网络攻防之信息收集和社工技巧-Toy模板网

这篇具有很好参考价值的文章主要介绍了网络攻防之信息收集和社工技巧。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

网络攻防之信息收集和社工技巧

工欲善其事必先利其器，在发起网络攻击之前，通过各种渠道收集信息，建立起针对渗透目标相对完善的信息库是首要任务，这里给大家分享几种信息收集的方式。

第一章网站资产探测

1.1查询域名和子域名

Google、baidu、Bing等传统搜索引擎
Censys：https://www.censys.io
Dnsdb搜索引擎：https://www.dnsdb.io
www.virustotal.com
https://dnsdumpster.com/
https://www.dnsgrep.cn/subdomain/

1.2HTTPS证书

https://csr.chinassl.net/ssl-checker.html
https://www.chinassl.net/ssltools/ssl-checker.html
https://myssl.com/
https://crt.sh/
https://search.censys.io/
基于 HTTPS 证书的子域名收集小程序：GetDomainsBySSL.py
参考链接：http://www.freebuf.com/articles/network/140738.html

1.3 综合搜索

提莫：https://github.com/bit4woo/teemo
主要有三大模块：搜索引擎第三方站点枚举
利用全网IP扫描http端口在访问IP的80或者8080端口的时候，可能会遇到配置了301跳转的，可以在header里获取域名信息。
全网扫描结果如下：https://scans.io/study/sonar.http

1.4同IP网站及C段查询

网络攻防之信息收集和社工技巧

1.4.1C段扫描原因

（1）收集C段内部属于目标的IP
（2）内部服务只限IP访问，没有映射域名
（3）更多的探测主机目标资产

1.4.2C段扫描方法

1.4.2.1 NMAP

1）快速扫描大型网络
2）可以获得主机运行的端口、服务、系统指纹
3）上百个扩展脚本提供日常支持
A.Nmap-扫描C段主机存活
nmap -sn -PE -n 192.168.1.1/24 -oX out.xml
-sn 不扫描端口，只查看主机是否存活
-PE 不进行ICMP扫描
-n 不进行DNS解析
-oX 将结果输出到某个文件
B.Namp-定向端口扫描
nmap -sS -Pn -p 3389
-sS 扫描方法：半开放扫描
-Pn 不进行主机存活探测
-p 端口
C.Nmap-全端口扫描
nmap -sS -Pn -p 1-65535 -n
D.Nmap-服务扫描
nmap -sS -sV -p 1-65535 -n
显示出端口开发的服务

1.4.2.2MSSCAN

Masscan允许任意地址范围和端口范围，速度很快。
masscan -p 80 /24 -rate 10000 -oL ouput.txt
-p 设置端口
-rate 发包速率
-oL 输出位置
绕过特定ip地址语法：
masscan -p 80 --excludefile special.txt

1.5 行业系统

同行业可能存在类似的系统，甚至于采用同一家厂商的系统，可互做对比
通用：办公OA、邮件系统、VPN等
医院：门户、预约系统、掌上医院、微信公众平台等

第二章网站信息收集

主要是针对单个站点的信息收集技巧，主要围绕服务器IP、域名、网站。

2.1 服务器IP

2.1.1确定厂商是否有用到CDN服务

在线查询：

https://tool.chinaz.com/
http://tools.ipip.net/cdn.php
https://www.17ce.com/

工具查询

Best trace
网络攻防之信息收集和社工技巧

浏览器查询

各厂家http header自定义字段汇总
网络攻防之信息收集和社工技巧

2.1.2绕过DNS查询真实IP

1、查询历史DNS记录：
查看 IP 与域名绑定的历史记录，可能会存在使用 CDN 前的记录，相关查询网站有：
https://dnsdb.io/zh-cn/
https://x.threatbook.cn/ 微步在线
http://toolbar.netcraft.com/site_report?url=
http://viewdns.info/
2、xcdn
https://github.com/3xp10it/xcdn

Tips：找到真实ip，绑定host ，是否可以打开目标网站，就是真实IP，对真实IP进行入侵测试，DDOS流量攻击，CC等等，实现无视CDN防御，但是源站如果做了黑白名单策略，只允许CDN节点IP地址访问，这种绕过CDN的方式就无效。

2.1.3识别服务器及中间件类型

远程操作系统探测
用 NMAP 探测操作系统
Nmap -O 192.168.100.101

2.1.4端口及服务

Nmap 1-65535端口扫描，探测端口服务

2.1.5查询IP所在位置

http://www.hao7188.com
网络攻防之信息收集和社工技巧
http://www.882667.com

2.2域名

在whois查询中，获取注册人姓名和邮箱、电话信息，可以通过搜索引擎，社交网络，进一步挖掘出更多域名所有人的信息
DNS服务器
http://whois.chinaz.com
https://whois.aliyun.com
域名注册邮箱，可用于社工或是登录处的账号。

2.3站点

2.3.1网站架构

网站语言、数据库，网站框架、组件框架历史漏洞
常用的网站架构如：LAMP/LNMP
PHP框架：ThinkPHP

2.3.2Web目录结构

2.3.2.1目录扫描原因

（1）寻找网站后台管理
（2）寻找未授权界面
（3）寻找网站更多隐藏信息

2.3.2.2目录扫描方法

（1）robots.txt
Robots协议（网络爬虫排除标准），网站通过Robots协议告诉搜索引擎哪些页面可以抓取，哪些页面不能抓取。同时也记录网站所具有基本的目录。
（2）搜索引擎
搜索引擎会爬取网站下目录，并且不需要触碰网站任何防御设备
site:www.baidu.com
（3）爆破
通过字典匹配网站是否返回相应正确状态码，然后列出存在的目录。
爆破可能会触发网站防火墙拦截规则，造成IP封禁。
工具：
1）dirb
DIRB是一个Web内容扫描程序
通过字典查找Web服务器的响应
DRIB只能扫描网站目录，不能扫描漏洞
语法：
dirb http://www.baidu.com
参数：
-a 设置User-Agent，告诉服务器，本地的一些信息。
-b 不扫描…/或者./
-c 设置Cookie
-E 设置证书文件
-o outfile 保持扫描文件
前面出现+号，表示存在文件
前面出现==>，表示存在文件夹
2）dirbuster
DirBuster多线程Java应用程序，主要扫描服务器上的目录和文件名，扫描方式分为基于字典和纯爆破，OWASP 下开源项目
语法：
命令行下输入：disbuster，出现窗口界面
字典爆破使用步骤：
1.Target URL 输入URL
2.work method 选择Auto Switch
3.Number of Threads 线程数，根据环境设定
4.select scaning type 选择List based brute force
5.File with list of dirs/files 点击browse选择字典文件
6.select starting options 选择URL fuzz
7.URL to fuzz 输入 /{dir}
8.start

2.3.3敏感文件信息泄露

备份文件、测试文件、Github泄露、SVN源码泄露

2.3.4Web指纹

2.3.4.1在线收集

云悉在线WEB指纹CMS识别平台：http://www.yunsee.cn
浏览器插件：wappalyzer

2.3.4.2工具收集

2.3.4.2.1系统指纹识别

（1）方式1：通过发送TCP/IP数据包到目标主机，由于每个操作系统处理TCP/IP数据包都不相同，所以可以通过它们之间的差别判定操作系统。
语法：
nmap -sS -Pn -O
-O 启用操作系统探测
nmap识别操作系统指纹必须使用端口，所以不允许添加-sn参数。
Nmap -sV 192.168.100.101 显示该资产的版本信息
（2）方式2：端口服务识别，每个操作系统都有特有的服务和端口，如：windows桌面连接使用的3389 RDP协议；windows的smb协议开启端口445；iis 80端口
方法
nmap -sS -sV

2.3.4.2.2中间件指纹识别

（1）方式1：通过http返回消息中提取server字段
Response Headers view source
Content Type:text/html;charset=ISO-8859-1
Date:Wed, 15 Aug 2020 08:25:12 GMT
Server:Apache-Coyote/1.1
Transfer-Encoding:chunked
（2）方式2：通过端口服务探测中间件
常用端口：Tomcat、Jboss 8080，weblogic 7001
方法
nmap -sS -Pn -sV
（3）方式3：通过构造错误界面返回信息查看中间件
主要通过构造不存在的路径和畸形数据
网络攻防之信息收集和社工技巧

2.3.4.2.3Web程序指纹识别

识别目标：开发语言、开发框架、第三方组件、CMS程序、数据库
（1）开发语言
1.后缀名识别：.asp、.php、.jsp
2.抓包查看与后台交互点，如：登录、查询等
3.http返回消息头：X-Powered-By字段
4.cookie信息：PHPSESSIONID -> php、JSPSESSIONID -> jsp、ASPSESSIONIDAASTCACQ -> asp
（2）开发框架
1.php的thinkphp框架识别方法：拥有特定ico图标
2.Action后缀90%几率为struts2或者webwork
3.do后缀50%几率spring mvc
4.url路径 /action/xxx 70%几率struts2
5.form后缀 60%几率spring mvc
6.Vm后缀90%几率VelocityViewServlet
7.jsf后缀99%几率Java Server Faces
（3）第三方组件
一般包括流量统计、文件编辑器、模板引擎
识别方法：一般为目录扫描
FCKeditor
CKEditor
（4）CMS程序
1.特定文件夹：dede/、admin/admin_Login.aspx
2.Powered by ***
3.网站favicon图标
（5）数据库
1.常规判断：asp -> sql server，php -> mysql，jsp -> oracle
2.网站错误信息
3.端口服务：1443 -> sql server，3306 -> mysql，1521 -> oracle

2.3.4.2.4防火墙指纹识别

识别方法：
1.nmap -p 80 -srcript http-waf-fingerprint
2.sqlmap -u <域名> -identify-waf

2.3.5安全防护摸底

安全防护，云waf、硬件waf、主机防护软件、软waf

第三章社工方式

寻找指定目标的已经泄露的数据 // 撞库、用户名、密码。
构建社工库
https://raidforums.com/Announcement-Database-Index-CLICK-ME
（1）app
隐私信息未做加密直接存放本地
前端信息正常，抓包发现过多信息返回，前后端开发不一致
（2）微信公众号
（3）目标qq群
群文件，群消息记录
（4）威胁情报
已知的某些漏洞如何利用
（5）网站开发者角度
（6）运维角度
（7）架构师角度去获得目标相关信息
（8）web方面-评论处
 评论处部分信息未加密
 追加评论和商家回复，抓包获取未加密的数据
（9）web方面-搜索处
 数据存放未设权限或者防爬处理造成搜索引擎爬取
例：wooyun-2014-069909
（10）web方面-转账
一般在转账处输入手机号或邮箱账户的旁边，有一个历史转账信息，点击以后可以看到转账信息，由于加密不全，可以抓包查看真实姓名
转账越权造成信息泄露
例：wooyun-2016-0168304
（11）web方面-客服处
客服未经过系统安全培训，当客户询问用户手机号，没有经过验证直接返回给用户
（12）越权-任意查看
平台没有对上传的文件进行复杂格式化处理。
例：XXX.com/xxx/xx/012313.jpg
文件极易造成任意读取或者爆破
（13）越权-任意修改
用户在进行订单交易时可以将ID修改成任意ID，然后服务器返回可以查看其他用户信息，如：收货地址
例：wooyun-2016-0203940
（14）接口-测试接口用户信息泄露
网站在上线的时候都忘记把测试时的接口进行关闭，从而导致这个接口可以查询大量用户信息
例：wooyun-2015-0116563
（15）员工信息泄露
 各第三方平台
Github
wooyun-2016-0177720
（16）弱密码问题
内部系统员工密码为弱口令或默认密码
后台管理密码为开发密码

材料引用：
https://blog.csdn.net/Fly_hps/article/details/82755336
https://blog.csdn.net/Dajian1040556534/article/details/124681544文章来源地址https://www.toymoban.com/news/detail-446945.html

到了这里，关于网络攻防之信息收集和社工技巧的文章就介绍完了。如果您还想了解更多内容，请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章，希望大家以后多多支持TOY模板网！

网络攻防之信息收集和社工技巧