Web滲透信息收集

時間：2023-02-24 20:03:01 | 來源：建站知識

時間：2023-02-24 20:03:01 來源：建站知識

Web滲透信息收集：

知己知彼，百戰(zhàn)不殆。信息收集是滲透測試的重要環(huán)節(jié)之一，是萬里長征第一步，也是勝利會師最重要的一步。攻防皆有道，百戰(zhàn)護山河。每次的攻防比賽讓自己更加認清自己有多菜，也知道信息收集有多重要，所以老生常談又對信息收集進行一遍整理學習，希望對一些朋友有所幫助。

信息收集主要是收集服務器的配置信息和網(wǎng)站的敏感信息，主要包括域名信息、子域名信息、目標網(wǎng)站信息、目標網(wǎng)站真實IP、目錄文件、開放端口和服務、中間件信息、腳本語言等等等。結(jié)合各路大佬的收集經(jīng)驗，菜鳥總結(jié)了8種信息收集的方式，有不足之處，歡迎賜教，歡迎斧正。個人感覺重點是順手的工具、有IP代理池、日常收集的強大的字典、清晰可見的思維導圖和多次的實戰(zhàn)經(jīng)驗。

一 收集域名信息

• 1.whois查詢

whois（讀作“Who is”，非縮寫），標準的互聯(lián)網(wǎng)協(xié)議，是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議。簡單說，就是一個用來查詢域名是否已經(jīng)被注冊，以及注冊域名的詳細信息的數(shù)據(jù)庫（如域名所有人、域名注冊商）。

通過whois來實現(xiàn)對域名信息的查詢。早期的whois查詢多以命令列接口存在，但是現(xiàn)在出現(xiàn)了一些網(wǎng)頁接口簡化的線上查詢工具，可以一次向不同的數(shù)據(jù)庫查詢。網(wǎng)頁接口的查詢工具仍然依賴whois協(xié)議向服務器發(fā)送查詢請求，命令列接口的工具仍然被系統(tǒng)管理員廣泛使用。whois通常使用TCP協(xié)議43端口。每個域名/IP的whois信息由對應的管理機構(gòu)保存。

Whois查詢我們主要關(guān)注的重點是注冊商、注冊人、郵件、DNS解析服務器、注冊人聯(lián)系電話。

目前常見的查詢方法主要是通過站長工具等第三方平臺查詢，當然其實還可以在域名注冊商那查詢已經(jīng)注冊過的域名，例如中國萬網(wǎng)（阿里云）、西部數(shù)碼、新網(wǎng)、納網(wǎng)、中資源、三五互聯(lián)、新網(wǎng)互聯(lián)、美橙互聯(lián)、愛名網(wǎng)、易名網(wǎng)等等。還可以通過自己的注冊代理機構(gòu)查詢。

各大注冊商以及第三方站長工具的域名WHOIS信息查詢地址如下：

中國萬網(wǎng)域名WHOIS信息查詢地址：https://whois.aliyun.com/

西部數(shù)碼域名WHOIS信息查詢地址：https://whois.west.cn/

新網(wǎng)域名WHOIS信息查詢地址：http://whois.xinnet.com/domain/whois/index.jsp

納網(wǎng)域名WHOIS信息查詢地址：http://whois.nawang.cn/

中資源域名WHOIS信息查詢地址：https://www.zzy.cn/domain/whois.html

三五互聯(lián)域名WHOIS信息查詢地址：https://cp.35.com/chinese/whois.php

新網(wǎng)互聯(lián)域名WHOIS信息查詢地址：http://www.dns.com.cn/show/domain/whois/index.do

美橙互聯(lián)域名WHOIS信息查詢地址：https://whois.cndns.com/

愛名網(wǎng)域名WHOIS信息查詢地址：https://www.22.cn/domain/

易名網(wǎng)域名WHOIS信息查詢地址：https://whois.ename.net/

下面是站長工具類第三方查詢地址(部分網(wǎng)站注冊人信息會隱藏或提示聯(lián)系域名注冊商獲取，可以去who.is查詢看看)

Kali的查詢：whois -h 注冊服務器地址 域名

站長工具-站長之家域名WHOIS信息查詢地址：http://whois.chinaz.com/

愛站網(wǎng)域名WHOIS信息查詢地址：https://whois.aizhan.com/

騰訊云域名WHOIS信息查詢地址：https://whois.cloud.tencent.com/

國外的who.is：https://who.is/

微步：https://x.threatbook.cn/

Virus Total:https://www.virustotal.com

還有Kali中自帶的whois查詢、一些集成工具等。

• 2.備案信息查詢

網(wǎng)站備案信息是根據(jù)國家法律法規(guī)規(guī)定，由網(wǎng)站所有者向國家有關(guān)部門申請的備案，是國家信息產(chǎn)業(yè)部對網(wǎng)站的一種管理途徑，是為了防止在網(wǎng)上從事非法網(wǎng)站經(jīng)營活動，當然主要是針對國內(nèi)網(wǎng)站。

備案查詢我們主要關(guān)注的是：單位信息例如名稱、備案編號、網(wǎng)站負責人、法人、電子郵箱、聯(lián)系電話等。

常見查詢備案信息的網(wǎng)站如下：

天眼查：https://www.tianyancha.com/

ICP備案查詢網(wǎng)：http://www.beianbeian.com/

國家企業(yè)信用信息公示系統(tǒng)：http://www.gsxt.gov.cn/index.html

愛站的備案查詢：https://icp.aizhan.com

二 收集子域名

子域名也就是二級域名，是指頂級域名下的域名。收集的子域名越多，我們測試的目標就越多，目標系統(tǒng)滲透成功的機率也越大。主站無懈可擊的時候子域名是一個很好的突破口。常用的方法有4種

• 1 .檢測工具

檢測工具有很多，但重要的是需要日常完善字典，字典強大才是硬道理。常見的有

layer子域名挖掘機、subDomainsBrute、K8、orangescan、DNSRecon、Sublist3r、dnsmaper、wydomain等等，重點推薦layer子域名挖掘機（使用簡單，界面細致）、Sublist3r（列舉多資源下查到的域名）和subDomainsBrute。（遞歸查詢多級域名），此類工具github都有下載地址和使用方法。

鏈接如下：

SubDomainBrute：https://github.com/lijiejie/subDomainsBrute

Sublist3r：https://github.com/aboul3la/Sublist3r

Layer（5.0增強版）：https://pan.baidu.com/s/1Jja4QK5BsAXJ0i0Ax8Ve2Q 密碼:aup5

https://d.chinacycc.com（大佬推薦的說好用的很，但是收費。）

• 2.搜索引擎

可以利用Google、Bing 、shodan和百度這樣的搜索引擎進行搜索查詢（site:www.xxx.com）

Google搜索語法：https://editor.csdn.net/md/?articleId=107244142

Bing搜索語法：https://blog.csdn.net/hansel/article/details/53886828

百度搜索語法：https://www.cnblogs.com/k0xx/p/12794452.html

• 3.第三方聚合應用枚舉

第三方服務聚合了大量的DNS數(shù)據(jù)集，并通過它們來檢索給定域名的子域名。

（1）VirusTotal：https://www.virustotal.com/#/home/search

（2）DNSdumpster：https://dnsdumpster.com/

• 4. SSL證書查詢

SSL/TLS證書通常包含域名、子域名和郵件地址，這些是我們需要獲取的信息，通常CT是CA的一個項目，CA會把每個SSL/TLS證書發(fā)布到公共日志中，查找域名所屬證書的最簡單方法就是使用搜索引擎搜索一些公開CT日志。

主要網(wǎng)站如下：

（1）https://crt.sh/

（2）https://censys.io/

（3）https://developers.facebook.com/tools/ct/

（4）https://google.com/transparencyreport/https/ct/

• 5. 在線網(wǎng)站查詢（使用相對較少了）

（1）https://phpinfo.me/domain/(不可訪問)

（2）http://i.links.cn/subdomain/（不可訪問）

（3）http://dns.aizhan.com

（4）http://z.zcjun.com/（響應很快,推薦）

（5）Github搜索子域名

三 真實IP收集

信息收集工程中IP地址是必不可少的，在域名收集工程中我們已經(jīng)對ip段收集，whois、ping測試、指紋網(wǎng)站都可以探測ip地址，但是很多目標服務器存在CDN，那什么是CDN，如果饒過查找真實IP呢？

CDN的全稱是Content Delivery Network，即內(nèi)容分發(fā)網(wǎng)絡。CDN是構(gòu)建在現(xiàn)有網(wǎng)絡基礎之上的智能虛擬網(wǎng)絡，依靠部署在各地的邊緣服務器，通過中心平臺的負載均衡、內(nèi)容分發(fā)、調(diào)度等功能模塊，使用戶就近獲取所需內(nèi)容，只有在實際數(shù)據(jù)交互時才會從遠程web服務器響應，降低網(wǎng)絡擁塞，提高用戶訪問響應速度和命中率。CDN的關(guān)鍵技術(shù)主要有內(nèi)容存儲和分發(fā)技術(shù)。

確定有無cdn

（1）很簡單，使用各種多地 ping 的服務，查看對應 IP 地址是否唯一，如果不唯一多半是使用了CDN， 多地 Ping 網(wǎng)站有：
http://ping.chinaz.com/
http://ping.aizhan.com/

(2)使用 nslookup 進行檢測，原理同上，如果返回域名解析對應多個 IP 地址多半是使用了 CDN。有 CDN 的示例：

無 CDN 的示例：

繞過cdn的方法有多種，參考鏈接如下：https://www.cnblogs.com/qiudabai/p/9763739.html

提一點的是繞過云cdn，fofa的title搜索（查看源碼獲取title），可以發(fā)現(xiàn)很多cdn 緩存服務器的ip地址，部分cdn緩存服務器經(jīng)過區(qū)域傳送，數(shù)據(jù)庫是同步的，如果可以直接訪問， 即可繞過云waf進行一些掃描、注入等操作。

這里推薦一些c端、旁站的掃描網(wǎng)站和工具：

http://www.webscan.cc/

https://phpinfo.me/bing.php（可能訪問不了）

神器 ： https://github.com/robertdavidgraham/masscan

御劍1.5：https://download.csdn.net/download/peng119925/10722958

C端查詢：IIS PUT Scanner（掃描速度快，自定義端口，有banner信息）

四 端口測試

對網(wǎng)站域名對應的真實IP地址進行端口測試，很多有防護不能大批量掃描和漏洞測試，但是放在云上的網(wǎng)站如果cdn找到真實網(wǎng)站即可大批量掃描。

常見工具就是nmap(功能強大)、masscan、zmap和御劍tcp端口高速掃描工具(較快)，還有一些在線的端口掃描。http://coolaf.com/tool/port、https://tool.lu/portscan/index.html

參考大神的思路：我們可以在收集子域?qū)牡膇p后整理到txt中，然后nmap批量端口掃描、服務爆破和漏洞掃描，前提是不被封禁IP，可采用代理池。

nmap -iL ip.txt --script=auth,vuln > finalscan.txt 掃描導出常見端口和漏洞。

常見端口說明和攻擊方向根據(jù)web攻防這本書整理到個人博客：https://blog.csdn.net/qq_32434307/article/details/107248881

五 網(wǎng)站信息收集

網(wǎng)站信息信息收集主要是：操作系統(tǒng)，中間件，腳本語言，數(shù)據(jù)庫，服務器，web容器、waf、cdn、cms、歷史漏洞、dns區(qū)域傳送等，可以使用以下方法查詢。

常見指紋工具：御劍web指紋識別、輕量級web指紋識別、whatweb等

（1）常見網(wǎng)站信息識別網(wǎng)站：

潮汐指紋：http://finger.tidesec.net/（推薦）

云悉(現(xiàn)在需要邀請碼)：http://www.yunsee.cn/info.html

CMS指紋識別：http://whatweb.bugscaner.com/look/

第三方歷史漏洞庫：烏云、seebug、CNVD等

（2）Waf識別：https://github.com/EnableSecurity/wafw00f

kali上自帶wafw00f，一條命令直接使用。建議最好在kali下使用，windows下的使用很麻煩。Nmap上也包含識別waf指紋的腳本模塊。

（3）Dns區(qū)域傳送漏洞，我們可以通過這個漏洞發(fā)現(xiàn)：

1）網(wǎng)絡的拓撲結(jié)構(gòu)，服務器集中的IP地址段

2）數(shù)據(jù)庫服務器的IP地址，例如上述http://nwpudb2.nwpu.edu.cn

3）測試服務器的IP地址，例如http://test.nwpu.edu.cn

4）VPN服務器地址泄露

5）其他敏感服務器

具體參考鏈接如下：

http://www.lijiejie.com/dns-zone-transfer-1

https://blog.csdn.net/c465869935/article/details/53444117

六 敏感目錄文件收集

攻防測試中探測web目錄和隱藏的敏感文件是很重要環(huán)境，從中可以獲取網(wǎng)站后臺管理頁面、文件上傳界面、備份文件、WEB-INF、robots、svn和源代碼等。

主要通過工具掃描，主要有

（1）御劍（互聯(lián)網(wǎng)有很多字典加強版）

（2）7kbstorm https://github.com/7kbstorm/7kbscan-WebPathBrute

（3）搜索引擎（Google、baidu、bing等），搜索引擎搜索敏感文件也較為常見，一般是這樣：site:http://xxx.xxx filetype:xls。

（4）爬蟲（AWVS、Burpsuite、北極熊等）

（5）BBscan（lijiejie大佬的腳本：https://github.com/lijiejie/BBScastorn ）

（6）凌風云搜索：https://www.lingfengyun.com/（部分用戶可能上傳云盤被在線抓?。?br>
（7）github搜索

七 社會工程學收集

運用社會工程學進行信息收集和物理滲透，在近期

奇安信的“攻守皆有道，百戰(zhàn)護山河”中提及社會工程信息收集和物理滲透是他們重要攻擊途徑之一。

社會工程學是一種通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段；是一種黑客攻擊方法，利用欺騙等手段騙取對方信任，獲取機密情報；是一種利用人性脆弱點、貪婪等等的心理表現(xiàn)進行攻擊。我們可以從社會工作人員和社工庫入手，社工一家公司銷售人、商務人員、門衛(wèi)、前臺人員來獲得個人信息、郵箱、電話、內(nèi)網(wǎng)地址、物理門禁；我們可以欺騙銷售獲得郵箱回復進而獲取內(nèi)網(wǎng)IP及服務器信息，我們可以欺騙客服申請重置密碼、發(fā)送vpn賬戶等。

我們可以通過社工庫查詢一些關(guān)鍵信息。對于很多社工庫來說，存儲達到T，數(shù)據(jù)量達到億級別都是小case。內(nèi)容方面包括帳號密碼、郵箱地址、個人信息等等。

互聯(lián)網(wǎng)社工庫，威力有多大，就看數(shù)據(jù)庫的數(shù)量和質(zhì)量了，理論上達到了一定的量，很多的東西都是可以查的出來的，特別是那些基本所有網(wǎng)站都一個密碼的，只要一個社工庫的收集的其中一個數(shù)據(jù)庫有他的帳號密碼，那么查出來的密碼就可以直接登陸該用戶的其他帳號了。

八 近源信息收集

（1）外接無線網(wǎng)卡主要是用來配合kali破解無線密碼的，現(xiàn)在一般是通過抓握手包然后跑包來破解，還可以通過偽造SSID釣魚、中間人攻擊等等，主要是獲取無線網(wǎng)密碼、網(wǎng)段信息等。

（2）大菠蘿可以捕獲握手包并模仿目標AP。大菠蘿可以完全模仿首選網(wǎng)絡，從而實現(xiàn)中間人攻擊，獲取我們想要的無線網(wǎng)信息，為攻擊目標系統(tǒng)收集信息。

（3）當前電子設備和電路的工作頻率不斷提高，而工作電壓卻逐漸降低，因此對電磁脈沖（EMP）的敏感性和易損性也不斷增加。同時，電子系統(tǒng)中的集成電路對電磁脈沖比較敏感，往往一個較大的電磁脈沖，就會使集成塊產(chǎn)生誤碼、甚至電子元器件失效或燒毀，所以我們可以使用EMP干擾來打開部分電子門禁和電子密碼鎖。如果我們使用EMP無法打開門禁，那我們還有一個方法，但是需要我們稍微靠近一下目標，找合適的機會破解IC卡，或復制ID卡。進而突破門禁，實現(xiàn)物理攻擊和信息收集。

（4）當然我們也可由通過社工獲取指紋信息，拓印出一個跟原指紋一模一樣的指紋膜突破物理門禁、辦公PC指紋識別等。

（5）如果你能接觸到目標主機，那你就可以將鍵盤記錄器接入到主機和鍵盤之間，并配置連接WI-FI，將鍵盤敲擊的數(shù)據(jù)實時傳回遠程服務器。

（6）進入辦公地點或者內(nèi)網(wǎng)之后，可以在內(nèi)網(wǎng)偷偷裝一個PacketSquirrel，作為中間人攻擊工具，PacketSquirrel可以捕獲網(wǎng)絡端點的數(shù)據(jù)包、并且可以使用VPN和反向shell獲得遠程訪問權(quán)限，為攻擊目標系統(tǒng)收集部分信息。

（7） badusb是HID（人機接口）攻擊的一種，也稱為熱插拔攻擊。想象一下，你可以走到一臺計算機上，插入看似無害的USB驅(qū)動器，然后安裝后門，竊聽文檔，竊取相關(guān)密碼.，收集目標系統(tǒng)相關(guān)信息。

近源滲透的攻擊方式還有很多，近源信息收集現(xiàn)在已經(jīng)是攻防訓練中的信息收集方式之一，一些詳細近源攻擊可關(guān)注團隊小伙伴的“物聯(lián)網(wǎng)IOT安全”公眾號。

最后給大家推薦下大神整理的2019年Github上開源的安全滲透攻擊類工具Jihe：https://zhuanlan.zhihu.com/p/53112370