信息收集

• 域名信息

  • whois

    查询域名是否已经被注册，以及注册域名的详细信息的数据库

    不同域名后缀的信息需要到不同 whois 数据库查询

    通过工信部备案查询也可得到负责人信息，对于中小网站来说，网站负责人往往就是管理员

• 子域名收集

  • maltego CE 做子域名收集
  • 搜索引擎 site:xxx.com
  • 第三方网站查询
  • 证书透明度公开日志枚举

• web 站点信息收集

  • CMS 指纹识别

    CMS 内容管理系统，利用不同的结构命名规则和特定文件内容可以得到 CMS 站点的具体软件和版本

    • 识别工具

      在线识别

    • 对应网站查询指定漏洞

  • web 目录结构和敏感隐藏文件探测

    kali自带的 `dirbuster`

- `wordpress` 测试

    可以理解为一种独特的 `CMS` ，可以在kali里用 `whatweb [website]` 进行探测

    当然，上面的在线识别网站也可以用.

• 端口信息收集

  • 端口扫描

    netstat -anbo windows查看已开放端口

    nmap -A -v -T4 -Pn [target IP]

    masscan 扫描

    在线网站扫描

  • 端口攻击

    $$\begin{array}{|c|c|c|} \hline port & 端口说明 & 攻击方法 \\ \hline 22 & ssh 远程连接 & 爆破，ssh隧道急内网代理转发，文件传输 \\ \hline 23 & telnet远程连接 & 爆破，嗅探，弱口令 \\ \hline 3389 & rdp远程桌面 & shift后门，爆破 \\ \hline 5900 & vnc远程连接 & 弱口令,rce \\ \hline 5632 & PcAnywhere远程连接 & 嗅探，代码执行 \\ \hline \end{array}$$

• 敏感信息收集

  搜索目标暴露在互联网上的关联信息，如数据库信息，服务器配置，sql注入，甚至通过 git 找到源代码，redis 授权未访问，robot.txt 等信息

  所以在技术渗透前应多加进行信息收集

  • google hack

    借助搜索引擎对特定网络主机漏洞（通常是服务器的脚本漏洞）进行搜索，

    $$\begin{array}{|c|c|} \hline 函数 & 含义 \\ \hline site & 指定域名 \\ \hline inurl & 网站url中关键词\\ \hline intext & 内容中关键词 \\ \hline filetype & 文件类型 \\ \hline intitle & 标题中关键词 \\ \hline link & 指定与改网页做外链的站点 \\ \hline info & 搜索指定网站信息 \\ \hline \end{array}$$

    googlem hack数据库

  • http 响应搜集 server 信息

    通过 http(s) 与站点沟通时，目标响应报文的 server 头和 X-power-by 头会暴露目标服务器和使用的编程语言信息

    • 获取响应

      • 浏览器审计，burp 截获

      • 借助 requests库 使用python 脚本

        import requests
        r=requests.get('[target]')
        print(r.headers)

• 真实 IP 泄露

  CDN 即内容分发网络，请求时直接从当地的高速缓冲服务器中获取，只有交互时才与网站服务器连接

  • 判断存在

    • ping 命令
    • 在线 ping 网站

  • 获得 IP

    • 无 CDN

      直接 ping ，或者利用在线网站

    • 有 CDN

      • 网站的 php.info
      • 找到内部邮箱源，收集内部邮箱服务器的 IP 地址
      • 尝试分站或者子站，CDN 可能不包含
      • 利用国外网站，公司可能并未架设外国 CDN
      • 查询域名解析记录

  • 验证 IP 地址

    直接访问所得到的 IP ，查看网页栏前是否有 logo ，以及是否有报错

• shodan 信息收集

  shodan host [IP] 查询对应ip的信息
  shodan myip 获取自身外部ip
  shodan honeyscore [IP] 检测蜜罐