今天小編給大家分享一下滲透測試信息收集的方法是什么的相關(guān)知識點(diǎn)��,內(nèi)容詳細(xì)�����,邏輯清晰���,相信大部分人都還太了解這方面的知識,所以分享這篇文章給大家參考一下�����,希望大家閱讀完這篇文章后有所收獲�,下面我們一起來了解一下吧。
創(chuàng)新互聯(lián)長期為上千多家客戶提供的網(wǎng)站建設(shè)服務(wù)����,團(tuán)隊從業(yè)經(jīng)驗10年,關(guān)注不同地域�����、不同群體�,并針對不同對象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺���,與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境�。為澄城企業(yè)提供專業(yè)的成都網(wǎng)站制作����、成都網(wǎng)站建設(shè),澄城網(wǎng)站改版等技術(shù)服務(wù)����。擁有十年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。
1 收集子域信息
子域名也就是二級域名�����,是指頂級域名的域名���。假設(shè)我們的目標(biāo)網(wǎng)絡(luò)規(guī)模比較大����,直接從主域入手顯然不明智����,因為對于這種規(guī)模的目標(biāo)�����,一般其主域都是重點(diǎn)防護(hù)的區(qū)域�����,所以不如選擇進(jìn)入目標(biāo)的某個子域��,然后再想辦法迂回接近正真的目標(biāo)��,這無疑是一個比較好的選擇����。那么怎樣才能盡可能多地搜集目標(biāo)的高價值子域呢�?
(1)子域名檢測工具
Layer子域名挖掘機(jī),K8��,wydomain�,Sublist3r,DNSmaper�,subDomainsBrute,Maltego CE
(2)搜索引擎枚舉
可以利用前面的google黑客語法���。列如:搜索百度旗下的子域名就可以使用“site:baidu.com”�����,
site:http://baidu.com –www 不包含www
(3)第三方聚合應(yīng)用枚舉
很多第三方服務(wù)匯聚了大量DNS數(shù)據(jù)集���,可通過它們檢索某個給定域名的子域名。只要往其搜索欄中輸入域名����,就可以檢索到相關(guān)的域名信息。
·DNSdumpster網(wǎng)站:http://dnsdumpster.com/
(4)證書透明度公開日志枚舉
證書透明度(Certificate Transparency,CT)是證書授權(quán)機(jī)構(gòu)(CA)的一個項目����,證書授權(quán)機(jī)構(gòu)會為每一個SSL/TLS證書發(fā)布到公共日志中。一個SSL/TLS證書通常包含域名����、子域名和郵箱地址,這些也經(jīng)常成為攻擊者非常希望獲得的有用信息�。查找某個域名所屬證書的最簡單的方法就是使用搜索引擎搜索一些公開的CT日志。
Crt.sh: http://crt.sh
Censys: https://censys.io
(5)在線子域爆破
子域名爆破網(wǎng)站https://phpinfo.me/domain
Ip反查綁定域名網(wǎng)站:http://dns.aizhan.com
2 指紋識別
指紋由于其終身不變性���、唯一性和方便性��,幾乎成為生物特征的代名詞����。這里所指的是網(wǎng)站CMS指紋識別、計算機(jī)操作系統(tǒng)及Web容器的指紋識別等����。
在滲透測試中,對目標(biāo)服務(wù)器進(jìn)行指紋識別是相當(dāng)有必要的����,因為只有識別出相應(yīng)的Web容器或者CMS,才能查找與其相關(guān)的漏洞���,然后才能進(jìn)行相應(yīng)的滲透操作���。
CMS(Content Management System)又稱整站系統(tǒng)或文章系統(tǒng)。在2004年以前�,如果想要進(jìn)行網(wǎng)站內(nèi)容管理,基本上都靠手工維護(hù)��,但在信息爆炸的時代�,完全靠人維護(hù)相當(dāng)困難。所以就出現(xiàn)了CMS,開放者只要給客戶一個軟件包�����,客戶自己安裝配置好��,就可以定期更新數(shù)據(jù)來維護(hù)網(wǎng)站�����,節(jié)省了大量的人力和物力�����。
常見的CMS有:
Dedecms (織夢)�����,Discuz���,PHPWEB,PHPWind�����,PHPCMS,ECShop����,Dvbbs,SiteWeaver����,ASPCMS,帝國�,Z-Blog,WordPress等���。
·掃描工具:
御劍web指紋識別�,whatweb���,WebRobo�����,椰樹��,輕量web指紋識別等
·在線查詢
[BugScaner][http://whatweb.bugscaner.com/look/]
[云悉指紋][http://www.yunsee.cn/finger.html]
[whatweb][https://whatweb.net/] [http://whatweb.bugscaner.com/]
3 真實IP查詢
在滲透測試過程中���,目標(biāo)服務(wù)器可能只有一個域名���,那么如何通過這個域名來確定目標(biāo)服務(wù)器的真實IP對滲透測試來說就很重要。如果目標(biāo)服務(wù)器不存在cdn
可以同通過以下地址進(jìn)行查詢�,也可以通過nslookup等獲取IP及域名信息。
http://www.ip138.com/
假如目標(biāo)存在CDN服務(wù)器呢����?我們需要找到目標(biāo)真實的服務(wù)器的IP。
1.什么是CDN
CDN就是內(nèi)容分發(fā)網(wǎng)絡(luò)��,主要解決因傳輸距離和不同運(yùn)營商節(jié)點(diǎn)造成的網(wǎng)絡(luò)速度性能低下的問題���。說的簡單點(diǎn),就是一組在不同運(yùn)營商之間的對接節(jié)點(diǎn)上的高速緩存服務(wù)器���,把用戶經(jīng)常訪問的靜態(tài)數(shù)據(jù)資源(html��、css�、js圖片�、視頻、聲音等文件)直接緩存到節(jié)點(diǎn)服務(wù)器上�,當(dāng)用戶再次請求時,會直接分發(fā)到離用戶近的節(jié)點(diǎn)服務(wù)器響應(yīng)給用戶����,當(dāng)用戶又實際數(shù)據(jù)交互時才會從遠(yuǎn)程Web服務(wù)器上響應(yīng)��,這樣可以大大提高網(wǎng)站的響應(yīng)速度及用戶體驗���。
如果目標(biāo)網(wǎng)站有CDN服務(wù)器,ping域名不一定獲取到目標(biāo)真正的Web服務(wù)器��,只是離我們最近的節(jié)點(diǎn)上的CDN�����,這樣導(dǎo)致我們無法得到目標(biāo)的真實IP段范圍�。
2.CDN判斷
·ping某個 URL:
C:\Users\86135>ping http://www.baidu.com
正在 Ping http://www.a.shifen.com [14.215.177.39] 具有 32 字節(jié)的數(shù)據(jù):
來自 14.215.177.39 的回復(fù): 字節(jié)=32 時間=32ms TTL=1
但顯然,這里的 IP 是 CDN 的 IP�����。
·我們可以使用多地ping工具來判斷:
利用在線網(wǎng)站17CE進(jìn)行全國多地區(qū)的ping服務(wù)器操作�����,然后對比每個地區(qū)ping出的ip結(jié)果�����,查看這些ip是否一致,如果都是一樣的����,極有可能不存在CDN。如果ip大多不太一樣或者規(guī)律性很強(qiáng)����,可以嘗試查詢這些ip的歸屬地,判斷是否存在CDN
·使用nslookup 進(jìn)行檢測��,原理同上���,如果返回域名解析對應(yīng)多個IP地址多半是使用了CDN���。
(經(jīng)驗:���,如果是2個或者3個�����,并且這幾個地址是同一地區(qū)的不同運(yùn)營商的話�����,則很有可能這幾個地址是服務(wù)器的出口地址�,該服務(wù)器在內(nèi)網(wǎng)中,通過不同運(yùn)營商N(yùn)AT映射供互聯(lián)網(wǎng)訪問�,同時采用幾個不同的運(yùn)營商可以負(fù)載均衡和熱備份。如果是多個ip地址��,并且這些ip地址分布在不同地區(qū)的話���,則基本上可以斷定就是采用了CDN了�����。)
1.有 CDN 的示例:
nslookup http://www.163.com
名稱: http://163.xdwscache.ourglb0.com
Addresses: 58.223.164.86
125.75.32.252
2.無 CDN 的示例:
nslookup http://xiaix.me
Address: 192.3.168.172
0.0.0.0 255.255.255.255
·使用各種在線工具幫助檢測目標(biāo)網(wǎng)站是否使用了CDN
http://www.cdnplanet.com/tools/cdnfinder/
http://www.ipip.net/ip.html
3.繞過CDN
·查詢子域:
許多情況下只有主站使了CDN���,二級站點(diǎn)并沒有,所以我們就可以直接查詢分站的IP�����。分站的搜索方法見下文����。也可以用我們可以使用搜索引擎輸入site:http://baidu.com或者inurl:http://baidu.com來搜索http://baidu.com的子域名
·國外訪問
1.國內(nèi)部分 CDN 服務(wù)只針對國內(nèi),對國外的訪問幾乎不使用 CDN��。所以我們可以通過國外冷門 DNS 查詢域名。比如�,nslookup http://xxx.com 199.89.126.10
C:\Users\asus\Desktop> nslookup http://hi-ourlife.com 199.89.126.10
名稱: http://hi-ourlife.com
Address: 45.64.65.85
2.國外代理網(wǎng)站App Synthetic Monitor(https://asm.ca.com/en/ping.php)
·歷史解析記錄
CDN 的 IP 地址之前所用的 IP 就是真實 IP。
https://toolbar.netcraft.com/site_report?url=www.baidu.com
·查詢郵件
很多服務(wù)器自帶郵件發(fā)送功能����,可以利用它來獲取真實 IP。讓站點(diǎn)主動發(fā)送郵件���,然后右鍵查詢源代碼�,就能獲得真實 IP�����。
·抓取App的請求
如果目標(biāo)網(wǎng)絡(luò)站有自己的App 可以嘗試通過利用fiddler或Burp Suite抓取App的請求�,從里面找到目標(biāo)的真實ip
4 驗證IP
我們找到目標(biāo)真實IP之后,如何驗證其真實性呢�?
1. 直接IP地址訪問,看響應(yīng)的頁面是不是和訪問的域名返回一樣��;
2. 目標(biāo)段比較大的情況下��,借助類似Masscan的工具批掃描對應(yīng)IP段中所有開放了80����、443、8080端口IP��,然后逐個嘗試ip訪問�����,觀察相應(yīng)是否為目標(biāo)站點(diǎn)����。
5 整站分析
·服務(wù)器類型(Linux/Windows)
服務(wù)器信息包括服務(wù)器用的操作系統(tǒng):Linux 還是 Windows 。現(xiàn)在企業(yè)網(wǎng)站服務(wù)器的操作系統(tǒng)有百分之九十以上用的是Linux操作系統(tǒng)��。知道了服務(wù)器的操作系統(tǒng)之后����,還需要知道操作系統(tǒng)使用的具體版本。因為很多低版本的操作系統(tǒng)都存在已知的漏洞�。
1.判斷是Linux還是Windows最簡單就是通過ping來探測,Windows的TTL值都是一般是128�,Linux則是64。所以大于100的肯定是Windows��,而幾十的肯定是Linux�。
2.Windows大小寫不敏感,Linux大小寫敏感�。
如http://www.xxxx.com/index.php和http://www.xxxx.com/index.phP打開的一樣就說明是Windows
而判斷目標(biāo)網(wǎng)站服務(wù)器的具體的版本的話�����,可以采用 nmap 進(jìn)行掃描��, -O 和 -A 參數(shù)都能掃描出來�����。
·網(wǎng)站容器(Apache/Nginx/Tomcat/IIS)
知道了這些信息之后�����,我們就需要知道網(wǎng)站用的web服務(wù)器是什么類型的:Apache�����、Nginx����、Tomcat 還是 IIS��。知道了web服務(wù)器是哪種類型后����,我們還要探測web服務(wù)器具體的版本。比如Ngnix版本<0.83會有解析漏洞 ���,IIS6.0會有文件名解析漏洞���、IIS7.0會有畸形解析漏洞等。不同的web服務(wù)器版本��,存在著不同漏洞��。
探測網(wǎng)站是哪種web服務(wù)器�,可以使用工具whatweb。
·腳本類型(php/jsp/asp/aspx)
我們需要知道網(wǎng)站用的腳本類型:php ����、Jsp 、Asp ����、Aspx 。
1.可以根據(jù)網(wǎng)站URL來判斷
2.site:xxx filetype:php
3.可以根據(jù)Firefox的插件來判斷
·數(shù)據(jù)庫類型(MySQL/Oracle/Accees/Mqlserver)
我們需要知道網(wǎng)站用的是哪種類型的數(shù)據(jù)庫:Mysql����、Oracle、SqlServer 還是 Access 。雖然這幾種數(shù)據(jù)庫的語法大體上相同��,但是還是有區(qū)別的���。所以我們還是要知道目標(biāo)網(wǎng)站用的是哪種數(shù)據(jù)庫�����,并且數(shù)據(jù)庫是哪個版本的
幾種數(shù)據(jù)庫的區(qū)別:
1.Access 全名是Microsoft Office Access�,是由微軟發(fā)布的關(guān)聯(lián)式數(shù)據(jù)庫管理系統(tǒng)�����。小型數(shù)據(jù)庫��,當(dāng)數(shù)據(jù)庫達(dá)到100M左右的時候性能就會下降���。數(shù)據(jù)庫后綴名: .mdb 一般是asp的網(wǎng)頁文件用access數(shù)據(jù)庫
2.SQL Server是由Microsoft開發(fā)和推廣的關(guān)系數(shù)據(jù)庫管理系統(tǒng)(DBMS)�,是一個比較大型的數(shù)據(jù)庫�。端口號為1433。數(shù)據(jù)庫后綴名 .mdf
3.MySQL 是一個關(guān)系型數(shù)據(jù)庫管理系統(tǒng)�,由瑞典MySQL AB 公司開發(fā),目前屬于 Oracle 旗下產(chǎn)品�。MySQL是最流行的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)����,在 WEB 應(yīng)用方面MySQL是最好的應(yīng)用軟件之一��,MySQL數(shù)據(jù)庫大部分是php的頁面���。默認(rèn)端口是3306
4.Oracle又名Oracle RDBMS,或簡稱Oracle���。是甲骨文公司的一款關(guān)系數(shù)據(jù)庫管理系統(tǒng)��。常用于比較大的網(wǎng)站�。默認(rèn)端口是1521
首先�����,成本上的差距����,access是不要錢的,mysql也是開源的����,sql server 是收費(fèi)的一般也就幾千�,Oracle的費(fèi)用則數(shù)萬���。其次��,處理能力����,access支持千以內(nèi)的訪問量��,sql server支持幾千到上萬的訪問����,而Oracle則支持海量的訪 問。再次�,從數(shù)據(jù)庫的規(guī)模來看,access是小型數(shù)據(jù)庫��,��,mysql 是中小型數(shù)據(jù)庫���,sql server是中型數(shù)據(jù)庫���,Oracle是大型數(shù)據(jù)庫�。
常見搭配
ASP 和 ASPX:ACCESS�、SQL Server
PHP:MySQL、PostgreSQL
JSP:Oracle���、MySQL
6 收集敏感目錄文件
在滲透測試中����,探測Web目錄結(jié)構(gòu)和隱藏的敏感文件是一個必不可少的環(huán)節(jié)��,從中可以獲取網(wǎng)站的后臺管理頁面��、文件上傳頁面����、甚至可以掃描出網(wǎng)站的源代碼�。
·收集方向
后臺目錄:弱口令,萬能密碼��,爆破
安裝包:獲取數(shù)據(jù)庫信息�����,甚至是網(wǎng)站源碼
上傳目錄:截斷�����、上傳圖片馬等
mysql管理接口:弱口令、爆破��,萬能密碼���,然后脫褲�,甚至是拿到shell
安裝頁面 :可以二次安裝進(jìn)而繞過
phpinfo:會把你配置的各種信息暴露出來
編輯器:fck�����、ke��、等
iis短文件利用:條件比較苛刻 windows��、apache等
robots.txt文件
robots.txt 文件是專門針對搜索引擎機(jī)器人robot 編寫的一個純文本文件�。我們可以在這個文件中指定網(wǎng)站中不想被robot訪問的目錄。這樣�����,我們網(wǎng)站的部分或全部內(nèi)容就可以不被搜索引擎收錄了�,或者讓搜索引擎只收錄指定的內(nèi)容。因此我們可 以利用robots.txt讓Google的機(jī)器人訪問不了我們網(wǎng)站上的重要文件��,GoogleHack的威脅也就不存在了。 假如編寫的robots.txt文件內(nèi)容如下:
User-agent: *
Disallow: /data/
Disallow: /db/
Disallow: /admin/
Disallow: /manager/
Allow:/images/
其中“Disallow”參數(shù)后面的是禁止robot收錄部分的路徑���,例如我們要讓robot禁止收錄網(wǎng)站目錄下的“data”文件夾�,只需要在Disallow參數(shù)后面加上 /data/ 即可���。如果想增加其他目錄�,只需按此格式繼續(xù)添加�。文件編寫完成后將其上傳到網(wǎng)站的根目錄,就可以讓網(wǎng)站遠(yuǎn)離Google Hack了��。
雖然robots文件目的是讓搜索蜘蛛不爬取想要保護(hù)的頁面��,但是如果我們知道了robots文件的內(nèi)容的話���,我們就可以知道目標(biāo)網(wǎng)站哪些文件夾不讓訪問,從側(cè)面說明這些文件夾是很重要的了����。
如:https://www.baidu.com/robots.txt
·常用工具
探測目標(biāo)網(wǎng)站后臺目錄的工具有:
字典爆破:dirb[kali如:dirb http://192.168.200.113]對目標(biāo)網(wǎng)站進(jìn)行目錄掃描]、DirBuster�、 wwwscan 、御劍后臺���、Webdirscan等
蜘蛛爬行:Burp����、OWASP ZAP、AWVS等
在線工具站:[webscan][http://www.webscan.cc/]
·聯(lián)網(wǎng)設(shè)備搜索
鐘馗之眼http://www.zoomeye.com��。
傻蛋www.oshadan.com(使用)
聯(lián)網(wǎng)設(shè)備搜索引擎可以檢索到許多搜索引擎不收錄的頁面����,通常是后臺等頁面。
構(gòu)造檢索關(guān)鍵詞時:
系統(tǒng)/后臺類���,可以搜索“xxx系統(tǒng)/平臺/管理”�����。
企業(yè)類���,可以搜索“xxx企業(yè)/公司/平臺”。
比如我們要挖電信的系統(tǒng)��,可以搜索“電信系統(tǒng)/平臺/管理”�����。
10 旁站和C段掃描
旁站指的是同一服務(wù)器上的其他網(wǎng)站,很多時候���,有些網(wǎng)站可能不是那么容易入侵���。那么,可以查看該網(wǎng)站所在的服務(wù)器上是否還有其他網(wǎng)站��。如果有其他網(wǎng)站的話����,可以先拿下其他網(wǎng)站的webshell,然后再提權(quán)拿到服務(wù)器的權(quán)限��,最后就自然可以拿下該網(wǎng)站了���!
C段指的是同一內(nèi)網(wǎng)段內(nèi)的其他服務(wù)器,每個IP有ABCD四個段��,舉個例子�,192.168.0.1,A段就是192���,B段是168��,C段是0����,D段是1,而C段嗅探的意思就是拿下它同一C段中的其中一臺服務(wù)器���,也就是說是D段1-255中的一臺服務(wù)器��,然后利用工具嗅探拿下該服務(wù)器����。
旁站和C段在線查詢地址:http://www.webscan.cc/ ��、 [http://www.5kik.com/]
常用工具:
web>>k8旁站�、御劍1.5
端口>>portscan
11 主機(jī)掃描及端口信息 (請參考:)
在滲透測試中,對端口信息的收集是一個很重要的過程���,通過掃描服務(wù)器開放的端口以及從該端口判斷服務(wù)器上存在的服務(wù)����,就可以對癥下藥��,便于我們滲透目標(biāo)服務(wù)器。
所以在端口滲透信息的收集過程中��,我們需要關(guān)注常見應(yīng)用的默認(rèn)端口和在端口上運(yùn)行的服務(wù)�����。最常見的掃描工具就是NMAP���、無狀態(tài)端口掃描工具M(jìn)asscan���、ZMap和御劍高速TCP端口掃描工具。
常見的端口及其說明��,以及攻擊方法匯總:
·文件共享服務(wù)端口
·遠(yuǎn)程連接服務(wù)端口
·Web應(yīng)用服務(wù)端口
·數(shù)據(jù)庫服務(wù)端口
·郵件服務(wù)端口
·網(wǎng)絡(luò)常見協(xié)議端口
·特殊服務(wù)端口號
以上就是“滲透測試信息收集的方法是什么”這篇文章的所有內(nèi)容��,感謝各位的閱讀�!相信大家閱讀完這篇文章都有很大的收獲,小編每天都會為大家更新不同的知識�����,如果還想學(xué)習(xí)更多的知識�,請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�����。
當(dāng)前名稱:滲透測試信息收集的方法是什么
當(dāng)前地址:
http://weahome.cn/article/pohjjs.html
重慶分公司
重慶分公司
