信息收集

5、后台构造2、手动尝试3、网页下方可能会有“后台登录”的链接4、通过搜索引擎5、观察是否是常见CMS或框架使用对应的默认路径尝试6、社工的方式。

#常用工具

7、真实ip和CDN1、使用多地ping的工具2、查询子域名3、网络空间引擎搜索法4、内部邮件源ip5、查询DNS历史解析记录

8、端口扫描#常用工具

9、识别服务器类型1、用NMAP探测操作系统2、使用ping命令3、利用URL大小写来区分系统类型

11、其他资产收集1、手机端收集资产2、搜索工具3、直接查看页面源代码4、社会工程5、威胁情报收集网站

五、总结

Ga***ring信息收集是指通过各种方式获取所需要的信息。

渗透的本质是信息搜集而信息搜集整理为后续的情报跟进提供了强大的保证。

1、准确性原则

该原则要求所收集到的信息要真实可靠。

信息收集者就必须对收集到的信息反复核实不断检验力求把误差减少到最低限度。

2、全面性原则

该原则要求所搜集到的信息要广泛全面完整。

只有广泛、全面地搜集信息才能完整地反映管理活动和决策对象发展的全貌为决策的科学性提供保障。

当然实际所收集到的信息不可能做到绝对的全面完整因此如何在不完整、不完备的信息下做出科学的决策就是一个非常值得探讨的问题。

3、时效性原则

信息的利用价值取决于该信息是否能及时地提供即它的时效性。

信息只有及时、迅速地提供给它的使用者才能有效地发挥作用。

特别是决策对信息的要求是“事前”的消息和情报。

1.主动信息收集

主动的信息收集方式通过直接访问、扫描网站这种将流量流经网站的行为与目标系统产生直接交互。

但是这样会在目标系统日志留下痕迹。

2.被动信息收集

被动信息收集指的是通过公开渠道可获得的信息与目标系统不产生直接交互尽量避免留下一切痕迹的信息探测。

被动信息收集不会在日志中留下痕迹。

四、资产探测

查询域名的IP以及所有者等信息的传输协议通过Whois查询可以获取网站所有者的手机号码、姓名、邮箱、域名注册商等信息。

#常用网站

中国互联网信息中心http://ipwhois.cnnic.net.cn/index.jsp

2、备案信息查询

ICP备案查询网https://beian.miit.gov.cn/#/Integrated/recordQuery

3、DNS查询

DNS它作为将域名和IP地址相互映射的一个分布式数据库能够使人更方便地访问互联网。

#常用网站

站长工具http://tool.chinaz.com/dns/

4、子域名收集

子域名是顶级域名一级域名或父域名的下一级域名整体包括两个“.”或包括一个“.”和一个“/”。

#常用网站

站长工具http://tool.chinaz.com/subdomain/

千寻https://www.dnsscan.cn/dns.html

子域名爆破-子成君提供zcjun.com

假如看到页面有出现404或者403的情况不用慌尝试下其他目录例如看到链接vat.xxx.com开局404。

不用慌说不定vat.xxx.com/vat/下面别有天地。

2、手动尝试

搜一些后台内可能出现的内容的关键字看看是否存在能直接打开该页面若能打开恭喜发现一个越权若打不开可能直接弹到管理员登录界面。

根据网站的归属、公司名称、外包公司名称等拼接后台地址比如baidu

baiduadmin、qqadmin、baidu/amdin、qq/admin

#常用工具

指纹识别意思是可以可以查询到url地址、域名信息、子域名、旁站、C段、https信息。

通过识别目标网站所使用的操作系统、CMS、服务器与中间件信息等。

从而查找历史存在的漏洞。

C段指的是同一内网段内的其他服务器每个IP有ABCD四个段举个例子192.168.0.1A段就是192B段是168C段是0D段是1而C段嗅探的意思就是拿下它同一C段中的其中一台服务器也就是说是D段1-255中的一台服务器然后利用工具嗅探拿下该服务器。

举例我的目标是10.10.10.110这台服务器但我拿不下这时后发现存在10.10.10.111的服务器那么我就可以尝试直接拿下10.10.10.111这台服务器再利用10.10.10.111作为跳板去拿下10.10.10.110这台服务器。

旁站指的是同一服务器上的其他网站很多时候有些网站可能不是那么容易入侵。

那么可以查看该网站所在的服务器上是否还有其他网站。

如果有其他网站的话可以先拿下其他网站的webshell然后再提权拿到服务器的权限最后就自然可以拿下该网站了

study下我在8000端口有一个网站在8001端口下有另一个网站现在我要获取8000端口的网站里面的目标flag打不进去那我可以尝试攻击8001端口下的网站拿到该服务器的权限然后再去获取8000端口的网站里面的目标flag。

#常用工具

站长之家超级pinghttp://ping.chinaz.com/http://ping.aizhan.com/http://ce.cloud.360.cn/

2、查询子域名

因为CDN并不便宜很多网站管理员可能只会对主站或者流量大的子站点做了

CDN而很多小站、子站点又跟主站在同一台服务器或者同一个C段内此时就可以通过查询子域名对应的

3、网络空间引擎搜索法

常见的有以前的钟馗之眼shodanfofa搜索。

以fofa为例只需输入

就可以找出fofa收录的有这些关键字的ip域名很多时候能获取网站的真实ip

4、内部邮件源ip

通过目标网站用户注册或者RSS订阅功能查看邮件寻找邮件头中的邮件服务器域名IPping邮件服务器的域名就可以获得目标的真实ip,注意必须是目标自己的邮件服务器第三方或者公共邮件服务器是没有用的。

5、查询DNS历史解析记录

查看最早的历史解析记录因为很多网站在最开始的时候并没有形成安全意识没有使用CDN的。

8、端口扫描

端口扫描默认只会扫描2000个端口如果想扫描所有的端口就需要设置

9、识别服务器类型

主要看TTL最大生存时间的数值Linux默认是64windows默认是128。

3、利用URL大小写来区分系统类型

点击下面这个位置可以查看到网站的证书是由哪个机构颁发的。

这就可以通过查看证书然后再再FOFA之类的搜索引擎去搜索相同的证书颁发机构来寻找其他的资产。

举一反三假如看到一个大企业的网站出现证书不安全的提示那这个就极有可能是一个钓鱼网站。

#常用网站

FoFa鹰图https://search.censys.io/https://srt.sh

11、其他资产收集

假如要抓包手机应用一般会使用Proxifier工具该工具的功能是管控你的电脑让你的电脑所有程序强制从你指定的端口出入。

2、搜索工具

天眼查控股51以上小蓝本www.xiaolanben.comGithub因为总有一些粗心的程序员把自己公司网站的开发源码直接放到上面去里面甚至有管理员的账号密码。

3、直接查看页面源代码

我们可以直接查看JS文件查看其他的目录URL链接或者JS文件里面是否有泄露一些接口参数。

Burp上面有一款插件叫做BurpJSLinkFinder的插件该款插件需要导入jython.jar依赖包。

4、社会工程

关注内部群、员工和客服。

打入内部群往往能获取一手资料当然往往客服、内部员工也能提供很多有关于产品的

伪装成客户向客服要一些产品介绍文件里面说不定就有网站的重要参数泄露。

5、威胁情报收集网站

360https://ti.360.cn/#/homepage微步在线https://x.threatbook.cn/钟馗之眼https://www.zoomeye.org/奇安信鹰图搜索病毒总数https://www.virustotal.com/gui/home/search漏洞平台https://www.shentoushi.top/

五、总结

在渗透测试中信息收集是比较枯燥乏味的一项工作任务但也是一项很重要的工作所收集的信息能直接影响到下一步的渗透思路及效果所以一定要有耐心和准备好持续长期地完成这一项工作任务。