文章目录
前言
信息收集的作用
1.了解组织安全架构
2.缩小攻击范围
3.描绘网络拓扑
4.列出脆弱点数据库
5.增加渗透思路
信息收集分类
1.主动信息收集 与目标产生直接交互 优点为获得信息全面,缺点会记录自己信息
2.被动信息收集 与目标不产生直接交互 优点为不会泄露自己信息 缺点为搜集信息不全面
1.企业信息收集
1.企业基本信息
2.员工信息(手机号码,邮箱,姓名等)组织框架,企业法人,企业综合信息等。
3.其中员工信息收集是信息收集中的一项重要工作,员工信息包括:员工姓名,员工工号,员工家庭及交际信息,上网习惯等。
4.员工身份信息:员工简历,员工身份证,手机号,生日,家乡,住址等个人信息。
5.员工社交账号信息:QQ号,QQ群,微博,微信,支付宝,员工邮箱账号等。
企业信息查询网站:
天眼查:https://www.tianyancha.com
企查查:https://www.qichacha.com
ICP备案查询:http://www.beianbeian.com/
公安部备案:http://www.beian.gov.cn/portal/recordQuery
2.GIThub
Github不仅能托管代码。还能对代码进行搜索,当上传并公开代码时,一时大意,会让某些敏感的配置信息文件等暴漏于众。
1.泄露源码
2.泄露数据库、邮箱、ftp、3389等账号
3.泄露人员信息
4.泄露其他敏感信息
Github:https://github.com/facebook/react koko-714 lplg521.
利用GitHub搜索敏感信息:https://blog.csdn.net/xiaoi123/article/details/85121827
3.信息泄露
SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用导出功能,而是直接复制代码到WEB服务器上,这就使.svn隐藏文件夹暴漏于外网环境,黑客可以借助其中包含的用于版本信息追踪的entries文件,逐步摸清站点结构。(可以利用.svn/entries文件,获取到服务器源码,svn服务器账号秘密等信息)
web安全/渗透测试–47–.SVN信息泄露漏洞:https://blog.csdn.net/wutianxu123/article/details/82810867
4.邮箱信息泄露
常见在线邮箱收集网站,这些网站通过爬虫,搜索引擎等方式,获取互联网上暴露的邮箱地址。
Skymem:http://www.skmem.info/
hunter:https://hunter.io/
Email-format:https://email-format.com/
5.网盘信息收集
https://email-format.com/
http://www.pandoudou.net/
http://www.zhuzhupan.com/
https://www.quzhuanpan.com/
https://www.panc.cc
6.漏洞库信息
查询历史漏洞,获取目标之前存在的安全问题,可以利用已知漏洞直接对目标系统进行攻击。
https://www.exploit-db.com/?port=21
https://cve.mitre.org/
https://www.exploit-db.com/
7.端口、服务信息
服务和安全是相应的,每开启一个端口,那么攻击面就大了一点,开启的端口越多,也就意味着服务器面临的威胁越大。
1.Nmap
Nmap是主机扫描工具,他的图形化界面界面是Zenmap,分布式框架为Dnamp
Nmap可以完成以下任务:
主机探测
端口扫描
版本检测
系统监测
支持探测脚本的编写
2.御剑告诉TCP全端口扫描
3.PortScan
4.Google浏览器shodan插件
5.在线端口扫描
站长之家:http://tool.chinaz.com
postjson:http://coolaf.com/tool/port
8.子域名枚举
子域名枚举是为一个或多个域名查找子域名的过程,它是信息收集阶段的重要组成部分。
为什么要进行子域名枚举?
1.子域名探测可以帮我们发现渗透测试中更多的服务,它们在安全评估的范围内,从而增加了发现漏洞的机会。
2.查找以下用户上较少,被人遗忘的子域名,其上运行的应用程序可能会使我们发现关键漏洞。
3.通常,统一组织的不同域名/应用程序中存在相同的漏洞。
1.搜索引擎查询
Google,baidu,Bing等传统搜索引擎
site:baidu.com inurl:baidu.com
搜target.com|公司名字
2.子域名搜集小工具
subDomainsBrute:https://github.com/lijiejie/subDomainsBrute
wydomain:https://github.com/ring04h/wydomain
wafw00f:https://github.com/EnableSecurity/wafw00f
whatweb:https://github.com/urbanadventurer/whatweb
laver子域名挖掘机
DNSdumpster
Sublist3r:https://github.com/aboul3la/Sublist3r
3.在线查询工具
http://tool.chinaz.com/subdomain/
https://www.virustotal.com/
https://censys.io/
https://x.threatbook.cn/
https://phpinfo.me/domain/
4.网络空间资产搜索引擎
Zoomeye
Shodan
Fofa
9.DNS查询/枚举/历史DNS解析
DNS查询
kali下host命令
host -t a domainName
host -t mx domainName
优点:非常直观,通过查询DNS服务器的A记录,CNAME等,可以准确地得到相关信息,较全面。
缺点:有很大的局限性,很多DNS是禁止查询的。
在线查询网站;
http://tool.chinaz.com/dns/
https://tool.lu/dns
历史DNS解析:https://dnsdb.io/zh-cn/
Sonar:https://opendata.rapid7.com/sonar.fdns_v2/
DNS暴力破解:firece
参考链接:
DNS信息收集:https://www.cnblogs.com/xuanhun/p/3489038.html#RefHeading22036_2040717175
渗透测试之子域名探测指南:http://www.0xby.com/1105.html
域传送漏洞参考链接:https://blog.csdn.net/c465869935/article/details/53444117
10.证书证明度公开日志枚举
证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中。SSL/TLS证书通常包含域名,子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。
SSL证书搜索引擎:
https://sertdb.com/domain/github.com
https://srt.sh/?ledntity=%%.github.com
https://censys.io/
基于HTTPS证书的子域名收集小程序GetDomainsBySSL.py
参考链接:http://www.frwwbuf.com/articles/network/1470738.html
11.网站架构
1.操作系统类型
2.数据库类型
3.Web中间件
4.网站开发语言
12.Web应用信息
1.Web前端框架
2.Web应用框架
3.Web开发框架
4.CMS类型
5.指定路径下指定名称的js文件或代码
6.指定路径下指定名称的css文件或代码
7.display:none中的版权信息
8.页面底部版权信息,关键字©Powered by等
9.注释掉的html代码中的内容
10.http头中X-Powered-By中的值,有的应用框架程序会在此值输出
11.cookie中的关键字
12.robots.txt文件中的关键字
13.404报错页面
14.302返回时的旗标
13.Web指纹信息
1.潮汐指纹:http://finger.tidesec.net
2.wappalyzer插件
3.whatweb工具
4.CMS识别工具http://whatweb.bugscaner.com/look
5.云溪http://www.yunsee.cn
14.敏感文件、目录信息
由于发布网站时,服务器配置问题,导致目录浏览功能打开,从而引起信息泄露,造成安全隐患。在信息收集过程中,需要收集的敏感目录/文件信息包括:
1.robots.txt
2.crossdomin.xml
3.sitemap.xml
4.后台目录
5.网站安装包
6.网站上传目录
7.mysq|管理页面
8.phpinfo
9.网站文本编辑器
10.测试文件
11.网站备份文件(rar、zip、 .7z、 .tar.gz .bak)
12.DS_ Store文件
13.vim编辑器备份文件(.swp)
14.WEB一INF/web.xml文件
15.旁站查询
旁站信息:旁站是和目标网站在同一台服务器上的其它的网站,主站无法获取权限的情况下,旁站即可作为攻击入口。
旁站信息收集:
http://s.tool.chinaz.com/same
https://phpinfo.me/bing.php
https://www.aizhan.com/ IP反查域名
http://www.webscan.cc
16.段信息
C段信息: C段和目标服务器ip处在同一一个C段的其它服务器。
1.在线接口查询
http://www.webscan.cc
htts://phpinfo.me/bing.php
2.Nmap扫描C段
nmap -sP 1.1.1.1/24
探测C段存活主机,可以用|grep up过滤存活主机
这种就是相当于不断的ping子网
3.1IS Put Scaner
主要收集的信息包括:
1.搜索子域名
2.搜索后台管理页面
3.搜索泄露的敏感信息
4.搜索未授权访问
5.搜索开放端口服务
6.搜索过往或未修复漏洞
7.搜索目标相关人员信息
常见后缀名:
17.网络空间资产搜索引擎信息收集
网络空间搜索引擎的作用就是将互联网上公开的网络资产收集和整理,以此方便人们进行查阅和利用。网络空间可以发现了不少企业的脆弱系统,未授权访问,SQL注入,弱口令等等都是存在的。1.Shodan https://www.shodan.io/
2.FOFA https://fofa.so/
3.Zoomeye https://www.zoomeye.org/
4.oshadan https://www.oshadan.com/
18.内网入口点信息
1.企业邮箱登录口
2.VPN登录口
3.各类0A/crm/sso系统的web入口
4.各类中间件web页面管理入口
5.各类监控系统,防火墙,虚拟化,路由器入口等
19.Waf信息
WAF也称Web应用防护系统,Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专 门为Web应用提供保护的一款产品
1.wafw00f工具
2.Nmap
Nmap探测WAF有两种脚本,一种是http-waf-detect,-一种是http-waf-fingerprint
3.Burpsuite: X-Powered-By字段
20.真实IP地址
CND介绍
CDN的全称是Content Delivery Network (内容分发网络),通过在网络各处的加速节点服务器来为网站抵挡恶意流量,把正常流量进行转发。用简单点的话来说,CDN-般有三个作用:
1.跨运营商加速:我们自己的网站常常只属于一个运营商(比如:电信),而加速节点遍布每家运营商,于是和网站不同运营商(比如:联通)的用户访问起来就不会那么慢了。
2.缓存加速:很多的静态资源以及一部分页面更新都是比较慢的(比如首页) , 这个时候CDN就会根据浏览器的max- age和last- modified值以及管理员的预设值来进行缓存,于是很多流量CDN节点就不会每次都来向网站请求,CDN节点可以直接自作主张地将命中的缓存内容返回。
3.恶意流量过滤:这是CDN非常重要的一个作用,也是很多网站会用CDN的原因,因为CDN能为我们抵挡攻击大流量攻击、普通的攻击(比如注入等),只有正常流量才会转发给网站。
参考链接: 11种绕过CDN查找直实IP方法
https://www.cnblogs.com/qiudabai/p/9763739.html
