渗透测试：信息收集

1.渗透测试：信息收集

1.1收集域名信息

获取域名注册信息，DNS服务器信息，注册人联系方式等。

1）whois查询

（1）whois 域名

（2）爱站网：https://whois.aizhan.com

2）DNS枚举工具DNSenum

输出信息详细显示了DNS服务的信息，包括主机地址、域名服务地址和邮件地址、以及区域传输。

3）备案信息

（1）ICP备案查询：

https://icp.aizhan.com

www.beianbeian.com

（2）天眼查：www.tianyancha.com

1.2收集敏感信息

1）谷歌

Google常用语法：

site: 指定域名

inurl:url中存在关键字的网页

intext:网页正文中的关键字

Filetype:指定文件类型

Intitle:网页标题中的关键字

info：查询指定站点的一些基本信息

cache:搜索google里关于某些内容的缓存

例如，我们要搜素一些学校网站的后台：site:edu.cn intext:后台管理

2）其他

利用Burp Suite的Repeater功能获取服务器信息，利用GitHub寻找敏感信息，robots.txt等。

1.3收集子域名信息

子域名即二级域名，指的是顶级域名下的域名。如果目标网络规模较大，我们从子域名进行迂回接近真实目标，这无疑是明智之举。

1）Layer子域名挖掘机

2）fierce

fierce主要用来对子域名进行扫描和信息收集。

3）证书透明度公开日志枚举

证书授权机构会将每一个SSL/TLS证书发布到公开日志中。它通常包含域名、子域名、邮件地址。如：https://crt.sh。

1.4收集端口信息

收集端口信息的常用工具是Nmap、御剑高速TCP全端口扫描工具。

1）Nmap识别活跃的主机

（1）查看主机是否在线

（2）扫描整个C段

2）Nmap查看打开的端口

（1）查看目标主机开放的端口

（2）指定端口范围

连续的多个端口使用“-”，不连续的多个端口使用“，”隔开。

（3）指定端口的所有主机

扫描局域网内所有开放445端口的主机。

把信息保存到文件

1.5指纹识别

1）CMS指纹识别

常见的CMS：织梦(Dedecms)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、ASPCMS、帝国、WordPress等。

推荐：御剑WEB指纹识别

2）目标地址的操作系统指纹识别

可以看到端口、MAC地址、操作系统版本。

3）目标地址提供的服务版本识别

服务指纹信息包括服务端口、服务名、版本等信息。使用nmap查看目标主机上正在运行的端口和服务。

1.6查找真实IP

1）CDN

现在很多大网站都使用CDN加速访问，这样我们得到的IP就不一定是真实IP，所以需要绕过CDN寻找网站的真实IP。

CDN指的是内容分发网络，主要解决的是因传输距离和不同运营商节点造成的网络速度性能低下的问题。也就是一组在不同运营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态数据资源直接缓存到节点服务器上，当用户再次请求时，会直接分发到离用户近的节点服务器上响应给用户，当用户有实际数据交互时才会从远程Web服务器上响应，从而大大提高了网站的响应速度和用户体验。

2）判断目标是否使用CDN

通过一些网站进行全国多地点ping服务器操作，来对比结果，进行判定。http://ping.chinaz.com

3）寻找真实IP

（1）ping方法

现在很多CDN厂商只要求把www. xxx .com做cdn。所以可以直接：

ping  xxx.com

（2）分站域名

主站访问量大，所以挂CDN，但是分站可能没有。所以可以通过ping二级域名来获取分站IP，虽然可能和主站IP不一样，但是这可以判断目标的真实IP段。

（3）查询域名解析记录。

（4）内部邮箱源

一般邮件系统在内部，没有经过CDN，所以通过用户注册或者RSS订阅功能，查看邮件服务器域名IP。

（5）nslookup

使用国外dns服务器查询域名：nslookup  xxx.com  国外dns

国外可用的一部分DNS服务器：

208.67.222.222，208.67.220.220，216.146.35.35，216.146.36.36，

156.154.70.1， 156.154.71.1。

（6）国外访问。

（7）抓取APP请求。

4）验证真实IP

对于web来说，最简单的验证方法是直接尝试用IP访问，看响应的页面是否和访问域名返回的一样。

1.7收集敏感目录

针对网站目录的扫描工具，这里主要使用DirBuster、wwwscan。

1）wwwscan

（1）帮助

wwwscan.exe [Options]:

-p port : set http/https port

-m thread : set max thread

-t timeout : tcp timeout in seconds

-r rootpath : set root path to scan

-ssl : will use ssl

wwwscan.exe www.target.com -p 8080 -m 10 -t 16

wwwscan.exe www.target.com -r "/test/" -p 80

wwwscan.exe www.target.com –ssl

（2）案例

wwwscan.exe www.baidu.com -p 80 -m 10

2）DirBuster

DirBuster是OWASP开发的一款基于Java编写、专门用于扫描Web服务器目录的隐藏文件。

Target URL输入目标网址、请求方式设置为Auto Switch、线程数量依据电脑配置、使用字典则选择List based brute force、注意Select starting options选择URL Fuzz方式，在URL to fuzz里输入“/{dir}”，这里的{dir}是一个变量，表示字典中的每一行。

1.8社会工程学

充分的利用社会工程学，在渗透测试中起着不小的作用。