web渗透之信息收集

为什么要信息收集

渗透测试之前，最重要的一步就是信息收集，在这个阶段，我们要尽可能地收集目标组织信息。所谓“知己知彼，百战不殆”，我们越是了解测试目标，测试的面就越广，渗透工作就越容易成功。

信息收集的方式

• 主动信息收集：直接与目标交互，通过对交互过程中的信息进行收集，例如：Nmap扫描、Burpsuite站点地图收集等
• 被动信息收集：通过第三方搜索引擎与目标交互，或不予目标交互，查询具体数据库，获得目标的信息，例如Google Hacking、Shodan查询等

信息收集名词解释

1. whois
   WHOIS 是用来查询域名或 IP 所有者信息的传输协议。它可以用来查询域名是否已经被注册，以及注册者的详细信息。
   WHOIS 服务是由注册商和注册局来提供，主要记录了支持的所有域名的信息。它是一个基于“查询/响应”的 TCP 事务服务，并向客户端提供对应的查询服务。
   工作过程
   

2. ICP备案
   备案的目的就是为了防止在网上从事非法的网站经营活动，打击不良互联网信息的传播，如果网站不备案的话，很有可能被查处以后关停。非经营性网站自主备案是不收任何手续费的，所以建议大家可以自行到备案官方网站去备案。

3. 子域名
   子域名（或子域；英语：Subdomain）是在域名系统等级中，属于更高一层域的域。比如，mail.example.com和calendar.example.com是example.com的两个子域，而example.com则是顶级域.com的子域。一级域名后面还隐藏着一个.
   在第几个.前面就代表是几级域名，例如baihe.com. --baihe是二级域名，com是一级域名

4. web目录
   Web目录包括有关网站的条目，包括链接到这些网站的条目，按类别和子类别分类。除了链接之外，每个条目还可能包含网站的标题以及其内容的描述。在大多数Web目录中，条目都是关于整个网站的，而不是其中的单个网页（称为“深层链接”）

5. 敏感文件和目录
   （1）Git
   （2）hg/Mercurial
   （3）svn/Subversion
   （4）bzr/Bazaar
   （5）Cvs
   （6）WEB-INF泄露
   （7）备份文件泄露、配置文件泄露（phpinfo）
   网站备份文件后缀.git、.svn、.swp、.~、.bak、.bash_history、.bkf

6. CMS
   内容管理系统（content management system，CMS）是一种位于WEB 前端（Web 服务器）和后端办公系统或流程（内容创作、编辑）之间的软件系统。（即建立网站的框架）
   CMS具有许多基于模板的优秀设计，可以加快网站开发的速度和减少开发的成本。

7. 端口
   主机的不同端口对应着不同服务，而对于不同的端口，攻击的方向也不同

8. web服务器信息
   web容器（中间件）：IIS、Apache、Tomcat、Nginx等
   数据库：Mysql、Access、Redis、Oracle等
   脚本语言（后台）：php、java、python

9. CDN
   内容分发网络
   解决因传输距离和不同运营商节点造成的网络速度性能低下的问题，把用户经常访问的静态资源直接缓存到节点服务器上，当用户再次请求时，会直接分发到离用户近的节点服务器上响应给用户，当用户有实际数据交互时才会从远程web服务器上响应。

10. 旁站注入
    旁注的意思就是从同台服务器上的其他网站入手，提权，然后把服务器端了，就自然把那个网站端了。

11. C段嗅探
    C段嗅探，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探监听该网段。

信息收集渠道

whois查询

• https://whois.aliyun.com/
• http://whois.chinaz.com/cnblogs.com
• https://whois365.com/tw/domain/www.cnblogs.com

ICP备案查询

• http://icp.chinaz.com/index.jsp
• https://beian.tianyancha.com/
• https://www.aizhan.com/

子域名查询

• https://tool.chinaz.com/subdomain
• https://dnsdumpster.com/
• https://phpinfo.me/domain

Web目录扫描

• https://github.com/maurosoria/dirsearch
• dirsearch常用命令
• https://github.com/7kbstorm/7kbscan-WebPathBrute

敏感目录查询

• shodan
• zoomeye
• google

CMS识别工具

• http://whatweb.bugscaner.com/look/
• https://www.yunsee.cn/
• https://github.com/Ms0x0/Dayu
• 大禹常用命令
• https://github.com/Tuhinshubhra/CMSeeK
• CMSeeK常用命令

端口扫描工具

• https://nmap.org/download.html
• nmap常用命令
• shodan
• zoomeye

web服务器信息

• python requests --request.get(url).header
• 开发者工具，查看response headers
• burpsuite抓包
• 数据库 shodan zoomeye

判断是否使用CDN

• https://ping.chinaz.com/baidu.com
• https://site.ip138.com/baihe.com/
• http://www.17ce.com/
• ping 主域，查看域名有没带有CDN字样
• 查看各地ping的ip是否一致，ip的归属地是否一致

绕过CDN

• 内部邮箱源，查看邮件头中的邮件服务器域名IP，ping这个域名（必须是自己的邮件服务器，第三方或公共邮件服务器没用）
• 扫描网站测试文件，如phpinfo.php、test等
• 分站域名，ping二级域名获取分站IP，可能会出现分站和主站不是同一个IP但在同一个C段的情况，从而判断出目标真实IP段
• 国外在线代理访问，国内的CDN往往只对国内用户的访问加速，可以使用站长之家
• 观察域名的IP历史记录，https://sitereport.netcraft.com/,https://viewdns.info/iphistory/
• 如果目标网站有APP，可以尝试Burp抓取请求，从里面找到目标IP

信息收集流程