1. 信息收集类
1.1. 信息收集和代理服务器
1. 信息收集
黑客的第一步要做的事情永远是信息收集 同样渗透也是 什么是信息收集?
信息收集是最具有灵魂的一步,通常拿到渗透测试站,需要对该站进行信息收集,只有收集到了足够多的信息后,对方暴露出来的问题越多,信息越多,攻击的面也越广。知己知彼百战百胜。
2. 应该收集什么样的信息?
我们要收集相关域名的信息,比如域名注册人,联系方式,邮箱,子域名,c段,旁站等;以及目标服务器的相关信息:版本,内核,它使用的是什么中间件,使用的什么数据库,开放了哪些端口和服务,我们还需要收集目标是什么样的一个CMS系统,或者使用什么样的框架,因为不同的CMS系统、框架都存在着已知的漏洞,利用漏洞进行渗透攻击
我们还需要找到目标网站的后台,找到它的一些敏感目录和文件,方便渗透
代理服务器:经常会使用代理服务器去渗透,也经常使用代理服务器来访问一些国内访问不了的网站,设置代理服务器,让浏览器的请求发送至代理服务器,再由代理服务器发送至目标服务器,是作为访问的媒介,可以隐藏真实的IP地址,也可以去访问谷歌的搜索引擎。
如何使用代理服务器? 已经安装可以使用
1.2. 谷歌浏览器插件收集信息
1. 插件能干什么? 收集信息,方便某些功能的使用
Wappalyzer插件 收集网站的信息,比如编程语言、代理、js库、web服务器等。
2. Modheadr 插件 这款插件能帮我们自定义请求头
Xff 代表的是客户端最原始的IP,可以用xff头来伪造客户端的IP ,在一些限制了登录IP的场景便可以运用到。
Referer 代表的是http请求中的referer信息,当浏览器向web服务器发送请求的时候,一般会带上referer 告诉该网页是从哪个页面链接过来的,服务器因此可以获得一些信息用于处理。
3. 谷歌hacking语法
语法1 : 批量寻找网站后台
Inurl:login #指定url中含有关键词的网页 Intext:后台登录 #指定返回正文中含有关键词的网页
Intitle:后台管理 #指定返回网页标题含有关键词的网页
找到后台后可以配置一些弱口令,SQL注入,xss,爆破等手段实现对网站的渗透
语法2: : 指定网站寻找后台site:指定网站 + 前面所讲的语法
Site:www.xxx.com inurl:login Site:www.xxx.com intext:后台登录
Site:www.xxx.com intitle:网站管理系统
可以通过该语法指定渗透测试网站,再去通过更换后面的关键语法以及关键词来去尝试找到对方网站的后台
语法3 :指定返回文件的类型
Filetype:xls #指定文件类型搜索
Filetype:pdf
Site:usst.deu.cn filetype:xls 我们可以通过这条语法去找到一些xls文件,或者pdf文件,或者你想找到的一些文件。这个语法适用于一些场景,在渗透中我们有时候需要指定站的某些信息比如说身份证、学号、ID等我们便可以通过语法去快速的去收集信息。
语法4 :批量寻找遍历漏洞
Intext:index of /
Intext:index of /admin
语法5 :批量phpmyadmin入口
Inurl:/phpMyAdmin/index.php
语法6 : 批量寻找可能存在注入漏洞的网站,可以配合site 指定网站
Inurl:.php?id=
语法7 : 批量寻找敏感文件
Site:*.tw inurl:/phpinfo.php 表示查找所有的.tw域名的 phpinfo 页面敏感文件
1.3. FOFA资产收集
FOFA是一筐网络空间安全搜索引擎,区别去百度,谷歌,在FOFA中收录得全是设备而不是网页。利用它,能够探索全球互联网资产信息,进行资产以及漏洞影响范围分析。
FOFA 搜索语法 语法不变,根据实际情况更改关键词
(1) Ip=”1.1.1.1” 搜索IP为1.1.1.1的资产 Port=”445” 搜索开放445端口的资产
(2)Domain=”qq.com” 搜索根域名为qq.com的资产 City=”Hangzhou”&&port=”8009”
(3)搜索杭州开放8009端口的资产 App=”phpmyadmin” 搜索开放phpmyadmin服务的资产
(4)Server=”Microsoft-IIS/7.5” 搜索IIS 7.5服务器 FOFapi
(5)FOFA搜索引擎提供了api接口,能够快速调用api接口去查询,导出资产
1.4. 域名相关信息收集
1、 域名相关信息收集
站长之家网站 https://whois.chinaz.com/ 可查询
Whois协议 whois是一个标准的互联网协议,可用来收集网络注册信息,注册域名,IP地址等信息。我们经常使用whois来收集目标域名相关信息
邮箱反查
可以通过网站注册邮箱来去反复这个邮箱注册过哪些网站,从而快速的搜集目标资产注册人反查 可以通过网站的注册人来反查他注册过哪些网站,从而快速的收集资产
电话反查 可以通过对方电话来反查他注册过哪些网站,从而快速的收集资产
2、 子域名
假设目标网站为www.xxx.com 那么它的子域名有可能为:sys.xxx.com mail.xxx.com
ftp.xxx.com等。收集子域名,也是为了扩大我们的攻击面,子域名可能跟主域名在同一台服务器,如果子域名存在安全漏洞,可以从子域名渗透服务器
收集子域名 https://phpinfo.me/domain/ 可以利用该网站在线查询子域名
3、 旁站、c段 查询手段- https://webscan.cc/
旁站的意思就是从同台服务器上的其他网站入手,比如说子域名和主域名在同一个网站,那么我们可以从它子域名入手,提权,然后把服务器端了,就自然把这个网站端了。C段嗅探,每个IP有ABCD四个段,c段嗅探的意思就是拿下它同一c段中的其中一台服务器,也就是说是D段1-255中的一台服务器。
1.5. 敏感文件的扫描
1. 敏感文件扫描
扫描目标网站敏感文件也是信息收集的重要一步,如果能找到源码泄露,我们可以进一步配合代码审计工具来去寻找漏洞。常见的源码泄露有.git
.svn rar 等
2. Dirsearch 脚本介绍
我们可以利用该脚本来扫描对方网站是否存在敏感文件/目录的泄露。这个脚本是要python语言写的,可以直接在kali上运行kali默认安装python2、
3. python3的环境
使用方式:python3 dirsearch.py -u 目标网站 -e*(需要python3环境)*表示所有后缀
可以扫描出目标网站的.git 源码 然后可以利用Githack脚本去利用扫描出的.git源码拖取下来 Githack脚本
Githack脚本是.git源码泄露的利用脚本。利用该脚本,我们能够将网站源码拖取下来。 使用方式: python Githack.py +
目标网址/.git/(需要python2环境)
1.6. 网站后台寻找
网站后台管理系统:主要是用于对网站前台的信息管理,如文字、图片、影音、和其他日常使用文件的发布、更新、删除等操作,同时也包括会员信息、订单信息、访客信息的统计和管理。简单来说就是对网站数据库和文件的快速操作和管理系统,以使得前台内容能够及时更新和调整。所以后台页面一般不容易发现,需要通过特定的方式找到。
- 网站后台寻找方式
方式1:通过robot.txt文件寻找
rebot.txt文件是用来限制一些爬虫爬取目录的文件,可以向这个文件中写入规则让爬虫无法获取。这个文件百分之九十的网站都会存在。如果这个文件中有限制网站后台的爬取,我们可以通过它限制的目录来知道网站后台的路径。
例如 www.baidu.com/rebot.txt
方式2:谷歌语法查找后台 具体查看前文
方式3:查看网站底部管理入口
我们可以查看网站页面底部和网站版权信息,看看会不会有网站后台入口和版权网站信息,如果有网站后台入口,我们便可以直接找到后台
方式4:请求一些不存在的错误路径 网站路径后接自定义路径有可能爆出一
些网站路径,从而进一步找后台。
方式5:在线网站指纹识别 通过在线网站识别目标CMS指纹,进一步找目标的后台 www.bugscaner.com 在线CMS指纹识别
方式6:猜解常见后台路径 尝试在主站后方跟上一些常见路径
比如admin、login、system、admin/login、admin_login等进行尝试找到后台
方式7: 字典爆破后台路径 比较实用
通过御剑/dirsearch等工具来去扫描目标后台 御剑工具可以网上下载
方式8:目标子域名寻找
有的网站后台可能是在子域名上面,所以不要忘记子域名的寻找
方式9:通过xss x后台 会在xss章节做讲解
1.7. 网页JS文件信息收集
1. JS文件介绍
现在网页一般都会使用javascript实现页面的动态效果,甚至用ajax实现异步通信效果。F12再点击network可以查看网页的js文件,在网页的js文件中,有的js文件是框架自带的,比如说vue框架自带的js文件,而有的是网站后期开发的。对于这些js文件,我们还可以利用脚本来爬取js文件中的一些接口,然后再对这些接口去做检测,这无疑也扩大了我们的攻击面。我们可以经常从js文件里面来发现一些敏感的接口,以及敏感接口里面相关的漏洞。
2. Js文件敏感接口爬取脚本JSFinder
我们能够通过JSfinder脚本去爬取网站js文件中的一些接口。这个脚本同样也是使用python语言写的,我们将脚本上传至kali使用。
使用方式1 : 简单爬取 python3 JSFinder.py -u https://examle.com (python3环境)
使用方式2: :深度爬取 Python3 JSFinder.py -u https://example.com -d -ou
xx_url.txt -os xx_domain.txt(python3 环境)
使用-d 参数进行深度爬取获得更多内容,并使用命令 -ou 来指定url 所保存的文件名,-os来指定子域名所保存的文件名。
1.8. CDN绕过寻找真实IP
CDN,即内容分发网络,主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说的简单点,就是一组在不同运营商之间的对接节点上的高速缓存服务器,把用户经常访问的静态数据资源(例如css,html)直接缓存在cdn服务器上,当用户再次请求时,会直接分发到在离用户近的节点服务器上响应给用户,当用户有实际数据交互时,才会从远程web服务器上响应。所以如果说渗透的这个目标网站购买了CDN服务,那么我们可以直接ping它的目标域名,那么此时得到的并非是真正的这个目标WEB服务器的IP地址,很有可能只是离我们最近的一台CDN服务器,所以CDN服务器有时候还可以去抵抗这样的一个DDOS,CC的攻击。我们的一些请求,请求到一些静态资源,我们就会请求到CDN上面去,那么会有一些真正交互的一些请求的时候呢,才会请求到真实的服务器上面去。CDN服务器在很大程度上缓解了我们这样一个用户发起请求的一个访问请求的。
那么对于目标使用的CDN,我们该怎么去寻找目标的这个真实IP呢?
1、判断目标是否使用CDN
(1)直接ping域名 如果不是IP地址 出现cdn域名表示目标使用了cdn
(2)在线网站 https://www.17ce.com/site 对比ping出的结果,查看这些IP是否一致,如果都一样,即有可能不存在CDN。如果IP很多,则大概率存在CDN.
2、绕过CDN寻找真实IP的方法
(1)扫描子域名寻找真实IP 因为可能目标主站使用了CDN,而子域名没有使用CDN加速所以说我们从而判断扫出来的这个结果的规律来寻找真实服务器的IP地址
(2)国外网站多地ping 因为目标CDN可能只对国内去做了这样一个加速,没有对国外去做,所以可以从国外网站去多地的发起这样的一个请求来去寻找它IP的规律
(3)进入网站 https://asm.ca.com/ 需要使用代理服务器 点击tools 然后点击ping 输入目标域名 点击start开始测试
(4) 查询历史域名解析记录
https://www.netcraft.com/ (国外网站)
https://x.threatbook.cn/ (国内网站)
因为历史域名它可能没有做CDN。从而我们就可以找到真实的IP
(5)通过phpinfo信息泄露寻找真实IP,phpinfo的server_addr记录了服务器的真实IP
1.9. 工具型站点使用
在渗透中,我们也会经常使用到一些工具型的网站来去收集信息,利用这些工具型站点我们能够快速的得到一些有用的信息。
1、云悉 http://www.yunsee.cn
利用这个网站来快速收集对方网站的指纹信息,域名信息,IP信息,子域名等
2、微步在线情报威胁社区 https://x.threatbook.cn/
这个网站收录了一些对方网站的情报信息,我们也可以利用这个网站来快速收集一些信息
3、在线指纹识别 http://whatweb.bugscaner.com/
我们可以利用这个网站来去扫描到对方的网站指纹信息。当我们使用云悉没有找到或者没有找全网站信息的时候我们可以利用
bugscaner这个网址来去做现在cms指纹识别
1.10. 网站漏洞扫描器以及AWVS的安装和使用
1、网站漏洞扫描器
网站漏洞扫描器是用来扫描对方网站可能存在哪些漏洞的工具,我们可以借助网站漏洞扫描器来当做辅助作用去检测对方网站的漏洞。新手常用的漏洞扫描器-AWVS
在渗透中,需要尽可能少的去使用漏洞扫描器,因为漏洞扫描器会发送大量的请求到对方网站,会导致你的IP被封,无法进行后续的渗透,严重的还可能导致对方网站的瘫痪,需要谨慎使用漏扫,漏扫只能当做一个辅助作用
2、AWVS简介
AWVS是一款网页漏洞扫描器,它能扫出对方的敏感文件泄露、xss、SQL注入、文件上传、代码执行等漏洞。
3、AWVS的安装 (工具包在百度网盘工具中)
1、安装压缩包至kali 解压 赋权777
2、然后运行安装脚本./acunntix_trial.sh直接运行安装,需要输入 邮箱 和密码 此时安装成功。
3、打开浏览器输入https://本机IP:13443/可以访问AWVS图形化界面 输入设置的邮箱和密码登录。
4、返回kali,进行AWVS的激活,将激活文件patch_awvs文件复制到目录
/home/acunetix/.acunetix_trial/v_190325161/scanner/ 运行patch_awvs 文件,此时完成激活。
4、AWVS界面介绍
1、 Dashboard:仪表盘模块,你扫描过的网站的一些漏洞信息这里会显示
2、Targets:目标模块,就是你要扫描的目标网站
3、Vulnerabilities:漏洞模块,显示扫描的漏洞详情
4、Scans:扫描模块,从Target模块里面选择目标站点进行扫描
5、Reports:报告模块,漏洞扫描完之后的报告
6、Settings:设置模块,软件的设置,包括软件更新,代理设置等。
5、AWVS的使用
1、首先打开AWVS服务 打开kali 输入命令 service acunetix_trial start
2、 查看awcs 服务状态 service acunetix_trial status 状态为active(running)表示开启
3、用浏览器打开awvs客户端 输入邮箱和密码
https://192.168.6.18:13443/ 13443是 linux下的默认端口 3443是windows下的默认端口
扫描测试添加target :填写目标的IP或者域名
4、设置扫描选项:
扫描速度 Scan speed (越慢则越仔细)、站点是否登录Site Login、针对不同web站点的扫描插件AcuSensor(能帮助收集更多信息)等
5、设置扫描类型和扫描时间 开始扫描漏洞
6、AWVS忘记密码文章来源:https://www.toymoban.com/news/detail-417319.html
进入kali的/home/acunetix/.acunetix_trial目录下运行change_credent.sh可以重置密码文章来源地址https://www.toymoban.com/news/detail-417319.html
到了这里,关于渗透测试-第一步 信息收集 【详细介绍】的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
