天融信网安公开课直播笔记(一):渗透测试情报搜集
一、情报收集方法种类:
1.主动信息收集:发送探测包观察目标对攻击的反馈来获取信息情报,直接与目标互动;
2.被动信息收集:利用第三方的服务来对目标进行了解,不直接与目标进行互动(如人肉搜索)。
二、信息收集方法及技巧
1.Google黑客语句
Google Hacking 资料库
https://www.exploit-db.com/google-hacking-database
利用搜索引擎通过特殊语句获取需要的信息
| inurl: [关键词] | 用于搜索网页上包含的URL。这个语法对寻找网页上的搜索,帮助之类的很有用。 |
| intitle: [关键词] | 限制你搜索的网页标题。 |
| intext: [关键词] | 只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字)。 |
| site:[网址域名] | 可以限制你搜索范围的域名。 |
| allintitle: [关键词] | 搜索所有关键字构成标题的网页。但是推荐不要使用。 |
| link: [URL] | 可以得到一个所有包含了某个指定URL的页面列表。 例如 link:http://www.google.com 就可以得到所有连接到Google的页面。 |
| filetype: [文件类型] | 搜索文件的后缀或扩展名。 |
2.钟馗之眼&Shodon
钟馗之眼
公网设备指纹检索和Web指纹检索
https://www.zoomeye.org
搜索指定的服务器组件+版本:
app:apache +ver:2.4
app:IIS +ver:7.5
搜索指定的端口
OS:Linux +port:21
搜索指定的国家:
country:us
os:windows +port:21 +country:us
Shodon(沙旦)
“最可怕”的搜索引擎
因为在shodon上搜索出来的不是单纯的信息,而是所有接入互联网的设备。利用合法语句就能得到结果。
https://www/shodan.io/
3.Whois
- whois信息可以获取域名的注册人的信息,包括注册商、联系人、联系邮箱、联系电话、创建时间等
- 可以进行邮箱反查域名,爆破邮箱,社工,域名劫持,寻找旁站等等。
常用工具:站长之家、kali、微步在线
4.子域名收集
子域名收集可以发现更多渗透测试范围内的域名/子域名,以增加漏洞发现几率;探测到更多隐藏或遗忘的应用服务,这些应用往往可导致一些严重漏洞。
常用工具有:子域名挖掘机Layer、subDomainsBrute、Dnsenum、Dnsmap...
工具不重要,字典最重要
原理:逐个搜索子域名
5.真实IP获取(CDN)
CDN-内容分发系统
CDN基本思路是 尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定、改善网络加载时间,减少服务器覆载,降低成本,提高网络安全性。
对于拥有“分身”的网站,需要找到它的真实IP地址。
方法:
超级ping:http://ping.chinaz.com
如何获取CDN真实IP
方法一、查询历史DNS记录(有概率):
如:有些2011年注册,2016年才开始CDN
https://dnsdb.io/zh-cn
https://x.threatbook.cn
http://toolbar.netcraft.com
http://viewdns.info/
一般都是收费的
方法二、查询子域名(有概率):
因为CDN是收费的,预算高,所以很多站长只对主站或常用子站点做CDN,而不常用的子域名不做CDN,此时我们可以通过查询子域名的IP,来辅助查找到真实IP(使用Layer挖掘机)
方法三、使用国外主机解析域名(相对有效):
找国外的比较偏僻的DNS解析服务器进行DNS查询,因为大部分CDN提供商只针对国内市场,而对国外市场几乎不做CDN,所以有很大的记录表会直接解析到真实IP。
6.网站CMS指纹识别
CMS是什么?
CMS:快速搭建网站的内容管理系统,可以实现快速二次开发的web应用框架
常见的CMS:DedeCMS(织梦)、帝国CMS、MetInfo(米拓)、discuz、wordpress
思路:利用这个框架曾经暴露的漏洞来进行攻击。
谁使用CMS?
20%:非CMS,大型企业或个人开发
80%:CMS,小型企业网站
如何识别网站CMS指纹
平台:
Whatweb:http://whatweb.bugscaner.com
云悉在线:https://www.yunsee.cn/
搜索引擎:https://www/zoomeye.com
工具:
whatweb(Kali自带)
御剑指纹扫描器
7.NMAP
nmap是一个免费的网络扫描和嗅探工具
nmap被誉为“扫描器之王”、诸神之眼。
Nmap下载
一、kali系统:自带nmap软件
二、windows版本: https://nmap.org
Nmap使用
主机发现:
nmap -sP 192.168.1.0/24
nmap -sP -v 192.168.1.0/24
nmap -sP -v -T4 192.168.1.0/24
nmap 0.0.0.0/0 (相当于全球扫描,警告)
注释:
不进行端口扫描,只发送icmp报文进行ping扫描
-v 代表显示扫描过程信息
T4 代表加快速度 1-5 个选择
-p[端口号] 探测该IP对应端口号的信息
指定端口扫描:
nmap -p80 192.168.1.0/24
nmap -p80,443 192.168.1.0/24
高级用法:
nmap -p80 --open 192.168.1.0/24 #只显示开放端口信息
指定对应端口的开放或关闭情况
端口服务版本探测:
nmap -p80 -sV 192.168.1.0/24
目标系统版本检测:
nmap -O 192.168.1.x
探测WAF:
nmap -p80,443 --script=http-waf-detect 192.168.1.x