web渗透之信息收集【完整版】

1. 域名收集

1.1 主域名信息收集

1.whois查询
2.备案信息查询

1.2 子域名信息收集

1.子域名检测工具
2.在线查询
3.搜索引擎枚举
4.第三方聚合应用枚举
5.证书透明度公开日志枚举

2. 网络信息搜集

2.1 C段扫描

C段指的是同一内网段内的其他服务器,每个IP有ABCD四个段,举个例子192.168.0.1,A段就是192,B段是168,C段是0,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一台服务器,也就是说是D段1-255中的一台服务器,然后利用工具嗅探拿下该服务器。
1.获得真实IP后,可以百度查看是不是云上资产
2.阿里云或者腾讯云等云上资产的话扫C段容易出现扫C段扫出一大片东西。
3.没有一个是目标资产的情况。不是云上资产的话就正常扫C段就可以。
4.C段推荐灯塔和goby

2.2 旁站

旁站指的是同一服务器上的其他网站,若主站拿不下。那么,可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell,然后再提权拿到服务器的权限,最后拿下主网站。
常用工具:
web:k8旁站、御剑1.5
K8Cscan大型内网渗透自定义插件化扫描神器,包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用,程序采用多线程批量扫描大型内网多个IP段C段主机,目前插件包含: C段旁注扫描、子域名扫描、Ftp密码爆破、Mysql密码爆破、Oracle密码爆破、MSSQL密码爆破、Windows/Linux系统密码爆破、存活主机扫描、端口扫描、Web信息探测、操作系统版本探测、Cisco思科设备扫描等,支持调用任意外部程序或脚本,支持Cobalt Strike联动
下载地址:https://github.com/k8gege/K8CScan
最新版Ladon https://github.com/k8gege/Ladon

2.3 获取真实IP

2.3.1 有无CDN

ping 一下对方域名,若如图两个地方的域名不一样则说明有CDN。若域名一至则没有。
web渗透之信息收集【完整版】_第1张图片
使用在线工具检测

2.3.2 查找真实IP

如果www开头的域名有CDN,那就把域名前面的www去掉,然后再ping一下,很大可能得到真实IP。
web渗透之信息收集【完整版】_第2张图片

2.3.3 通过网站证书寻找真实IP

适用于https的站
打开查找到的网页,按f12打开开发者模式,点击查看序列号并复制。
web渗透之信息收集【完整版】_第3张图片
在下面的网站中进行进制转换。
在线转换工具
https://tool.lu/hexconvert/
web渗透之信息收集【完整版】_第4张图片
打开fofa输入cert"此处输入转换过后的值"。
web渗透之信息收集【完整版】_第5张图片

2.4 验证IP

  • 使用御剑高速扫描工具
  • 批量扫描IP段所有开放目标端口的主机

2.5 服务器信息

2.5.1 操作系统判断

通过ping来探测:

  • Windows的TTL值都是一般是128,Linux则是64。所以大于100的肯定是
  • Windows,而几十的肯定是Linux。

通过大小写的敏感字:

  • Windows大小写不敏感,Linux大小写敏感。
  • 表现如www.xxxx.com/index.php和www.xxxx.com/index.phP打开的一样就说明是Windows\n\n

2.5.2 主机扫描及端口信息

  • 扫描主机开放什么端口

2.5.3 探测防火墙状态

利用FIN扫描的方式探测防火墙的状态:

  • 代码:nmap-sF-T4192.168.0.100z。
  • FIN扫描用于识别端口是否关闭,收到RST回复说明该端口关闭,否则就是open或filtered状态。

利用kali下的wafw00f 也可对目标站点进行探测

2.6 应用信息

2.6.1 指纹识别

常见CMS:

  • Dedecms (织梦),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,
  • Dvbbs,SiteWeaver,ASPCMS,帝国,Z-Blog,WordPress等。

扫描工具:

  • 御剑web指纹识别,whatweb,webRobo,椰树,轻量web指纹识别等

在线查询CMS:

  • [BugScaner][http://whatweb.bugscaner.com/look/]
  • [云悉指纹][http://www.yunsee.cn/finger.html]
  • [whatweb][https://whatweb.net/]

2.7 收集敏感信息

2.7.1 使用google语法进行搜索

常用语法:

  • site:可限制你搜索范围的域名
  • inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用
  • intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)
  • filetype:搜索文件的后缀或者扩展名
  • intitle:限制你搜索的网页标题
  • link: 可以得到一个所有包含了某个指定URL的页面列表
    语句使用:
  • 查找后台地址:site:域名
    inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
  • 查找文本内容:site:域名
    intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
  • 查找可注入点:site:域名 inurl:aspx|jsp|php|asp
  • 查找上传漏洞:site:域名 inurl:file|load|editor|Files找eweb
  • 编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
  • 存在的数据库:site:域名 filetype:mdb|asp|#
  • 查看脚本类型:site:域名 filetype:asp/aspx/php/jsp
  • 迂回策略入侵:inurl:cms/data/templates/images/index/
  • 迂回策略入侵:inurl:cms/data/templates/images/index/
  • 意思为搜索网页正文中包含有“后台管理” 并且域名后缀是edu.cn的网站,

2.7.2 使用扫描工具对目录进行扫描

  • DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py、Sensitivefilescan、Weakfilescan

2.7.3源代码泄露

  • github信息收集

2.7.4漏洞平台

  • [乌云漏洞表][https://wooyun.shuimugan.com]
  • https://www.exploit-db.com/

2.8 社会工程学

2.8.1懂得都懂

3 关于打不开资产

搜到打不开但仍然属于目标单位资产,如果能ping出IP,说明服务器还存活,只是web服务没开。
**IP:**可以扫全端口+C段,
**域名且没有CDN:**可以全端口+C段。

你可能感兴趣的:(Web渗透,安全)