信息收集概述
在攻防渗透中,信息收集是非常重要的一步,通过信息收集可以了解渗透目标的网络架构,描述出相关的网络拓扑,缩小攻击范围。只有将目标的相关信息收集完整,才可以对攻击目标开启的主机及其安装运行的应用针对性地进行有效攻击
真实IP获取
真实IP就是指公网IP地址,公网IP大约40亿个左右,范围是xxx.xxx.xxx.xxx,一个xxx是代表0-255
我们平时使用浏览器,访问网站使用的都是域名,域名的存在是为了方便人的记忆,其实浏览器本质还是访问真实IP地址,来获取页面的。找到真实的IP我们就可以访问这个IP的C段和端口,方便进一步渗透,但是有的网站挂了CDN,我们必须绕过CDN获取真实IP
绕过CDN
- 使用多地主机ping域名
站长工具:http://ping.chinaz.com
爱站网:https://ping.aizhan.com
国外ping检测:https://subnetonline.com/pages/network-tools/online-ping-ipv4.php - nslookup域名解析
使用命令对域名进行解析,如果解析出多个IP地址,可能使用了CDN技术 - 子域名查询
很多网站只对主站做了CDN加速,子域名没有做CDN加速。子域名和主站很有可能在同一个服务器或者同一个C段中,可以通过探测子域名的方式,收集子域名的信息,查询子域名的IP地址来辅助判断主站的IP信息 - 历史DNS解析记录
通过查询DNS与IP绑定的历史记录就有可能发现之前的真实IP信息,一般通过第三方服务网站进行查询
DNSdb:https://dnsdb.io/zh-cn
微步在线:https://x.threatbook.cn - 网站漏洞
利用网站的漏洞和信息泄露的敏感文件信息,比如(phpinfo文件, 网站源码
文件,Github文件泄露)等获取真实IP - 邮件信息
邮件信息中会记录邮件服务器的IP信息,有些站点类似于RSS邮件订阅的功
能,可以利用其发送邮件,通过查看源码的方式查看服务器的真实IP地址
旁站信息收集
旁站是与攻击目标在同一服务器上的不同网站,在攻击目标没有漏洞的情况下,可
以通过查找旁站的漏洞攻击旁站,然后再通过提权拿到服务器的最高权限,拿到服务器的最高权限后攻击目标也就拿下了
- 获取旁站信息
站长工具同IP查询:https://stool.chinaz.com/same
bing搜索:https://cn.bing.com/search?q=ip:x.x.x.x
网络空间探测引擎搜索
C段主机查询
当前的IP攻击不下来的时候,可以攻击他的C段,比如IP是x.x.x.x是我们的目标,但是攻击不下来,可以去扫描x.x.x.0-255这个网段尝试攻击
- C段扫描方式
nmap扫描C段主机:nmap -Sn IP/24
使用google或者百度进行语法搜索:site:x.x.x.*
使用C段扫描的工具
使用网络空间探测弓|擎
子域名信息收集
子域名是父域名的下一级,企业对于主站域名的应用的防护措施比较健全,而企业可能有多个、几个甚至更多的子域名应用,因为子域名数量多,企业子域名的防护可能没有主站的防护做的到位,攻击不到主站的时候,尝试攻击子域名,进行子域名的信息收集
- 子域名收集方式
枚举:Layer子域名挖掘机
搜索引擎:google、baidu、bing
空间搜索引擎:fofa等
透明证书:当通过安全连接(HTTPS)访问某个网站时,该网站会向浏览器提供数字证书。此证书用于识别该网站的主机名,由已验证网站所有者的证书授权中心(CA)签发。只要用户信任相应的CA,便可信任证书中提供的身份证明。查询网站:https://crt.sh/
聚合工具:oneforall
端口信息收集
端口是设备与外界通讯交流的出口,不同的端口对应不同的服务,计算机的端口是0-65535个,当80 443等端口攻击不下来的时候通过端口测试,扫描其他端口,从而渗透成功
- 端口发现方式
nmap扫描:nmap -sV -p 1-65535 IP
使用端口扫描工具,如御剑
whois搜集
whois是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)
- 在线查询
爱站:https://whois.aizhan.com/haima.com/
站长之家:https://whois.chinaz.com/
操作系统识别
- TTL值:Windows服务器128(修改默认TTL值 运行->regedit->HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters->设置DefaultTTL值),Linux服务器64(临时修改默认TTL值 /proc/sys/net/ipv4/ip_default_ttl,永久修改TTL值 /etc/sysctl.conf 添加 net.ipv4.ip_default_ttl=128)
- nmap -O IP:识别主机操作系统
- 大小写:Windows服务器大小写不敏感,Linux服务器大小写敏感
服务版本识别
- 流量包和响应包中的关键字
- nmap -sV IP:识别开放端口的服务版本
- 报错显示:如访问不存在的页面(配置文件中关闭显示版本号)
- 常见服务组合:
Linux+Apache+PHP+MySQL
Linux+Nginx+PHP+MySQL
Windows+IIS+ASP+SQL Server
Linux+Tomcat+JSP+MySQL
Linux+Tomcat+JSP+Oracle
指纹识别
- 特有文件、MD5
- 文件命名规则
- 返回头、网页关键字
- 在线识别工具:
http://whatweb.bugscaner.com/look/ - 其他工具:whatweb、cmseek
敏感路径识别
目录扫描可以让我们发现这个网站的整体结构。通过目录扫描我们还能扫描敏感文件,后台文件,数据库文件,和信息泄漏文件等等
-
常见敏感文件、目录:
robots.txt
crossdomain.xml
sitemap.xml
后台目录、网站安装目录、网站上传目录
mysq|管理页面
.git、.svn版本文件,使用githack可下载源码
探针文件、测试文件
网站文本编辑器
网站备份文件(.rar、.zip、 .7z、 .tar、 .gz、 .bak)
DS_ Store文件
WEB-INF/web.xml文件 -
返回包状态码
401:不允许查看(换个账号或登录)
403:无论是否登录都无法查看(设置请求包中的X-Original-URL和X-Rewrite-URL覆盖请求URL中的路径;修改Host为白名单地址;修改Referer为要请求的路径;使用多种标头绕过如XFF;扩展名绕过)
404:资源不存在
405:不允许此方法访问(更换请求的方法)
历史漏洞信息收集
可通过安全社区、微信公众号、安全公司、实验室等途径收集漏洞
- 国外漏洞库
https://www.exploit-db.com/
https://vulners.com/ - 国内漏洞库
https://www.cnvd.org.cn/
https://avd.aliyun.com/
https://wiki.bylibrary.cn/
扫一扫
4万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
