1.5指纹识别
指纹识别的特征:终身不变性、唯一性、方便性
本节所讲的指纹指网站CMS指纹识别、计算机操作系统、web容器的指纹识别
应用程序一般在HTML、CSS、JavaScript中多多少少会包含一些特征码,比如WordPress在robots.txt包含wp-admin、首页index.php中会包含generator=wordpress 3.xx,这个特征就是CMS的指纹,当碰到其他网站也存在此信息时,就可以快速识别出该CMS,所以叫指纹识别.
| 常见的指纹识别对象 |
|
| CMS信息 |
大汉CMS、织梦、帝国CMS、phpcms、ecshop等 |
| 前端技术 |
HTML5、jquery、bootstrap、pure、ace |
| Web服务器 |
Apache、lighttpd、Nginx、IIS等(后文补充)
扫描二维码关注公众号,回复:
16702495 查看本文章
|
| 应用服务器 |
Tomcat、Jboss、weblogin、websphere等 |
| 开发语言 |
PHP、java、Ruby、Python、C#等 |
| 操作系统信息 |
linus、win2k8、win7、kali、centos等 |
| CDN信息 |
是否使用CDN、cloudflare、360cdn、365cyd、yunjiasu等(后文补充) |
| WAF信息 |
是否使用waf,如Topscc、Jiasule、Yundun等 |
| IP及域名信息 |
IP和域名注册信息、服务商信息等 |
| 端口信息 |
有些软件或平台还会探测服务器开放的常见端口 |
CMS(Content Management System)又称整站系统或文章系统。
内容管理系统是企业信息化建设和电子政务的新宠,也是一个相对较新的市场,对于内容管理,业界还没有一个统一的定义.
我们认为内容管理系统是一种位于WEB前端(Web 服务器)和后端办公系统或流程(内容创作、编辑)之间的软件系统.
CMS扫描工具
BugScaner: http;//whatweb.bugscaner.com/look
云悉指纹: http://www.yunsee.cn/finger.html
WhatWeb: http://whatweb.net/.
常见的Web服务器
Apache(Apache HTTP Server)是Apache软件基金会的一个开放源代码的网页服务器软件,可以在大多数电脑操作系统中运行,由于其跨平台和安全性被广泛使用,是最流行 的Web服务器软件之一
Nginx(发音同engine x)是一个网页版服务器,它能反向代理HTTP,HTTPS,SMTP,POP3,IMAP的协议链接,以及一个负载均衡器和一个HTTP缓存。Nginx是一款面向性能的服务器,相较于Apache、lighttpd具有占有内存少,稳定性高等优势
IIS是Internet Information Server的缩写,它是微软公司主推的服务器
Lighttpd是一个德国人领导开源Web服务器软件,具有非常低的内存开销、CPU占用率低、效能好以及丰富的模块等特点。
Tomcat是Apache软件基金会的Jakarta项目中是一个核心项目,由Apache、Sun和一些公司及个人共同开发而成。Tomcat技术先进、性能稳定,而且免费,因而深受Java爱好者的喜爱并得到了部分软件开发商的认可,成为目前比较流行的web应用服务器
1.6查找真实IP
在渗透测试过程中,目标服务器可能只有一个域名,那么如何通过这个域名来确定目标服务器的真实IP对渗透测试来说就很终于重要。如果目标服务器不存在CDN,可以直接通过www.ip138.com获取目标的一些IP及域名信息。这里主要讲解在以下这几种情况下,如何绕过CDN寻找目标服务器的真实IP.
1.61.目标服务器存在CDN
CDN即内容分发网络,主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。
如果渗透目标购买了CDN服务,可以直接ping目标的域名,但得到的并非真正的目标Web服务器,只是离我们最近的一台目标节点的CDN服务器,这就导致了我们没法直接得到目标的真实IP段范围.
1.6.2.判断目标是否使用了CDN
通常会通过ping目标主域,观察域名的解析情况,以此来判断其是否使用了CDN
还可以利用在线网站17CE(https://www.17ce.com)进行全国多地区的ping服务器操作,然后对比每个地区ping出的IP结果,查看这些IP是否一致,如果都是一样的,极有可能不存在CDN。如果IP太大不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN
方法1.使用ping命令
使用各种多地ping服务,查看对应IP地址是否唯一,如果不唯一,多半是使用了CDN网址
网站测速工具_超级ping _多地点ping检测 - 爱站网
方法2.使用nslookup命令
使用nslookup进行测试,原理同上,如果返回域名解析对应多个IP地址多半是使用了CDN
1.6.3.绕过CDN查找真实IP
在确定了目标确定实用了CDN以后,就需要绕过CDN寻找目标的真实IP
常规的一些方法
内部邮箱源。一般的邮箱都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮箱、寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP
扫描网站测试工具。如phpinfo、text等,从而找到真实IP
分站域名。很多网站主页的访问量比较大,所以主站都是挂CDN的,但是分站可能没挂CDN,可以通过ping二级域名获取分站IP,可能会出现分站和主站不是同一个IP但在同一个C段下面的情况,从而能判断出目标主机的真实IP段
国外访问。国内的CDN往往只对国内的用户的访问加速,而国外的CDN就不一定了。因此,通过国外在线代理网站APP Synthetic Monitor(https://as,.ca.com/en/ping.png)访问,可能会得到真实的IP
查询域名的解析记录。也许目标主机很久以前并没有用过CDN,所以可以通过网站NETCRAFT(https://www.netcraft.com)来观察域名的IP历史记录,也可以大致分析出目标的真实IP段
如果目标网站有自己的APP,可以尝试利用Fiddler或Burp Suite抓取App的请求,从里面找到目标的真实IP
绕过CloudFlare CDN查找真实IP。现在很多网站都使用CloudFlare提供的CDN服务,在确定了目标网站使用CDN,可以先尝试通过在线网站Cloud Flare(http;//www.crimeflare.us/cfs.html#box)对CloudFlare客户网站进行真实IP查询
1.7收集敏感目录文件
在渗透测试中,探测Web目录结构和隐藏的敏感文件是一个必不可少的环节,从中可以获取网站的后台管理页面,文件上传页面,甚至可能扫描出网站的源代码
网站目录扫描工具
Kali中的dirb、wwwscan、DirBuster(基于java编写,需要在java运行环境JRE下安装)、Spinder.py(轻量级快速单文件目录后台扫描)、Sensitivefilescan(轻量级快速单文件目录后台扫描)、Weakfilescan(轻量级快速单文件目录后台扫描)
Dirb URL、Dirl URL字典、御剑后台扫描珍藏版
设置线程的数值,推荐在20-30之间。太大了容易引起系统死机。
选择扫描类型,如果使用个人字典扫描,则选择“List based brute force”选项。
单击“Browse”选择字典,可以选择工具自带的字典,也可以选择自己的字典。
在Select starting options中选择“URL Fuzz”方式进行扫描。设置fuzzing时需要注意,在URL to fuzz里输入“\{dir})”。这里的(dir)是一个变量,用来代表字典中的每一行
如果你扫描的目标是http://wwwxxx.com/admin/,那么就要在URLto fuzz里填写“/admin/{dir}”,意思是在“{dir}”的前后可以随意拼接你想要的目录或者后缀,例如输入“:/admin/{dir}php”就表示扫描admin目录下的所有php文件。
除此之外,读者还可以利用很多在线工具站,效果也相当不错,这里推荐一个: WebScan(http://www.webscan.ce/)。
常见敏感文件
Robots.txt
存放于网站根目录下,用来告知搜索引擎哪些页面能被抓取,哪些页面不能被抓取