Web渗透之信息收集技术(附实战练习)
先附上思维导图方便查阅
1、收集子域信息
子域名检测工具:
Layer子域名挖掘机,K8,wydomain,Sublist3r,dnsmaper,subDomainsBrute,Maltego CE
搜索引擎枚举:
可以利用前面的google黑客语法。列如:搜索百度旗下的子域名就可以使用“site:baidu.com”,
site:baidu.com –www 不包含www
第三方聚合应用枚举:
很多第三方服务汇聚了大量DNS数据集,可通过它们检索某个给定域名的子域名。只要往其搜索栏中输入域名,就可以检索到相关的域名信息。
·DNSdumpster网站:http://dnsdumpster.com/
证书透明度公开日志枚举:
证书透明度(Certificate Transparency,CT)是证书授权机构(CA)的一个项目,证书授权机构会为每一个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮箱地址,这些也经常成为攻击者非常希望获得的有用信息。查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。
Crt.sh: http://crt.sh
Censys: https://censys.io
在线子域爆破:
子域名爆破网站https://phpinfo.me/domain
Ip反查绑定域名网站:http://dns.aizhan.com
用Layer子域名挖掘机做例子:
2.指纹识别
CMS:
CMS(Content Management System)又称整站系统或文章系统。在2004年以前,如果想要进行网站内容管理,基本上都靠手工维护,但在信息爆炸的时代,完全靠人维护相当困难。所以就出现了CMS,开放者只要给客户一个软件包,客户自己安装配置好,就可以定期更新数据来维护网站,节省了大量的人力和物力。
常见的CMS有:Dedecms (织梦),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,Dvbbs,SiteWeaver,ASPCMS,帝国,Z-Blog,WordPress等。
扫描工具:
御剑web指纹识别,whatweb,WebRobo,椰树,轻量web指纹识别等
实战:
使用whatweb对https://www.morningstarsecurity.com/网站进行信息收集,请书写收集到的信息有哪些?
收集到的信息:Apache[2.4.29]、wordpress、HTML5等
(在此用到的是kali虚拟机实现)
3.真实IP地址查询
CDN:
CDN就是内容分发网络,主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说的简单点,就是一组在不同运营商之间的对接节点上的高速缓存服务器,把用户经常访问的静态数据资源(html、css、js图片、视频、声音等文件)直接缓存到节点服务器上,当用户再次请求时,会直接分发到离用户近的节点服务器响应给用户,当用户又实际数据交互时才会从远程Web服务器上响应,这样可以大大提高网站的响应速度及用户体验。
如果目标网站有CDN服务器,ping域名不一定获取到目标真正的Web服务器,只是离我们最近的节点上的CDN,这样导致我们无法得到目标的真实IP段范围。
CDN判断:
方法1:
很简单,使用各种多地 ping 的服务,查看对应 IP 地址是否唯一,如果不唯一多半是使用了CDN, 多地 Ping 网站有:
http://17ce.com
http://ping.chinaz.com/
方法2:
使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 地址多半是使用了 CDN。
方法3:
使用各种在线工具帮助检测目标网站是否使用了CDN
http://www.cdnplanet.com/tools/cdnfinder/
http://www.ipip.net/ip.html
CDN绕过:
查询子域:
许多情况下只有主站使了CDN,二级站点并没有,所以我们就可以直接查询分站的IP。分站的搜索方法见下文。也可以用我们可以使用搜索引擎输入site:baidu.com或者inurl:baidu.com来搜索baidu.com的子域名
1.国内部分 CDN 服务只针对国内,对国外的访问几乎不使用 CDN。所以我们可以通过国外冷门 DNS 查询域名。
2.国外代理网站App Synthetic Monitor(https://asm.ca.com/en/ping.php)
·历史解析记录
CDN 的 IP 地址之前所用的 IP 就是真实 IP。
https://sitereport.netcraft.com/?url=www.baidu.com
·查询邮件
很多服务器自带邮件发送功能,可以利用它来获取真实 IP。让站点主动发送邮件,然后右键查询源代码,就能获得真实 IP。
·抓取App的请求
如果目标网络站有自己的App 可以尝试通过利用fiddler或Burp Suite抓取App的请求,从里面找到目标的真实ip
4.验证IP:
当我们找到目标真实IP后如何验证其真实性?
直接IP地址访问,看响应的页面是不是和访问的域名返回一样
目标段比较大的情况下,借助类似Masscan的工具批扫描对应IP段中所有开放了80、443、8080端口IP,然后逐个尝试ip访问,观察相应是否为目标站点。
实战:
查找某(自选)网站,判断是否存在CDN,及绕过CDN查找真实IP地址
https://www.17ce.com
https://sitereport.netcraft.com/?url=www.meituan.com
5.整站分析:
服务器类型:(windows/linux)
1.判断是Linux还是Windows最简单就是通过ping来探测,Windows的TTL值都是一般是128,Linux则是64。所以大于100的肯定是Windows,而几十的肯定是Linux。
2.Windows大小写不敏感,Linux大小写敏感。
如www.xxxx.com/index.php和www.xxxx.com/index.phP打开的一样就说明是Windows
而判断目标网站服务器的具体的版本的话,可以采用 nmap 进行扫描, -O 和 -A 参数都能扫描出来。
网站容器:(Apache/Nginx/Tomcat/IIS)
知道了这些信息之后,我们就需要知道网站用的web服务器是什么类型的:Apache、Nginx、Tomcat 还是 IIS。知道了web服务器是哪种类型后,我们还要探测web服务器具体的版本。比如Ngnix版本<0.83会有解析漏洞 ,IIS6.0会有文件名解析漏洞、IIS7.0会有畸形解析漏洞等。不同的web服务器版本,存在着不同漏洞。
探测网站是哪种web服务器,可以使用工具whatweb
脚本类型:(php/jsp/asp/aspx)
我们需要知道网站用的脚本类型:php 、Jsp 、Asp 、Aspx 。
1.可以根据网站URL来判断
2.site:xxx filetype:php
3.可以根据Firefox的插件来判断
数据库类型:(Mysql/Oracle/Accees/Mqlserver)
我们需要知道网站用的是哪种类型的数据库:Mysql、Oracle、SqlServer 还是 Access 。虽然这几种数据库的语法大体上相同,但是还是有区别的。所以我们还是要知道目标网站用的是哪种数据库,并且数据库是哪个版本的
常见搭配
ASP 和 ASPX:ACCESS、SQL Server
PHP:MySQL、PostgreSQL
JSP:Oracle、MySQL
5.收集敏感目录文件
渗透测试中,探测Web目录结构和隐藏的敏感文件是一个必不可少的环节,从中可以获取网站的后台管理页面、文件上传页面、甚至可以扫描出网站的源代码。
收集方向:
后台目录:弱口令,万能密码,爆破
安装包:获取数据库信息,甚至是网站源码
上传目**录:**截断、上传图片马等
mysql管理接口:弱口令、爆破,万能密码,然后脱裤,甚至是拿到shell
安装页面 :可以二次安装进而绕过
phpinfo:会把你配置的各种信息暴露出来
编辑器:fck、ke、等
iis短文件利用:条件比较苛刻 windows、apache等
robots.txt文件
常用工具:
字典爆破:dirb[kali如:dirb http://192.168.200.113]对目标网站进行目录扫描]、DirBuster、 wwwscan 、御剑后台、Webdirscan等
蜘蛛爬行:Burp、OWASP ZAP、AWVS等
在线工具站:[webscan]
联网设备搜索:
钟馗之眼www.zoomeye.com。
傻蛋www.oshadan.com(使用)
联网设备搜索引擎可以检索到许多搜索引擎不收录的页面,通常是后台等页面。
构造检索关键词时:
系统/后台类,可以搜索“xxx系统/平台/管理”。
企业类,可以搜索“xxx企业/公司/平台”。
5.旁站和C段扫描
旁站:
旁站指的是同一服务器上的其他网站,很多时候,有些网站可能不是那么容易入侵。那么,可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell,然后再提权拿到服务器的权限,最后就自然可以拿下该网站了!
C段:
C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
在线查询工具:
旁站和C段在线查询地址:http://www.webscan.cc/ 、 [http://www.5kik.com/]
常用工具:
C段:
C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子,192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
6.在线查询工具:
旁站和C段在线查询地址:http://www.webscan.cc/ 、 [http://www.5kik.com/]
常用工具:
k8旁站、御剑1.5