信息搜集总结

信息搜集的重要性
信息搜集是渗透测试的最重要的阶段，占据整个渗透测试的60%，可见信息搜集的重要性。根据收集的有用信息，可以大大提高我们渗透测试的成功率。

什么是信息搜集
信息搜集也称踩点，信息搜集毋庸置疑就是尽可能的搜集目标的信息，包括端口信息、DNS信息、员工邮箱等等看似并不起眼的一些信息都算是信息搜集，这些看似微乎其微的信息，对于渗透测试而言就关乎到成功与否了。

信息搜集的分类
1、主动式信息搜集（可获取到的信息较多，但易被目标发现）
2、通过直接发起与被测目标网络之间的互动来获取相关信息，如通过Nmap扫描目标系统。
3、被动式信息搜集（搜集到的信息较少，但不易被发现）
4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。

信息搜集–IP
内容分发网络(content delivery network或content distribution network，缩写作CDN)指一种通过互联网互相连接的电脑网络系统，利用最靠近每位用户的服务器，更快、更可靠地将音乐、图片、视频、应用程序及其他文件发送给用户，来提供高性能、可扩展性及低成本的网络内容传递给用户。

CDN节点会在多个地点，不同的网络上摆放。这些节点之间会动态的互相传输内容，对用户的下载行为最优化，并借此减少内容供应者所需要的带宽成本，改善用户的下载速度，提高系统的稳定性。用户会先经由CDN节点，然后再访问web服务器。

当网站有cdn时如何查询真实IP地址呢？

常用的ip查询方法如下：

Web接口查询： https://whois.aliyun.com/ https://www.whois365.com/cn/
http://whois.chinaz.com/ https://whois.aizhan.com/

通过Whois命令行进行查询
在Kali linux下自带了Whois查询工具，通过命令whois 域名 进行查询

kali自带的信息收集的工具使用方法

网站拥有者查询 https://whois.domaintools.com/

信息搜集–指纹识别
WEB指纹类似人的指纹，能够通过指纹信息来识别个人信息。

web指纹识别通过正则表达式匹配一些特殊信息（如网页中的关键字，特点文件的md5值，特征码，第三方插件和cms独有的目录文件等等。），识别web应用程序的名称和版本，语言类型，第三方组件，从而收集有用信息，以备攻击。

常用的指纹识别工具有：

御剑web指纹识别
浏览器插件–wappalyzer
在线指纹识别–yunsee.com
信息搜集–子域名
当主域名较难攻破时，可以考虑先攻破子域名。

子域名的信息搜集可以分为被动收集和主动收集：

被动收集
被动收集指在不和目标产生交互的情况收集目标信息

常用方式

第三方平台收集，如百度、Google、fofa、Zoomeye之类的搜索引擎或者网络空间安全引擎。
第三方接口，如 站长工具、netcraft(主要查询国外域名)、dnsdb。

主动收集：

主动收集便是在要与目标产生交互的情况下收集目标信息，这样收集到的信息更为准确，价值更高，但同样的会大大增加身份被暴露的几率，容易被封IP、查水表之类的。

主动收集最常用的方式便是通过字典遍历，拼接子域名，暴力枚举的方式获取子域名信息，这也是大部分枚举子域名或者端口的核心思路。

市面上轮子很多便不在重复，介绍几个常用的工具与其使用方式。

Layer子域名挖掘机
纯UI操作，简单易上手
设置好需要扫描的域名、端口、dns等就可以了，能获到子域名信息，ip信息，web服务器信息之类的。

Oneforall 从被动和主动两方面收集目标子域名信息，包括证书、DNS、搜索引擎、爆破等，同时支持域名存活验证，免去了数据存活验证的步骤。再则，能进行多级子域名发现，发现二级、三级子域名。

信息搜集–敏感目录/文件
后台目录：弱口令，万能密码，爆破
安装包：获取数据库信息，甚至是网站源码

上传目录：截断、上传图片马等

mysql管理接口：弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell

安装页面 ：可以二次安装进而绕过

phpinfo：会把你配置的各种信息暴露出来

编辑器：fck、ke、等

iis短文件利用：条件比较苛刻 windows、apache等

信息搜集–其他方式
还有一些其他的收集方式：

网络空间引擎搜索：inurl、intitle、filetype
历史漏洞信息：包括历史漏洞及同类应用常见的应用
社会工程学：通过钓鱼软件等获取密码等关键信息
各类扫描器：AWVS、NESSUS、nmap、masscan

企业信息
1. 天眼查

天眼查是一款“都能用的商业安全工具”，根据用户的不同需求，实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权方面等多种数据维度的检索。

2. 企业信用信息公示系统

3. 工业和信息化部ICP/IP地址/域名信息备案管理系统

以上几个可以用来深入了解渗透目标网站所属企业的相关信息
利用方式
1、比如利用whois查询到注册人的电话或者邮箱可以进行反查找到更多的注册域名或者是通过制作社工字典，利用字典进行爆破
2、在社工库查询邮箱和手机号，若查到，可尝试登陆服务器商或域名商。
3、DNS解析记录可以查ip,查NS、mx邮件交换记录。
MX记录是邮件服务交换记录，邮件服务经常搭建在目标办公网络，可以让快速我们定位目标核心区域并展开渗透。

总结

信息收集是我们后续渗透的一个路线，后续我们需要使用哪些东西、使用哪些方法全在收集的信息中去分析，如果我们在后续的渗透当中发现无法继续下去了的话可以回过头查看时候是信息收集的时候有哪些个地方被我们忽略。