渗透测试信息收集

目标：如何对一个网站进行渗透测试

扩展

黑白灰盒

• 黑盒测试：只给域名（上级部门）
• 白盒测试：除了给域名，还提供账户密码等信息（客户自己做的测试）
• 灰盒测试：给账户不给密码，给密码不给账户

渗透测试与红蓝对抗区别

渗透测试：（有范围限制）

• 尽可能的找到多的漏洞，写入报告中
• 严格按照客户给的资产渗透

红蓝对抗：（没有资产范围限制）

• 红队：模拟真实的网络系统，攻击目的是为了拿下客户或者演习放到最重要的信息。

信息收集

测试目标

testfile.net

域名与IP

通过域名获取IP

nslookup www.baidu.com
ping www.baidu

osint

​ OSINT即开源情报收集，是指从媒体、网络、官方渠道等平台，整理一些公开的数据资料，形成系统性情报信息的过程。

osint分为主动和被动两种采集方式

• 被动采集即利用第三方平台进行收集信息，如shodan、fofa、censys，zoomeye等，优点在于查询成本低、行为比较隐蔽；

• 主动扫描需要与目标进行交互，存在一定的风险，但可以获取到更新、更多样化的数据。

1. CDN节点：

当80端口（真正的baidu）关闭时，cdn节点就可以执行，前提条件是cdn必须是静态的

作用

1. 提高用户访问速率，优化用户使用体验

2. 隐藏真实服务器的IP

3. 防御功能，访问请求会先经过 CDN 节点的过滤，该过滤可对SQL注入、XSS、Webshell上传、命令注入、恶意扫描等攻击行为进行有效检测和拦截。CDN 节点将认为无害的数据提交给真实的主机服务器。

是否存在CDN

多地ping，查看发现存在多个不同的IP，证明存在cdn

如何Bypass（绕过） CDN

多地ping

利用域名在这个网站https://ping.chinaz.com/进行ping检查

国外的IP：前提是国外没有CDN节点

邮件服务器

服务器发送邮件给员工，是以自己的真实IP发送的。

前提：邮件服务器和web服务器在一个主机上，一个IP

诱使对方服务器给我发送邮件

foxmail客户端：

子域名

查找子域名的IP

前提是子域名和主域名在一个服务器上和同一个网段。

真实IP寻找

数据库泄露，直接找域名和IP，如果没有泄露就找不到

直接将域名丢到网站https://get-site-ip.com/，网站自动找IP

查找关联域名

前提是：子域名和主域名必须在同一个服务器

.com .cn .org

信息泄露/配置文件

Phoinfo：在服务器上执行的，如果phpinfo泄露了，就不需要cdn了

网页源码：查看url地址的ip

前端代码：里面泄露url地址的IP

shodan、fofa、zoomeye（网络空间搜索引擎）等平台：对所有公网地址进行扫描。

网站漏洞

SSRF、SQL注入等等

历史DNS记录

2.搜索引擎(Google hacking)语法

site

定义后面的域名（即可找网站的子域名，又可以定位地址）

例如: site:baidu.com

inurl

限制关键字出现在网址的某个部分

例如：site:baidu.com inurl:login

intitle

限制关键字出现在页面标题中

例如:intitle:登录，定位网站目录索引页面，就会出现有关“登录”的页面。

whois

whois红队用的多，可以邮箱反查；

渗透测试不适用于whois，whois会查出很多网站，邮箱反查whois必须在资产范围内

域名的 whois 信息可以提供以下作用:

• 确认域名的所有者、注册商、注册日期和到期日期等基本信息。
• 了解域名的注册历史，对于判断一个域名的可信度和信誉程度有很大帮助。
• 判断一个域名是否正在被使用及其使用方式，是否涉及到滥用、欺诈等问题。
• 可以通过 whois 信息获得自己的域名信息，及时检查域名是否即将到期，避免域名失效带来的影响。

端口对外开放情况

https://viewdns.info/

nmap

-sS：进行TCP SYN（半开放式）扫描。这是一种常用的扫描方式，通过发送TCP SYN包，判断目标主机的端口是否开放。
-sT：进行TCP连接扫描。这种扫描方式也是基于TCP，通过建立TCP连接，判断目标主机的端口是否开放。
-sU：进行UDP扫描。UDP是一种无连接的协议，因此不能像TCP一样建立连接来确定目标主机的端口是否开放。这种扫描方式需要发送UDP数据包，通过响应的数据包判断端口是否开放。
-O：进行操作系统信息探测。通过使用不同的特征扫描目标主机，判断其使用的操作系统。
-p：指定端口扫描范围。可以指定端口范围、单个端口或多个离散的端口
-A：激活“操作系统指纹识别”、“版本检测”、“脚本扫描”等高级扫描选项。
-sV：进行服务版本检测。这种扫描方式可以探测出目标主机运行的具体服务以及其版本号。
-T：设置扫描速度。可以设置不同的速度等级，以适应不同的扫描环境。速度级别从0到5，级别越高，扫描速度越快，但也越容易被防火墙拦截

三次握手(SYN半开放式)

3. 网站的三种部署模式

主域名与子域名的方式：

​ a.com 1.a.com
​ 邮件服务: mail.baidu.com
​ web 服务:www.baidu.com

目录：

​ 邮件服务: baidu.com/mailweb

​ 服务:baidu.com/www

端口：

​ a.com:8080

4. 网站架构/服务器指纹/CMS识别

内容管理系统(CMS)：网站模板网页源代码

请求头/响应头

网站底部，顶部，左上角右上角

网站报错信息

域名/install

Firefox插件Wappalyzer

这个插件可以分析当前网站使用的什么cms

• CMS漏洞
  https://github.com/s7ckTeam/Glass

  https://github.com/EdgeSecurityTeam/EHole

定位版本对应已知漏洞检查
CMS未知漏洞挖掘

• 显示网站使用的技术
  https://whatcms.orgl
  https://builtwith.com/

备案

备案信息资产收集

站长之家 https://icp.chinaz.com

天眼查 https://www.tianyancha.com/

企查查

爱企查

ICP备案查询网http://www.beianbeian.com/

爱站备案查询https://icp.aizhan.com/

域名助手备案信息查询 http://cha.fute.com/inde

信息收集帮助最大的方法

• 判断CMS扫描端口号

• 找子域名

• 后台目录爆破

信息收集实战

利用这个网站http://www.xiusafe.com/的域名www.xiusafe.com，查找网站的真实IP。

解决方法有多地ping、邮件服务器、真实查找IP、信息泄露/配置文件、历史DNS记录、shodan、fofa、zoomeye等网络空间搜索引擎平台。

信息收集总结

​ 拿到域名后，获取Web资产的真实IP，有cdn想办法绕过cdn；如果没有cdn，拿到真实的IP后，获取客户的同意后可以进行爆破，查网站的子域名和后台目录，查看里面是否有敏感文件，是否有压缩包，最后判断网站的cms，并进行漏洞利用。
息泄露/配置文件、历史DNS记录、shodan、fofa、zoomeye等网络空间搜索引擎平台。