渗透测试学习(一)-信息收集

一次完整的渗透测试,总是从信息收集开始,而信息收集也是占据整个测试时间的70%

1.资产梳理

这个步骤是对目标的网络资产进行信息收集,主要针对域名、IP、端口

1.1域名

1.1.1主域名

        如果拿到的是一个公司名字,这种比较大的概念,首先要对目标的主域名进行收集,因为大概是不会只有一个域名的。

        步骤:

  1.   对企业注册信息进行收集,可以通过以下在线网站-关注备案号,知识产权、股权穿透图(寻找四公司和孙公司,一般对外投资超过50%或者有行政权限的都可以算目标)
    小蓝本-商业信息搜索
    https://www.tianyancha.com/
    企查查 - 企业工商信息查询系统_查企业_查老板_查风险就上企查查!
    【全国公司排行|排名榜单|哪家好】-看准网
  2. 找到备案号进行备案号反查-拿到目标的多个域名
    ICP备案查询 - 站长工具
  3. 证书查询-前提是已知一个有证书url,通过浏览器查看证书详细信息,就能在其中找到目标的多个域名,也可以通过以下网站
    crt.sh | Certificate Search
    空间搜索引擎,查询对应语法
    https://fofa.info/
    ZoomEye - Cyberspace Search Engine
  4. Google查询,语法---intext:(公司名,备案号)

1.1.2子域名

        确认好目标的主域名后,分别对其进行子域名收集

  1. 网络空间搜索引擎,site:'主域名'/domain='主域名'
  2. 子域名爆破
    工具:
    GitHub - shmilylty/OneForAll: OneForAll是一款功能强大的子域收集工具-OneForall
    GitHub - knownsec/ksubdomain: 无状态子域名爆破工具-ksubdomain
    GitHub - projectdiscovery/subfinder: Subfinder is a subdomain discovery tool that discovers valid subdomains for websites. Designed as a passive framework to be useful for bug bounties and safe for penetration testing.
    -subfinder
    GitHub - p1g3/JSINFO-SCAN: 递归式寻找域名和api。-jsinfo-scan
    GitHub - euphrat1ca/LayerDomainFinder: Layer子域名挖掘机-layer(注意扫描线程的设置,小心自己的路由器)
  3. 也可以用其他搜索引擎,这个效果不是很好,Google hacking如下
    site:target.com

1.1.3存活探测

        对搜集到的域名进行存活探测,筛选数据

  1. httpx
    https://github.com/projectdiscovery/httpx
  2. webalivescan
    GitHub - broken5/WebAliveScan: 对目标域名进行快速的存活扫描、简单的指纹识别、目录扫描
  3. Finger
    https://github.com/EASY233/Finger

1.2IP

        收集完域名后,对各个域名的IP进行收集,其实前面做域名收集时,也能顺带将IP信息收集,这里顺带提一嘴,这里给出的步骤不用死按着来

1.2.1CDN

        判断是否存在CDN,常用方法就是多地ping,解析出的IP不同,就可以判断存在CDN
多个地点ping服务器-网站测速-站长工具
        下一步就是寻找真实IP,

  1. 使用国外的dns服务器-可能会得到真实IP
    nslookup -qt=A xxx.xxxxx.com 8.8.8.8
  2. 网络空间测绘引擎
    推荐一个鹰图平台-搜到的东西很多,也有自己的导出功能,方便很多
  3. 二级域名-目标如果只给重要站点用了cdn,则可以解析子域名IP,来获取主域名的IP,因为IP可能在同一C段
  4. DNS解析记录
    https://securitytrails.com/
    微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

1.3端口

                对端口及开放服务进行收集

1.3.1        nmap -Pn 缺点:指纹信息被防护拦截;速度很慢

1.3..2        masscan 速度块 缺点:准确率低-联动nmap

                massmap 配置 –rate 200 –wait 10

2.敏感信息收集

        进行敏感信息收集,需要结合上一部分的资产梳理结果,比如目标的确定及搜索的关键词

  • 通过小蓝本、天眼查,定位到目标的公司名称

  • 以及目标的高管人员,产品

2.1文档类

2.1.1Google语法,intext:        filetype:pdf/xlsx        不固定

2.1.2可在,道客、豆丁网、百度文库对目标进行关键词搜索

2.1.3网盘中搜索,其中会有文档类的,也可能有代码类的,这里提一下,下边就不再重复
超能搜 - 百度网盘搜索神器-集合了多个网盘搜索,多试几个

2.2代码类

  • 代码类 在github进行搜索

    • 高级搜索 GitHub · Where software is built

    • 一般搜索以域名、特殊JS路径、备案、网站的技术支持等关键内容为主,不要局限于域名

2.3社工类

        在一些交友软件、微信公众号、社工库进行关键词搜索

2.4目录扫描

        视情况而定,有些项目中是不被允许做目录扫描,
yuhScan: GitHub - hunyaio/yuhScan: web目录快速扫描工具
dirmap: GitHub - H4ckForJob/dirmap: An advanced web directory & file scanning tool that will be more powerful than DirBuster, Dirsearch, cansina, and Yu Jian.一个高级web目录、文件扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑。
 

你可能感兴趣的:(渗透测试学习,学习)