web安全***学习笔记第一章：***测试之信息收集

1. whois查询

   在线Whois查询的常用网站有
   爰站工具网(https: //whois.aizhan.com)、
   站长之家(http://whois.chinaz.com)
   VirusTotal (https: // www.virustotal.com)
   通过这些网站可以查询域名的相关信息，如域名服务商、域 名拥有者，以及他们的邮箱、电话、地址等。

2. 备案信息查询
   ICP备案查询网：http://www.beianbeian.como
   天眼查：http://www.tianyancha.como

3. 收集敏感信息

   Google是世界上最强的捜索弓摩之一，对一位***测试者而言，它可能是一 款绝佳的***工具。我们可以通过构造特殊的关键字语法来搜索互联网上的相关敏感信息。下面列举了一些Google的常用语法及其说明，如表

   

4. 收集子域名信息

   |3. 1.子域名检测工具，Layer子域名挖掘机、Sublist3r和subDomainsBrute |
   |3. 2.收索引擎枚举 |
   |3. 3.第三方聚合应用枚举 |
   |3. 4.证书透明度(CT)公开日志枚举 |
   证书透明度(Certificate Transparency, CT)是证书授权机构(CA)的一 个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通 常包含域名、子域名和邮件地址，这些也经常成为***者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
   笔者推荐crt.sh: https: //crt.sh和censys: https: //censys.io这两个网站
   此外，读者还可以用一些在线网站查询子域名，如子域名爆破网站(https: //phpinfo.me/domain) , IP反查绑定域名网站(http:// dns.aizhan.com)等。

   |3.5.收集常用端口信息
   在测试的过程中，对端口信息的收集是—很重要的过程，通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务，就可以对症下药，便于我们目标服务器。
   所以在端口***信息的收集程中，我们需要关注常见应用的默认端口和在端口上运行的服务。最常见的扫描工具就是Nmap ,无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具，如图
   

       常见的端口及其说明，以及***方向汇总如下：

   

4.指纹识别

• 指纹由于其终身不变性、唯一性和方便性，几乎已成为生物特征识别的代名词。通常我们说的指纹就是人的手指末端正面皮肤上凸凹不平的纹线，纹线规律地排列形成不同的纹型。而本节所讲的指纹是指网站CMS指纹识别、计算机操作系统及Web容器的指纹识别等。
• 应用程序一般在html、js、css等文件中多多少少会包含一些特征码， 比如WordPress在robot.xt中会包含wp-admn、首页indx php中会包含generator-wordpress 3.x， 这个特征就是这个CMS的指纹， 那么当碰到其他网站也存在此特征时， 就可以快速识别出该CMS， 所以叫作指纹识别。
• 在测试中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CMS， 才能查找与其相关的漏洞， 然后才能进行相应的操作。CMS(Content Management System) 又称整站系统或文章系统。在2004年以前，如果想进行网站内容管理，基本上都靠手工维护，但在信息爆炸的时代，完全靠手工完成会相当痛苦。所以就出现了CMS， 开发者只要给客户一个软件包， 客户自己安装配置好，就可以定期更新数据来维护网站，节省了大量的人力和物力。
• 常见的CMS有De dec ms(织梦) 、Discuz、PHP WEB、PHP Wind、PHPCMS、EC Shop、Dv bbs、Site Weaver、AS PCMS、帝国、Z-Blog、WordPress等。

• 代表工具有御剑Web指纹识别、What Web、Web Robo、椰树、轻量WEB指纹识别等，可以快速识别一些主流CMS
  

  除了这些工具，读者还可以利用一些在线网站查询CMS指纹识如下所
  
  * BugScaner: http://whatweb.bugscaner.eom/look/o
  * 云纹：http://www.yunsee.cn/finger.htmL
  * 和WhatWeb: https://whatweb.net/

5查找真实IP

• 在测试过程中，目标服务器可能只有一个域名，那么如何通过这个域名来确定目标服务器的真实IP对测试来说就很重要。如果目标服务器不存在CDN,可以直接通过www.ipl38.com获取目标的一些IP及域名信息。这里主要讲解在以下这几种情况下，如何绕过CDN寻找目标服务器的真实IP。
  5.1目标服务器存在CDN

  • CDN即内容分发网络，主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说得简单点，就是一组在不同运营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态数据资源（例如静态的html、css、js图片等文件）直接缓存到节点服务器上，当用户再次请求时，会直接分发到在离用户近的节点服务器上响应给用户，当用户实际数据交互时才会从远程Web服务器上响应，这样可以大大提高网站的响应速度及用户体验。
  • 所以如果***目标购买了CDN服务，可以直接ping目标的域名，但得到的并 3度正的目标Web服务器，只是离我们最近的_台目标节点的CDN服务器，这就导致 了我们没法直接得到目标的真实IP段范围。
    5.2.判断目标是否使用了 CDN
    通常会通过ping目标主域，观察域名的解析情况，以此来判断其是否使用了 CDN,如图1-10所示。
    

  还可以利用在线网站17CE(https://www17ce.com) 进行全国多地区的ping服务器操作， 然后对比每个地区ping出的IP结果，查看这些IP是否一致，如果都是一样的，极有可能不存在CDN。如果IP大多不太一样或者规律性很强，可以尝试查询这些IP的归属地，判断是否存在CDN。
  5.3.绕过CDN寻找真实IP
  在确认了目标确实用了CDN以后， 就需要绕过CDN寻找目标的真实IP，下面介绍一些常规的方法。
  ●内部邮箱源。一般的邮件系统都在内部， 没有经过CDN的解析， 通过目标网站用户注册或者RSS订阅功能， 查看邮件、寻找邮件头中的邮件服务器域名IP， ping这个邮件服务器的域名， 就可以获得目标的真实IP(注意， 必须是目标自己的邮件服务器，第三方或公共邮件服务器是没有用的)。
  ●扫描网站测试文件， 如phpinfo、test等， 从而找到目标的真实IP。
  ●分站域名。很多网站主站的访问量会比较大， 所以主站都是挂CDN的， 但是分站可能没有挂CDN， 可以通过ping二级域名获取分站IP， 可能会出现分站和主站不是同一个IP但在同一个C段下面的情况，从而能判断出目标的真实IP段。
  ●国外访问。国内的CDN往往只对国内用户的访问加速，而国外的CDN就不一定了。因此，通过国外在线代理网站App Synthetic Monitor (https: // asm.ca.com/en/ping.php)访问，可能会得到真实的IP,如图所示。
  

• 查询域名的解析记录。也许目标很久以前并没有用过CDN， 所以可以通过网站NETCRAFT(https://www.netcraft.com/)来观察域名的IP历史记录，也可以大致分析出目标的真实IP段。
• 如果目标网站有自己的App，可以尝试利用Fiddler或Burp Suite抓取App的请求，从里面找到目标的真实IP。
• 绕过Cloud Flare CDN查找真实IP。现在很多网站都使用Cloud Flare提供的CDN服务，在确定了目标网站使用CDN后，可以先尝试通过在线网站CloudFlare Watch(http://www.crimeflare.us/cfs.html#box) 对Cloud Flare客户网站进行真实IP查询，结果如图所示。