web渗透测试之信息收集思路及方法
1.域名信息
1.1域名对应的IP地址
1.1.1判断是否存在cdn
如果查出来的IP数量有多个,而且不相同,说明该ip地址不是真实的服务器地址。
(1)站长之家:http://ping.chinaz.com/
(2)爱站:http://ping.aizhan.com/
1.1.2绕过cdn查找网站真实IP
(1)查看 IP 与 域名绑定的历史记录
DNSdb查询:https://dnsdb.io/zh-cn/
微步在线:https://x.threatbook.cn/
在线域名信息查询:http://toolbar.netcraft.com/site_report?url=
DNS、IP等查询:http://viewdns.info/
CDN查询IP :https://tools.ipip.net/cdn.php
(2)子域名查询
微步在线https://x.threatbook.cn/
Dnsdb查询https://dnsdb.io/zh-cn/
1.2 域名的whois信息
whois查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商、邮箱、地址等)。
whois查询:
(1)站长之家:http://whois.chinaz.com/
(2)爱站:https://whois.aizhan.com/
(3)微步:https://x.threatbook.cn/
查企业的备案信息:
(1)天眼查:https://www.tianyancha.com/
(2)ICP备案查询网:http://www.beianbeian.com/
(3)国家企业信用信息公示系统:http://www.gsxt.gov.cn/index.html
1.3子域名查询
(1)Layer子域名挖掘机、subDomainsBrute、K8
(2)利用Google和Bing进行搜索查询(site:www.xxx.com)
(3)VirusTotal:https://www.virustotal.com/#/home/search
(4)DNSdumpster:https://dnsdumpster.com/
2.CMS查询
常见的CMS有:WordPress、Dedecms、Discuz、PhpWeb、PhpWind、Dvbbs、PhpCMS、ECShop、、SiteWeaver、AspCMS、帝国、Z-Blog等。
- 御剑web指纹识别
- BugScaner:http://whatweb.bugscaner.com/look/
- 云悉指纹:http://www.yunsee.cn/finger.html
- WhatWeb:https://whatweb.net/
3.服务器类型
服务器信息包括服务器用的操作系统:Linux (区分大小写)还是 Windows(不区分大小写) 。
判断方法:
- nmap扫描(-O 和 -A 参数都能扫描出来)
- ping测试,Windows的TTL值都是一般是128,Linux则是64。一般大于100的肯定是Windows,而几十的肯定是Linux(不是百分百准确)。
4.网站容器
常见的网站容器类型:Apache、Nginx、Tomcat 还是 IIS。
查询方法:用抓包软件(burp suite、wireshark)抓取http响应包查看server字段。
常见的容器与数据库和脚本的搭配
IIS+access+asp
IIS+sql server+asp
apache+mysql+php
nginx+mysql+php
tomcat+Oarcle+jsp
tomcat+mysql+jsp
5.脚本类型
我们需要知道网站用的脚本类型:php 、Jsp 、Asp 、Aspx 。
1:可以根据网站URL来判断
2:site:xxx filetype:php
6.数据库类型
几种常见数据库的区别:
(1)Access小型数据库,当数据库达到100M左右的时候性能就会下降。数据库后缀名: .mdb一般是asp的网页文件用access数据库。
(2)SQL Server是由Microsoft开发和推广的关系数据库管理系统(DBMS),是一个比较大型的数据库。端口号为1433。数据库后缀名 .mdf
(3)MySQL 是一个关系型数据库管理系统,是最流行的关系型数据库管理系统,在WEB 应用方面MySQL是最好的应用软件之一,MySQL数据库大部分是php的页面。默认端口是3306
(4)Oracle又名Oracle RDBMS,或简称Oracle。是甲骨文公司的一款关系数据库管理系统。常用于比较大的网站。默认端口是1521
常见搭配:
ASP 和 ASPX:ACCESS、SQL Server
PHP:MySQL、PostgreSQL
JSP:Oracle、MySQL
7.端口信息
常用工具:Nmap扫描
常见服务端口的漏洞:
21 FTP 主要看是否支持匿名,也可跑弱口令
22 SSH 弱口令爆破
23 telnet 弱口令爆破
80-90 WEB 常见WEB漏洞以及一些为管理后台
443 openssl 心脏出血以及一些WEB漏洞测试
445 smb 跑弱口令,检测是否有ms_08067等溢出
1433 mssql 弱口令爆破
1521 oracle 弱口令爆破
3306 mysql 弱口令爆破
3389 RDP 弱口令爆破,SHIFT后门,放大镜,输入法漏洞
8080 tomcat\jboss 弱口令爆破,jboss后台可能不验证
8080-8090 常见WEB端口
8.网站敏感目录和文件
扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄漏
后台目录:弱口令,万能密码,爆破
安装包:获取数据库信息,甚至是网站源码
上传目录:截断、上传图片马等
mysql管理接口:弱口令、爆破,万能密码,然后脱裤,甚至是拿到shell
安装页面 :可以二次安装进而绕过
phpinfo:会把你配置的各种信息暴露出来
编辑器:fck、ke、等
iis短文件利用:条件比较苛刻 windows、apache等
常用的工具:
(1)御剑、AWVS、Burpsuite等
9.旁站和C段
旁站:指的是同一服务器上的其他网站。
C段:指的是同一内网段内的其他服务器。
旁站和C段在线查询地址:
(1)利用Bing.com,语法为:http://cn.bing.com/search?q=ip:111.111.111.111
(2)站长之家:http://s.tool.chinaz.com/same
(3)利用Google,语法:site:125.125.125.*
(4)利用Nmap,语法:nmap -p 80,8080 --open ip/24
(5)K8工具、御剑、北极熊扫描器等
(6)在线:http://www.webscan.cc/
10.搜索技巧
(1)site:xxx.com
指定某个域名/站点搜索,返回该站点被搜索引擎收录的所有内容。
(2)inurl:xxx
搜索URL中包含xxx的所有页面。
(3)intitle:xxx
搜索标题包含xxx的所有页面。
(4)intext:xxx
搜索正文中包含xxx的所有页面。
(5)site:xxx.com inurl:login
搜索xxx.com中URL包含login的页面。
(6)找出管理后台地址
Site:xxx.com intext:管理|后台|登录|用户名|密码
Site:xxx.com inurl:login|admin|manage|manager
Site:xxx.com intitle:管理|后台|登录
(7)找出上传漏洞地址
Site:xxx.com inurl:file|upload
(8)找注入页面
Site:xxx.com inurl:php?id=