信息搜集
1.系統的信息收集
1.1.CDN
什么是CND?
內容分發式服務
CDN的優勢?
隱藏源主機ip,降低延遲,提高服務響應速度,增加網絡冗余,減小主機服務器壓力。
1.2真實ip查詢
1判斷目標是否使用了CDN
利用在線網站
http://www.17ce.com
http:/ping.chinaz.com/
http:/ping.aizhan.com/
http://ce.cloud.#/
進行全國多地區的ping服務器操作
然后對比每個地區ping出的ip結果,查看這些ip是否一致,如果都是一樣的,極有可能不存在CDN。
如果ip大多不太一樣或者規律性很強,可以嘗試查詢這些ip的歸屬地,判斷是否存在CDN
2.判斷是否存在CDN。使用 nslookup 進行檢測,原理同上,如果返回域名解析對應多個 IP 地址多半是使用了 CDN。
有
CDN
的示例:
nslookup www
.
163.com
服務器:
public1
.
114dns
.
com
Address
:
114.114
.
114.114
非權威應答:
名稱:
163.xdwscache
.
ourglb0
.
com
Addresses
:
58.223
.
164.86
125.75
.
32.252
Aliases
:
www
.
163.com
www
.
163.com
.
lxdns
.
com
無
CDN
的示例:
nslookup xiaix
.
me
服務器:
public1
.
114dns
.
com
Address
:
114.114
.
114.114
非權威應答:
名稱:
xiaix
.
me
Address
:
192.3
.
168.172
0.0
.
0.0
255.255
.
255.255
3.使用各種在線工具幫助檢測目標網站是否使用了CDN
http://www.cdnplanet.com/tools/cdnfinder/
http://www.ipip.net/ip.html
1.3 繞過CDN查找真實ip
1.內部郵件郵件源ip
通過目標網站用戶注冊或者RSS訂閱功能,查看郵件,尋找郵件頭中的郵件服務器域名IP,ping郵件服務器的域名,就可以獲得目標的真實ip,注意:,必須是目標自己的郵件服務器,第三方或者公共郵件服務器是沒有用的。
以qq郵箱為列:
2.網站漏洞查找
1)目標敏感文件泄露,例如:phpinfo之類的探針、GitHub信息泄露等。
2)XSS盲打,命令執行反彈shell,SSRF等。
3)無論是用社工還是其他手段,拿到了目標網站管理員在CDN的賬號,從而在從CDN的配置中找到網站的真實IP。
3.查詢子域名
由于目標服務可能在主站上做好了相應的CDN,但是由于種種原因二級域名沒有做,這時我們可以從這個方面入手進行查詢。
1)微步在線(https://x.threatbook.cn/)
2)Dnsdb查詢法。(https://dnsdb.io/zh-cn/)黑客只需輸入baidu.com type:A就能收集百度的子域名和ip了
3)Google 搜索Google site:baidu.com -www就能查看除www外的子域名,
4.國外訪問
代理網站App Synthetic Monitor(https://asm.ca.com/en/ping.php)
5.查詢域名的解析記錄:
查看 IP 與 域名綁定的歷史記錄,可能會存在使用 CDN 前的記錄,相關查詢網站有:https://dnsdb.io/zh-cn/ ###DNS查詢
https://x.threatbook.cn/ ###微步在線
http://toolbar.netcraft.com/site_report?url= ###在線域名信息查詢
http://viewdns.info/ ###DNS、IP等查詢
https://tools.ipip.net/cdn.php ###CDN查詢IP,也可以大致分析出目標的真實IP段。
利用SecurityTrails平臺,攻擊者就可以精準的找到真實原始IP。他們只需在搜索字段中輸入網站域名,然后按Enter鍵即可,這時“歷史數據”就可以在左側的菜單中找到。
如何尋找隱藏在CloudFlare或TOR背后的真實原始IP
除了過去的DNS記錄,即使是當前的記錄也可能泄漏原始服務器IP。例如,MX記錄是一種常見的查找IP的方式。如果網站在與web相同的服務器和IP上托管自己的郵件服務器,那么原始服務器IP將在MX記錄中。
6.App
如果目標網絡站有自己的App 可以嘗試通過利用fiddler或Burp Suite抓取App的請求,從里面找到目標的真實ip
7.網絡空間引擎搜索法
常見的有以前的鐘馗之眼,shodan,fofa搜索。以fofa為例,只需輸入:title:“網站的title關鍵字”或者body:“網站的body特征”就可以找出fofa收錄的有這些關鍵字的ip域名,很多時候能獲取網站的真實ip,
8.繞過CloudFlare CDN查找真實ip:
在線網站查詢cloud Flarewatch (http://www.crimeflare.us/cfs.xhrml#box)(需要翻墻)
1.3驗證ip
借助工具批量掃描對應ip段所有開了的80,443,8080端口的ip,
如借助工具:
然后逐個嘗試ip訪問,觀察相應是否為目標站點。
1.4操作系統判斷
1.通過大小寫的敏感字
1.判斷是Linux還是Windows最簡單就是通過ping來探測,Windows的TTL值都是一般是128,Linux則是64。所以大于100的肯定是Windows,而幾十的肯定是Linux。
2.Windows大小寫不敏感,Linux大小寫敏感。
表現如www.xxxx.com/index.php和www.xxxx.com/index.phP打開的一樣就說明是Windows
2.對服務器進行掃描:
Nmap -O
1.5 主機掃描及端口信息
1.NMAP
對端口進行掃描
掃描某一目標地址的指定端口如:21,22,23,80 端口
如果不需要對目標主機進行全端口掃描,只想探測它是否開放了某一端口,那么使用-p參數指定端口號,將大大提升掃描速度。
nmap192.168.0.100-p21,22,23,80
目標地址的操作系統指紋識別
nmap-O192.168.0.105
目標地址提供的服務版本檢測
map-sV192.168.0.100
探測防火墻狀態
利用FIN掃描的方式探測防火墻的狀
nmap-sF-T4192.168.0.100z
FIN掃描用于識別端口是否關閉,收到RST回復說明該端口關閉,否則就是open或filtered狀態
2.無狀態的掃描工具:
Masscan (可以掃描全網)
使用方法
masscan -p0-65535 28.41.0.0/16 --banners --rate 100000000
masscan --ping 28.41.0.0/16 --rate 1000000 #主機存活
默認情況下,Masscan掃描速度為每秒100個數據包
Zmap
kali安裝命令:
sudo apt install zmap
默認情況下,ZMap會對于指定端口實施盡可能大速率的TCP SYN掃描。較為保守的情況下,對10,000個隨機的地址的80端口以10Mbps的速度掃描,如下所示:
zmap--bandwidth=10M--target-port=80--max-targets=10000--output-file=results.csv
或者更加簡潔地寫成:
$ zmap-B10M-p80-n10000-o results.csv
ZMap也可用于掃描特定子網或CIDR地址塊。例如,僅掃描10.0.0.0/8和192.168.0.0/16的80端口,運行指令如下:
zmap-p80-o results.csv10.0.0.0/8192.168.0.0/16
如果掃描進行的順利,ZMap會每秒輸出類似以下內容的狀態更新:
0%(1h51mleft);send:28777562Kp/s(560Kp/s avg);recv:1192248p/s(231p/s avg);hits:0.04%0%(1h51mleft);send:34320554Kp/s(559Kp/s avg);recv:1442249p/s(234p/s avg);hits:0.04%0%(1h50mleft);send:39676535Kp/s(555Kp/s avg);recv:1663220p/s(232p/s avg);hits:0.04%0%(1h50mleft);send:45372570Kp/s(557Kp/s avg);recv:1890226p/s(232p/s avg);hits:0.04%
這些更新信息提供了掃描的即時狀態并表示成:
完成進度%(剩余時間);send:發出包的數量即時速率(平均發送速率);recv:接收包的數量接收率(平均接收率);hits:命中率
如果您不知道您所在網絡能支持的掃描速率,您可能要嘗試不同的掃描速率和帶寬限制直到掃描效果開始下降,借此找出當前網絡能夠支持的最快速度。
3.御劍高速TCP端口掃描
https://github.com/foryujian/yujianportscan 解壓密碼:1
2.web信息搜集
1.Whois查詢
站長之家,VirusTotal等
查詢域名的相關信息,如域名服務商,域名擁有者,及郵箱,電話,地址等。
2.備案信息查詢
Icp備案查詢網:http://www.beianbeian.com
天眼查:http://www.tianyancha.com
3.搜集敏感信息
搜集敏感目錄文件的目的
在滲透測試中,探測Web目錄結構和隱藏的敏感文件是一個必不可少的環節,
從中可以獲取網站的后臺管理頁面、文件上傳頁面、甚至可以掃描出網站的源代碼。
3.1收集方向:
后臺目錄:弱口令,萬能密碼,爆破
安裝包:獲取數據庫信息,甚至是網站源碼
上傳目錄:截斷、上傳圖片馬等
mysql管理接口:弱口令、爆破,萬能密碼,然后脫褲,甚至是拿到shell
安裝頁面 :可以二次安裝進而繞過
phpinfo:會把你配置的各種信息暴露出來
編輯器:fck、ke、等
iis短文件利用:條件比較苛刻 windows、apache等
robots.txt文件
3.2探測目標網站后臺目錄的工具有:
字典爆破:kali環境下的dirb如:dirb http://192.168.200.113
對目標網站進行目錄掃描:DirBuster、 wwwscan 、御劍后臺、Webdirscan等
蜘蛛爬行:Burp、OWASP ZAP、AWVS等
在線工具站:[webscan][http://www.webscan.cc/]
- 3 Google hacking
Google Hack常用語法:
site:可限制你搜索范圍的域名
inurl:用于搜索網頁上包含的URL,這個語法對尋找網頁上的搜索,幫助之類的很有用
intext: 只搜索網頁部分中包含的文字(也就是忽略了標題、URL等的文字)
filetype:搜索文件的后綴或者擴展名
intitle:限制你搜索的網頁標題
link: 可以得到一個所有包含了某個指定URL的頁面列表
info:查找指定站點的一些基本信息
cache:搜索Google里關于某些內容的緩存
查找后臺地址:site:域名 inurl:login|admin|manage|member|adminlogin|loginadmin|system|login|user|main|cms
查找文本內容:site:域名 intext:管理|后臺|登陸|用戶名|密碼|驗證碼|系統|帳號|admin|login|sys|managetem|password|username
查找可注入點:site:域名 inurl:aspx|jsp|php|asp
查找上傳漏洞:site:域名 inurl:file|load|editor|Files找eweb
編輯器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
存在的數據庫:site:域名 filetype:mdb|asp|#
查看腳本類型:site:域名 filetype:asp/aspx/php/jsp
迂回策略入侵:inurl:cms/data/templates/images/index/
列:嘗試搜索一些學校網站的后臺,語法為:”site:edu.cn intext: 后臺管理”
意思為搜索網頁正文中包含有“后臺管理” 并且域名后綴是edu.cn的網站,
3.4.網絡空間搜索引擎:
鐘馗之眼www.zoomeye.com。
傻蛋www.oshadan.com(使用)
聯網設備搜索引擎可以檢索到許多搜索引擎不收錄的頁面,通常是后臺等頁面。
構造檢索關鍵詞時:
系統/后臺類,可以搜索“xxx系統/平臺/管理”。
企業類,可以搜索“xxx企業/公司/平臺”。
比如我們要挖電信的系統,可以搜索“電信系統/平臺/管理”。
4.指紋識別
指紋識別
常見的CMS有:
Dedecms (織夢),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,
Dvbbs,SiteWeaver,ASPCMS,帝國,Z-Blog,WordPress等。
掃描工具:御劍web指紋識別,whatweb,webRobo,椰樹,輕量web指紋識別等
除了工具以為還可以利用一些在線網站查詢CMS指紋識別,
在線網站查詢:
BugScaner:http://whatweb.bugscaner.com/look/
云悉指紋:http://www.yunsee.cn/finger.html和whatweb:https://whatweb.net/
5.旁站和C段
旁站和C段掃描
旁站
C段
旁站和C段在線查詢地址:
http://www.webscan.cc/ 、 [http://www.5kik.com/]
常用工具:
Web:k8旁站、御劍1.5
端口:portscan
6.整站分析
整站分析
服務器類型,服務器平臺,版本等
網站容器,搭建網站的服務組件
列如:IIS,Apache,nginx,tomcat。
腳本類型,Asp,php,jsp,aspx等
數據庫類型,mysql,mssql,oracle等
Cms類型,Dedecms(織夢),Discuz,PHPcms,Worspress等。
Waf,阿里云,安全狗,騰訊云,D盾等。
