件信息等。通过各种渠道和手段尽可能收集到多的关于这个站点的信息,有助于我们更多的去找到渗透点,突破口。
2.分类
(1)服务器的相关信息(真实ip,系统类型,版本,开放端口,WAF等)
(2)网站指纹识别(包括cms,cdn,证书等) dns记录
(3)whois信息,姓名,备案,邮箱,电话反查(邮箱丢社工库,社工准备等)
(4)子域名收集,旁站,C段等
(5)google,hacking针对化搜索,word/电子表格/pdf文件,中间件版本,弱口令扫描等
(6)扫描网站目录结构,爆后台,网站banner,测试文件,备份等敏感文件泄漏等
(7)传输协议,通用漏洞,exp,github源码等
3.常见方法
(1)whois查询
域名在注册的时候,需要填入个人或者企业信息,如果没有设置隐藏属性可以查询出来,通过备案号查询个人或者企业信息,也可以whois反查注册人、邮箱、电话、机构等,反查更多的域名和需要的信息。
(2)收集子域名
域名分为根域名和子域名
moonsec.com 根域名 顶级域名
www.moonsec.com 子域名 也叫二级域名
www.wiki.moonsec.com 子域名 也叫三级域名 四级如此类推
(3)端口扫描
服务器需要开放服务,就必须开启端口,常见的端口是 tcp 和 udp 两种类型,范围 0-65535 ,通过扫得到的端口,访问服务,规划下一步渗透。
(4)查找真实ip
企业的网站,为了提高访问速度,或者避免黑客攻击,用了cdn服务,用了cdn之后真实服务器ip会被隐藏。
(5)探测旁站及C段
旁站:一个服务器上有多个网站,通过ip查询服务器上的网站。
C段:查找同一个段、服务器上的网站。可以找到同样网站的类型和服务器,也可以获取同段服务器进行下一步渗透。
(6)网络空间搜索引擎
通过这些引擎查找网站或者服务器的信息,进行下一步渗透。
(7)扫描敏感目录/文件
通过扫描目录和文件,大致了解网站的结构,获取突破点,比如后台,文件备份,上传点。
(8)指纹识别
获取网站的版本,属于那些cms管理系统,查找漏洞exp,下载cms进行代码审计。
4.在线whois查询
通过whois来对域名信息进行查询,可以查到注册商、注册人、邮箱、DNS解析服务器、注册人联系电话等,因为有些网站信息查得到,有些网站信息查不到,所以推荐以下信息比较全的查询网站,直接输入目标站点即可查询到相关信息。
站长之家域名WHOIS信息查询地址 http://whois.chinaz.com/
爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/
腾讯云域名WHOIS信息查询地址 https://whois.cloud.tencent.com/
美橙互联域名WHOIS信息查询地址 https://whois.cndns.com/
爱名网域名WHOIS信息查询地址 https://www.22.cn/domain/
易名网域名WHOIS信息查询地址 https://whois.ename.net/
中国万网域名WHOIS信息查询地址 https://whois.aliyun.com/
西部数码域名WHOIS信息查询地址 https://whois.west.cn/
纳网域名WHOIS信息查询地址 http://whois.nawang.cn/
中资源域名WHOIS信息查询地址 https://www.zzy.cn/domain/whois.html
三五互联域名WHOIS信息查询地址 https://cp.35.com/chinese/whois.php
新网域名WHOIS信息查询地址 http://whois.xinnet.com/domain/whois/index.jsp
新网互联域名WHOIS信息查询地址 http://www.dns.com.cn/show/domain/whois/index.do
国外WHOIS信息查询地址 https://who.is/
5.在线网站备案查询
网站备案信息是根据国家法律法规规定,由网站所有者向国家有关部门申请的备案,如果需要查询企业备案信息(单位名称、备案编号、网站负责人、电子邮箱、联系电话、法人等),推荐以下网站即可查询到相关信息。
天眼查 https://www.tianyancha.com/
ICP备案查询网 http://www.beianbeian.com/
爱站备案查询 https://icp.aizhan.com/
域名助手备案信息查询 http://cha.fute.com/index
6.收集子域名
收集子域名可以扩大测试范围,同一域名下的二级域名都属于目标范围。
6.1常用方式
子域名中的常见资产类型一般包括办公系统,邮箱系统,论坛,商城,其他管理系统,网站管理后台也有可能出现子域名中。
首先找到目标站点,在官网中可能会找到相关资产(多为办公系统,邮箱系统等),关注一下页面底部,也许有管理后台等收获。
查找目标域名信息的方法有:
FOFA title="公司名称"
百度 intitle=公司名称
Google intitle=公司名称
钟馗之眼 site=域名 https://www.zoomeye.org/
站长之家 直接搜索名称或者网站域名即可查看相关信息 http://tool.chinaz.com/
6.2域名类型
A (Address) 记录
是用来指定主机名(或域名)对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置域名的二级域名。
别名(CNAME)记录
也被称为规范名字。这种记录允许将多个名字映射到同一台计算机。通常用于同时提供WWW和MAIL服务的计算机。例如,有一台计算机名为“host.mydomain.com”(A记录)。它同时提供WWW和MAIL服务,为了便于用户访问服务。可以为该计算机设置两个别名(CNAME):WWW和MAIL。这两个别名的全称就是“www.mydomain.com”和“mail.mydomain.com”。实际上他们都指向“host.mydomain.com”。同样的方法可以用于拥有多个域名需要指向同一服务器IP,此时就可以将一个域名做A记录指向服务器IP然后将其他的域名做别名到之前做A记录的域名上,那么当服务器IP地址变更时就可以不必麻烦的一个一个域名更改指向了,只需要更改做A记录的那个域名其他做别名的那些域名的指向也将自动更改到新的IP地址上了。
MX(Mail Exchanger)记录
是邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。例如,当Internet上的某用户要发一封信给 [email protected] 时,该用户的邮件系统通过DNS查找mydomain.com这个域名的MX记录,如果MX记录存在, 用户计算机就将邮件发送到MX记录所指定的邮件服务器上。
TXT记录
一般指为某个主机名或域名设置的说明,如:
(1)admin IN TXT "jack, mobile:138xxx138"
(2)mail IN TXT "邮件主机, 存放在xxx ,管理人:AAA",Jim IN TXT "contact: [email protected]"
NS(Name Server)记录
是一种域名服务器记录,用来明确当前的域名是由哪个DNS服务器来进行解析的。