信息收集,又称资产收集,是渗透测试过程中至关重要的前期工作。通过系统化地收集目标的关键信息,为后续的测试和攻击奠定基础。只有全面掌握目标的信息,才能更高效地找到潜在的突破点。
信息收集的核心内容包括:
通过多种渠道和技术手段(如搜索引擎、工具扫描、人工分析等)尽可能详细地了解目标,可以显著提高渗透测试的成功率。正所谓:“没有无法攻克的目标,只有不足的准备与信息收集。”
Whois查询是获取目标域名注册信息的重要方式。通过Whois查询,可以了解域名的注册人、注册机构、邮箱、DNS服务器等关键信息。
因为有些网站信息查得到,有些网站信息查不到,所以推荐以下信息比较全的查询网站,直接输入目标站点即可查询到相关信息。
站长之家域名WHOIS信息查询地址
http://whois.chinaz.com/
爱站网域名WHOIS信息查询地址
https://whois.aizhan.com/
腾讯云域名WHOIS信息查询地址
https://whois.cloud.tencent.com/
美橙互联域名WHOIS信息查询地址
https://whois.cndns.com/
爱名网域名WHOIS信息查询地址
https://www.22.cn/domain/
易名网域名WHOIS信息查询地址
https://whois.ename.net/
中国万网域名WHOIS信息查询地址
https://whois.aliyun.com/
西部数码域名WHOIS信息查询地址
https://whois.west.cn/
新网域名WHOIS信息查询地址
http://whois.xinnet.com/domain/whois/index.jsp
纳网域名WHOIS信息查询地址
http://whois.nawang.cn/
中资源域名WHOIS信息查询地址
https://www.zzy.cn/domain/whois.html
三五互联域名WHOIS信息查询地址
https://cp.35.com/chinese/whois.php
新网互联域名WHOIS信息查询地址
http://www.dns.com.cn/show/domain/whois/index.do
国外WHOIS信息查询地址
https://who.is/
网站备案信息是根据国家法律法规规定,由网站所有者向国家有关部门申请的备案,如果需要查询企业备案信息(单位名称、备案编号、网站负责人、电子邮箱、联系电话、法人等),推荐以下网站查询
1.天眼查
https://www.tianyancha.com/
2.ICP备案查询网
http://www.beianbeian.com/
3.爱站备案查询
https://icp.aizhan.com/
4.域名助手备案信息查询
http://cha.fute.com/index
5.工信部ICP备案管理系统
https://beian.miit.gov.cn/
6.聚名网备案查询
https://icp.juming.com/
7.西部数码备案查询
https://www.west.cn/web/miit.htm
收集子域名可以扩大测试范围,通过收集并分析子域名,能够发现隐藏的服务、系统漏洞或管理接口,从而找到潜在的攻击入口。同一主域名下的二级域名(子域名)
往往是攻击的突破口
子域名中的常见的资产类型一般包括办公系统,邮箱系统,论坛,商场,其他管理系统,网站管理后台
也有可能出现子域名中。
查询目标域名信息的方式有:
1、FOFA
使用FOFA可以通过关键字查找目标网站或公司相关的信息。
查询示例:title="公司名称"
2.百度
使用百度的intitle
查询,找出包含特定公司名称的网站页面。
查询示例:intitle="公司名称"
3.Google
通过Google的intitle
操作符查找包含公司名称的网页标题。
查询示例:intitle="公司名称"
4.站长之家
通过站长之家工具可以直接搜索目标的公司名称或域名,获取相关的备案信息、网站IP、域名归属等。
查询示例:直接搜索“公司名称”或“网站域名”。
5.钟馗之眼(ZoomEye)
ZoomEye是一个强大的搜索引擎,专注于发现网络设备、服务、域名、IP等信息,支持特定域名的查询。
查询示例:site=域名
6.Shodan
Shodan是一个搜索引擎,用于扫描并查找互联网连接的设备,如路由器、服务器、摄像头等。
查询示例:hostname:"公司名称"
7.Censys
Censys提供对整个互联网进行实时扫描,用户可以查询任何公开暴露的资产。
查询示例:"公司名称" site:example.com
8.PassiveTotal
这是一个被动信息收集平台,可以获取目标的DNS记录、子域名、IP地址等。
查询示例:输入公司名称或目标域名进行详细信息收集。
9.Netcraft
Netcraft提供网络空间分析服务,查询域名的历史信息、Web服务器使用情况等。
查询示例:输入目标网站或域名。
通过有效的网络空间绘测,渗透测试人员可以深入了解目标的网络环境,从而更有针对性地进行攻击模拟,提高测试的覆盖范围和精准性。
1.Layer子域名挖掘机
2.SubDomainBrute
3.改装版灯塔
4.subfinder
1. 端口扫描
1.1 msscan端口扫描
msscan
是一个非常快速且高效的端口扫描工具,通常用于扫描目标主机的开放端口。
msscan -p 63353 ip --rate 100
-p
:指定扫描的端口(也可以使用-p-
表示扫描所有端口)。--rate
:设置扫描的速率(单位为每秒包数),可以通过调整此参数来控制扫描速度,以避免对目标造成过大负载。1.2 御剑端口扫描
御剑
(Yujian)是另一款功能强大的端口扫描工具,特别适合渗透测试人员进行快速扫描。其特点是图形化界面和强大的定制化扫描功能。
1.3 nmap端口扫描
nmap
是最常用的网络扫描工具之一,支持全面的端口扫描、服务版本探测、操作系统识别等多种功能。
nmap -sV 192.168.0.2
-sV:版本探测,显示开放端口的服务版本。
nmap -sT 192.168.0.2
-sT:进行TCP连接扫描,适用于不允许发送SYN包的环境。
nmap -sV -Pn -A -sC 192.168.0.2
-Pn:禁用ping扫描(假设目标主机处于在线状态)。
-A:启用操作系统检测、版本探测、脚本扫描等。
-sC:启用默认脚本扫描。
nmap -sU -sT -p- 192.168.0.2
-sU:UDP扫描。
-p-:扫描所有65535个端口。
nmap -oA filename 192.168.0.2
-oA:保存扫描结果为三种格式(XML、Nmap格式、Grepable格式)
nmap -iL ip.txt
扫描多个IP或IP段: 将IP地址保存到txt文件中,并使用-iL选项扫描多个IP或IP段
Nmap为端口探测最常用的方法,操作方便,输出结果非常直观。
1.4 在线端口检测
http://coolaf.com/tool/port
2. 常见端口的攻击方法
端口号 | 服务 | 攻击方法 |
21/22/69 | ftp/tftp文件传输协议 | 扫描探测;暴力破解 |
22 | ssh远程连接 | 暴力破解OpenSSH;28个弱口令 |
23 | telnet远程连接 | 暴力破解 |
25 | smtp邮件服务 | 邮件伪造 |
53 | DNS域名系统 | DNS域名解析欺骗;利用DNS隐蔽通道 |
67/68 | dhcp | 弱口令扫描 |
110 | pop3 | 弱口令扫描 |
139 | samba | 未授权访问,远程执行 |
143 | imap | 暴力破解 |
161 | snmp | 暴力破解 |
389 | ldap | 未授权访问 |
512/513/514 | linux rlogin | 直接使用rlogin进行登录 |
873 | rsync | 未授权访问 |
1080 | socket | 进行反向连接 |
1352 | lotus | 弱口令信息泄漏;源代码曝光 |
1433 | mssql | 使用系统用户权限注入攻击 |
1521 | oracle | TNS注入攻击 |
2049 | nfs | 配置错误 |
2181 | zookeeper | 未授权访问 |
3306 | mysql | 暴力破解服务;注入 |
3389 | rdp | 暴力破解;shift反弹 |
4848 | glassfish | 控制脚本;命令执行 |
5000 | sybase/DB2 | 弱口令扫描 |
5432 | postgresql | 缓冲区溢出;弱口令 |
5632 | pcanywhere | 远程执行控制 |
5900 | vnc | 弱口令;执行远程控制 |
6379 | redis | 未授权访问;弱口令 |
7001 | weblogic | Java反序列化漏洞 |
8069 | zabbix | 远程命令执行 |
8080-8090 | web | 弱口令;漏洞探测 |
9090 | websphere | Java反序列化漏洞 |
9200/9300 | elasticsearch | 远程执行攻击 |
如果目标网站使用了CDN,使用了cdn真实的ip会被隐藏,如果要查找真实的服务器就必须获取真实的ip,根据这个ip继续查询旁站。
很多时候,主站虽然是用了CDN,但子域名可能没有使用CDN,如果主站和子域名在一个ip段中,那么找到子域名的真实ip也是一种途径。
CDN(内容分发网络)通常会通过多个地理位置的节点来加速网站的加载速度。因此,使用多地Ping测试可以帮助确定一个网站是否使用了CDN。通过比较不同地理位置的Ping结果,可以判断是否有CDN的迹象。
以下是一些常用的Ping工具网站:
很多时候,网站历史的DNS解析记录可以透露真实的IP信息。特别是在CDN启用之前的记录中,可能会暴露出未被隐藏的真实IP。这个方法有时会帮助你找到目标网站的真实服务器IP。
2.1 DNSDB
DNSDB是一个DNS查询历史数据库,提供了从过去的DNS解析记录中获得真实IP的可能性。可以通过该平台查询一个域名的历史解析记录。
2.2 微步在线
微步在线提供的威胁情报平台,包括了丰富的DNS解析记录,可以用于查询目标域名的历史信息。
2.3 Ipip.net
Ipip.net是一个提供IP地址、CDN信息以及地理位置查询的工具,它支持通过分析DNS记录,帮助识别是否使用了CDN以及真实IP。
2.4 ViewDNS
ViewDNS是一个免费的在线工具,可以查询域名的DNS历史记录,包括IP地址、域名解析信息等。
除了以上工具外,你还可以通过以下技巧来帮助确认真实IP:
旁站是指与目标网站位于同一服务器上的其他站点,但这些站点使用不同的域名。通过收集已有的IP信息,可以找到目标网站所使用的服务器,并进一步探测该服务器上可能存在的其他业务功能站点,这些站点往往可能包含敏感信息或未被保护的资源,成为渗透测试的重要突破口。
在收集到目标网站的IP后,建议先扫描旁站,找出可能存在的其他站点。此时,可以使用以下方法来帮助查找旁站:
1.1 站长之家
站长之家提供了“同IP网站查询”工具,通过输入目标IP,能够列出同一IP下的其他站点,帮助发现旁站。
1.2 Google Hacking
Google Hacking是一种利用Google搜索引擎进行高级搜索的方法,通过特定的查询语句可以帮助发现旁站信息。例如,可以通过以下FOFA查询指令来搜索同一IP段内的站点:
ip="10.0.0.0/24"
通过Google搜索特定的指令也可以帮助你进一步寻找旁站。例如,利用特定的关键字来搜索与目标网站相似的站点。
1.3 其他搜索引擎
除了Google外,使用其他搜索引擎也可以帮助发现旁站信息,以下是一些常见的工具:
C段扫描是指扫描目标网络段(即C类网段)的IP地址范围。通过扫描C段,可以识别出目标网络段内的其他潜在IP地址,并进一步确认是否属于目标域名或站点。C段扫描的重点是尽可能多地扫描该网段中的每个IP地址,以发现隐藏的站点或服务。
2.1 使用Nmap进行C段扫描
Nmap是网络安全领域中非常常用的扫描工具,可以通过指定IP段(例如C段网段)来扫描目标范围,检测开放端口及其他信息。例如:
nmap -p 80,443,8000,8080 -Pn 192.168.0.0/24
这个命令的作用是扫描C段192.168.0.0/24
中的所有IP地址的端口80(HTTP)、443(HTTPS)、8000和8080。你可以根据需要指定其他端口,或者使用-p-
扫描所有端口。
2.2 使用Msscan进行C段扫描
Msscan是另一个常用的扫描工具,它适合大范围的IP扫描。扫描命令通常是这样的:
msscan -p 80,443,8000,8080 ip --rate 1000
你可以根据目标的IP段调整扫描参数,确保扫描速度和精度。
2.3 注意事项
通过C段扫描,你可以进一步确定目标网络的边界,并且识别出更多潜在的测试对象。对于多个IP地址和站点的测试,可以有效地扩展渗透测试的范围。
敏感目录扫描是渗透测试中的一项重要步骤,它通过字典爆破的方式检测网站是否存在敏感或未授权访问的目录和文件。进行敏感目录扫描时,务必获得目标站点的授权,因为未经授权的扫描行为可能会导致法律问题。敏感目录的存在可能导致网站信息泄露、系统漏洞暴露等安全风险,因此对其进行扫描可以帮助发现潜在的安全隐患。
敏感目录扫描工具主要是通过字典进行路径爆破,常用的工具包括:
1.1 御剑
御剑是一款强大的Web目录扫描工具,支持通过字典对网站进行目录扫描,帮助识别潜在的敏感目录。
1.2 7kbstorm
7kbstorm是一个开源的Web路径爆破工具,使用字典进行扫描,可以快速识别网站上的敏感目录和文件。
在进行敏感目录扫描时,需要关注一系列可能暴露重要信息的文件和目录。以下是常见的敏感文件和目录:
/admin
、/adminer
、/panel
等,可能是管理后台的入口,若未进行保护容易被攻击者利用。/install
、/setup
等目录,安装文件可能存在漏洞。/upload
,攻击者可能通过上传恶意文件来攻破站点。/phpmyadmin
,若该页面未加密保护,攻击者可直接控制数据库。/phpinfo.php
,该页面泄露了关于服务器环境的详细信息,攻击者可利用这些信息进行进一步攻击。/editor
等,可能存在未经授权的访问路径。/test.php
、/test.html
,常用于开发过程中,若未清除可能暴露敏感信息。.rar
、.zip
、.7z
、.tar.gz
、.bak
等,可能包含数据库、配置文件或其他敏感数据。.swp
,包含文件的临时备份信息,可能泄露敏感数据。.git
目录可能会泄露完整的代码库。.svn
目录可能包含未公开的源代码或配置文件。