渗透测试——信息收集

• 什么是渗透测试

从军方演变过来，包括红蓝对抗，网络安全的渗透测试一般是指对于目标服务器或者web服务的一个白盒测试（或者黑盒测试），模拟黑客的攻击，以便检查目标服务器的可靠性和安全性。最主要的目的就是评估计算机网络系统安全的一种评估方法。

• 被动式信息收集

主要是利用第三方的服务对目标进行访问，google搜索引擎、shodan搜索引擎、fofa、鹰图、其他的综合工具，被动式信息收集是指尽可能的去多收集与目标相关的信息。

• 主动式信息收集

主要是通过直接扫描目标主机或者网站，主动式信息收集能够获取更多的信息，目标网站可能会记录操作信息。

在信息收集中，首先可以先进行被动收集，确定网络范围内目标，与目标相关的人员的邮箱，地址等信息，然后在选择出重点渗透的目标，在针对性的进行主动信息收集。

• 主要收集的信息：

1. 目标主机的DNS信息;

   需要收集域名对应的IP地址，域名注册信息、子域名相关信息。whois信息查询（分为命令行和在线工具）

2. 目标主机IP地址(真实IP)；有可能会有CDN，需要绕过！
3. 子域名；

   一般在真实场景，主域名做的安全防护比较强，因此可以转向搜集子域名信息，一般最常见的工具子域名挖掘机。子域名挖掘机一般能够搜集到对应的子域名、IP地址、CDN列表、web服务器信息。

4. 旁站和C段；

   旁站就是同IP地址下的站点；

   C段：如192.168.1.1  A段为192，B段为168，C段为1，D段为1；拿到某个C段里的任意一台服务器权限，就可以横向渗透（横向移动）进行所有提权，拿到肉鸡。

5. CMS类型；

   对于目标服务器进行指纹识别是比较重要的，对应的web容器或者是CMS，才能够找到其相应的漏洞，才能进行相应的渗透操作。

   CMS又称作为整站系统，常见的CMS：（Wordpress、dedecms、discuz、phpweb、phpwind、phpcms、帝国cms、510cms、dami cms）

   常见的网站指纹识别工具：Whatweb

   在线的工具：云悉指纹识别（yunsee.cn）、Whatweb

6. 敏感信息；比如：身份证号、家庭住址、包含服务器账号密码的表格、数据库信息。
7. 端口信息；nmap；周知端口：从0-1023端口。动态端口：动态端口的范围从49152-65535，之所以称之为动态，是因为他们一般不固定分配某种服务，而是动态分配。注册端口：从1024-49151，分配给用户进程或对应的程序。
8. 操作系统版本；

   如何判断服务器是windows还是Linux，最简单的办法就是通过ping，看他的TTL值。windows的TTL值一般都是128，Linux的一般为64，所以说大于100的可能为Windows，而几十的可能为Linux，并不是百分百准确，有的很多Windows的值为几十，而且有的服务器禁止ping。比较准确的是可以通过nmap去进行扫描探测，-O和-A都可以扫描出来

9. 网站架构；

   主要目的是看他具体某个版本，通过版本号来判断存在哪些漏洞。如ngnix版本<0.83存在解析漏洞、IIS6.0会存在文件名解析漏洞、IIS7.0存在畸形解析漏洞。不同的web服务器版本，存在着不同的漏洞。

10. 漏洞信息；已经找到漏洞后，可以由此扩大信息搜集。例如敏感文件泄漏(phpinfo)，可以获取主机ip或者路径等信息。
11. 服务器与中间件；Wappalyzer插件
12. 邮箱
13. 人员信息
14. 地址、联系方式；（可以去互联网查询关于此公司的所有信息，比如：公司邮箱格式、公司员工姓名、所有包含此公司的信息。可以去码云、GitHub平台去查找相关的敏感信息。）

• CDN技术

1、如何判断网站是否存在CDN

CDN即内容分发网络，构建在现有网络的基础上的智能虚拟网络，依靠部署在各地边缘服务器，通过中心平台的负载均衡、内容分发、调度等模块，使用户就近获取所需要的内容。降低网络阻塞，提高用户的访问响应速度和降低丢包率。CDN的关键技术主要是内容存储和分发技术。

使用超级ping，如果Addresses有多个IP地址，则能够证明存在CDN。

（站长之家多个地点ping，查询的目标网站IP地址大于1个，说明此IP地址并不是真实的IP地址，如果是2个或者3个，并且这几个地址是同一地区的不同运营商，则有可能这几个地址是服务器的出口地址，该服务器在内网中，通过不同的运营商NAT映射提供互联网访问，同时采用几个不同的运营商可以负载均衡和热备份。如果是多个IP地址，并且这些IP地址分布在不同的区域，则我们可以判断存在CDN服务。）

2、CDN的作用

3、访问方式的不同

传统访问：用户访问域名-->解析服务器IP-->访问目标主机

普通的CDN：用户访问域名-->CDN节点-->真实服务器IP-->访问目标主机

带WAF的CDN：用户访问域名-->CDN节点（云WAF）-->真实服务器IP-->访问目标主机

查询域名相关网站：DNS查询、微步在线

4、绕过CDN。查找真实ip

①查询子域名：

只会对主站或者是流量较大的网站、子站做CDN。很多小网站、小子站通常不会存在CDN

②查询主域名：

很多的网站，都会把WWW域名使用CDN。而没有www.开头的秃域名，可能没有做CDN。（例如：www.baidu.com做了CDN，baidu.com没有做CDN）

③邮件服务器：

邮件服务器一般都会在内部，不会经过CDN解析，通过目标网站用户注册或者是RSS订阅，查看邮件、寻找邮件头中的邮件服务器IP，ping这个邮件服务器的域名，可获得目标网站的真实IP地址（缺点必须是目标网站自己的邮件服务器，不能够是第三方的邮件服务器）

④域名解析历史记录：

目标网站很久之前使用的，但是同样会存在记录。

⑤国外访问：

国内的CDN往往只会对国内的用户访问加速，国外的相反，可以通过国外在线的代理网站去访问，可能会得到真实IP。

⑥网站漏洞：

利用存在的漏洞，很多情况下都会泄漏真实IP。

 ⑦SSL证书：

https://crt.sh去查找目标网站的SSL证书。

5、CDN的优势

• 提高用户的访问速率，优化用户的体验
• 隐藏自己的真实IP
• 提供WAF功能，目前很多的CDN都提供WAF功能，当我们访问目标站点的时候，先经过CDN节点的过滤，该过滤可以对SQL注入、xss、文件上传、命令执行、恶意扫描攻击进行有效拦截。CDN节点会将认为无害的数据提交给真实的主机服务器。