CTF之信息收集

什么是信息收集

信息收集是指通过各种方式获取所需要的信息，以便我们在后续的渗透过程更好的进行。最简单的比如说目标站点的IP、中间件、脚本语言、端口、邮箱等等。我觉得信息收集在我们参透测试的过程当中，是最重要的一环，这一环节没做好，没收集到足够多的可利用的信息，我们很难进行下一步的操作。

信息收集的方式

• 主动信息收集
• 被动信息收集

主动信息收集

网站指纹识别

网站指纹

• 服务器类型
  • Windows
  • Linux
• 网站容器
  • Apache
  • Nginx
  • Tomcat
  • IIS
  • ...
• 脚本类型
  • jsp
  • asp
  • php
  • aspx
  • ...
• 数据库类型
  • Oracle
  • Mysql
  • SQL Server
  • Access
  • ...
• CMS类型
  • WordPress
  • Dedecms
  • Discuz
  • PhpWeb
  • PhpWind
  • Dvbbs
  • PhpCMS
  • ECShop
  • SiteWeaver
  • AspCMS
  • 帝国
  • Z-Blog
  • ...

在线识别

• BugScaner：http://whatweb.bugscaner.com/look
• 云悉指纹：http://www.yunsee.cn
• WhatWeb：https://whatweb.net
• ...

端口扫描

• 端口：22 服务：SSH
  • 弱口令爆破
• 端口：23 服务：telnet
  • 弱口令爆破
• 端口：80 服务：WEB
  • Web常见漏洞及网站管理后台
• 端口：3389 服务：RDP
  • 弱口令爆破，SHIFT后门、放大镜、输入法漏洞等
• 端口：... 服务：...
  • ...

端口扫描常用扫描工具

• Masscan：Masscan是一个批量端口扫描器，它运行在单机上，每秒能够传输1千万个数据包，可以在6分钟之内扫完整个互联网。它是迄今为止，速度最快的端口扫描器。 Masscan使用异步传输技术，类似于scanrand、unicornscan和ZMap等扫描器。与这些扫描器相似，Masscan在内部使用一种类似于scanrand的方法，即异步传输，这使得它在进行端口扫描时更为高效。同时，Masscan更加灵活，允许使用者自定义端口和IP地址范围。 Masscan使用SYN扫描的方式进行端口扫描，不建立一个完全的TCP连接，而是首先发送一个SYN数据包到目标端口，然后等待接收。如果接收到SYN-ACK包，则说明该端口是开放的，此时发送一个RST结束建立过程即可；否则，若目标返回RST，则端口不开放。 需要注意的是，Masscan使用的是自己的TCP/IP栈，可能会和其他的端口扫描器冲突。因此，使用者可能需要手动配置一些参数，比如使用--src-ip选项来配置一个与本地不同的IP地址，或者使用--src-port选项来配置Masscan使用的源端口。同时，也可以通过配置内部防火墙（比如pf或者iptables）将操作系统的其他端口阻挡在外。
• Nmap：是一个强大的网络扫描工具，可以用来发现目标主机上的开放端口和潜在的服务。
• Unicornscan：是一个新的信息收集引擎，主要用于安全研究和通讯测试，其主要特点是精确、灵活而且高效。
• Zenmap：是Nmap的一个官方图形用户界面，不仅初学者容易使用，同时为高级使用者提供了很多高级特性。
• Knocker：是一个简单易用的TCP端口扫描工具，采用C语言编写，用于分析主机上运行的服务。
• ...

漏洞扫描

• Web漏洞扫描
  • AWVS
  • APPSCAN
  • Netsparker
  • RSAS
  • XRAY
  • ...
• 主机扫描
  • Nessus
  • RSAS
  • ...

目录扫描

• 作用
  • 后台目录:弱口令，万能密码，爆破;
  • 压缩包:获取数据库信息，甚至是网站源码;
  • 上传目录:截断、上传图片马等;
  • mvsql管理接口: 弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell;
  • 安装页面:可以二次安装进而绕过;
  • phpinfo: 会把你配置的各种信息暴露出来;
  • 编辑器: fck、ke、等;
  • iis短文件利用:条件比较苛刻 windows、apache等；
• 工具
  • 御剑后台扫描
  • Dirb
  • Dirmap
  • Dirsearch
  • Dirbuter
  • ...

子域名扫描

• Google语法
• 基于SSL证书查询
  • crt.sh | Certificate Search
  • Exposure Management and Threat Hunting Solutions | Censys
  • https://developers.facebook.com/tools/ct
  • https://google.com/transparencyreport/https/ct
  • ...
• 爆破枚举
  • layer子域名挖掘机
  • subDomainsBrute
  • orangescan
  • DNSRecon
  • oneforall
  • ...
• 被动信息收集

使用搜索引擎收集

搜素引擎

谷歌

百度

Bing

360搜索

搜狗

网络空间搜索引擎

ZoomEye: ZoomEye - Cyberspace Search Engine

FoFa: https://fofa.so

Shodan: Shodan Search Engine

使用Github收集

GitHub是一个面向开源及私有软件项目的托管平台，因为只支持Git作为唯一的版本库格式进行托管，故名GitHub。GitHub拥有1亿以上的开发人员，400万以上组织机构和3.3亿以上资料库。它可以让开发者们在这里托管自己的代码，并进行版本控制，是全球最大的源代码托管网站之一。一些意识薄弱的开发者会泄露源码或者账号密码等信息。

whois信息收集

在线网站：

国外的who.is: WHOIS Search, Domain Name, Website, and IP Tools - Who.is

微步: 微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

站长之家:https://whois.chinaz.com

爱站: 站长工具_whois查询工具_爱站网