渗透测试之信息搜集

发布于 2020-10-30  605 次阅读


Thrower系列渗透测试教程

Thrower系列渗透测试教程
本系列教程主要是针对极致影网安小组(QQ群群号:566601843)的成员而写的,考虑到群里的小白还是挺多,突发奇想,想写个简单易懂的教程给群里的小白看。相信看完本系列教程以后,即便是群里的小白都能拿站了。至于之前说的要介绍一下这一年半在红盟里的经历(十月初的一大堆烂事)留到下个月吧!
渗透测试之信息搜集
但凡有点渗透测试常识的人都知道,渗透测试第一步就是信息搜集。通过各种方式尽可能多的获取目标站点的信息,方便我们更好的,能从多个方面进行渗透测试。确定了目标域名以后,我们就需要搜集目标域名对应的IP,子域名信息和whois信息等。
1.获取目标网站真实IP
获取真实IP一般只需要使用命令提示符ping一下,IP就出来了,如下图。

但是有时候会出现下图这样的情况,也就是说正在 Ping后面的域名和输入的域名不相符。这就说明目标网站存在CDN。

在目标网站存在CDN的情况下很难找到真实IP。能不能找到真实IP基本上靠运气。还是介绍几个方法吧。
通过子域名获取网站真实IP:有些网站不对子域名采用CDN,那么我们只要找到目标网站的子域名,然后再ping一下就有几率获取真实IP。
通过在线多点ping:如果响应的几个IP和大多数的不同,那么可能就是网站的真实IP。因为有些CDN只对个别地区进行加速,但是如果遇到各个地区CDN的IP都不同,那就没办法了。
查询域名解析记录:查看域名解析的历史记录,可能会存在使用CDN前的记录。查询域名解析记录的网站有,情报社区DNSDB等等。
2.获取目标网站域名whois信息
获取whois信息可以借助站长工具whois信息查询万网whois信息查询等等,如下图(站长之家)。

有时通过注册商,DNS就可以推断出域名是哪里注册的。如上图中注册商是烟台帝思普网络科技有限公司,DNS为f1g1ns1.dnspod.netf1g1ns2.dnspod.net,很明显,是在腾讯云注册的域名。上图通过whois查询甚至能把注册人的姓名查出来,这就是为什么我老是在群里强调域名实名认证千万别用自己身份证的原因。
3.获取目标网站子域名信息
搜集子域名信息可能许多人(包括我)觉得没多大用处,但有时目标的子域名防护程度可能比主域名要弱些,渗透子域名比主域名更为容易。因此搜集子域名信息还是必要的。可以通过Layer子域名挖掘机等工具进行暴力搜索,也可以通过站长工具子域名查询在线子域名查询等等。如下图(依然拿百度做示范,可怜的百度)。


但是通过Layer子域名挖掘机等工具进行暴力搜索时,个别命名复杂的子域名是无法搜出来的。
4.获取目标网站备案信息
和获取whois信息一样,获取目标网站备案信息可以借助站长工具ICP备案查询ICP备案查询网等等。下图用百度做示范。



像百度这种大的公司能查到的信息还是很全的,一些小企业只能查到单位名称和备案号。
5.获取目标Web指纹及Web容器信息
获取目标网站的CMS对渗透测试有很大的帮助,可以去网上查找对应版本存在的漏洞,如果目标网站没打补丁,嘿嘿嘿~~~,常见的CMS有:WordPress、Dedecms、Discuz、PhpWeb、PhpWind、Dvbbs、PhpCMS、ECShop、SiteWeaver、AspCMS、帝国、Z-Blog等。我的博客用的就是WordPress。可以使用御剑指纹识别系统来识别目标的CMS。也可以通过bugscanneer在线指纹识别云溪指纹等等。下图用我的博客做示范。

知道了CMS后,我们就需要知道网站用的web容器是什么:Apache、Nginx、还是 IIS。可以看一些默认的错误页面,比如Nginx的404,404等下面就有Nginx的版本信息。
6.获取目标服务器系统信息
获取服务器系统信息可以直接使用ping命令ping目标IP然后分析返回的TTL值。
下面是一些操作系统默认的TTL值(仅作为参考):
1、WINDOWS NT/2000   TTL:128
2、WINDOWS 95/98     TTL:32
3、UNIX              TTL:255
4、LINUX             TTL:64
5、WIN7          TTL:64
也可以使用Nmap获取目标服务器操作系统。
命令格式:nmap -O 域名或IP
渗透测试之信息搜集
7.判断目标网站脚本类型
这他妈不是有手就行?很多种方法,应该不用多说了,看网站URL,比如thrower.cn/wdnmd.php后面有.php脚本类型就是PHP。当然也可以借助Firefox的插件,比如Wappalyzer。添加Wappalyzer到火狐,你会看到右上角有一个蓝色菱形的图案,那就是Wappalyzer。当你访问网站时,点击它,会显示脚本类型,数据库类型,CMS等等,如下图。

8.获取目标服务器端口开放情况
对目标服务器进行端口扫描同样也是信息搜集中的一部分,扫描目标主机开放了什么端口,扫描端口运行的服务。端口扫描可以借助御剑端口扫描工具Nmap等等。顺便帮布尔什维克宣传一下他写的233端口扫描器,如下图。我自己写的就不拿出来了,等新版工具包写出来里面就有。
渗透测试之信息搜集
9.扫描目标网站敏感目录及文件
这一步骤就是我们常说的目录扫描。有些人把目录扫描和找后台混为一谈,其实找后台是目录扫描的目的之一。如果能找到网站的默认安装界面,运气好还可以进行二次安装,找到phpinfo文件还能查看目标网站的配置信息,找到上传目录可以尝试上传shell。可见目录扫描对于渗透测试有很大的帮助。目录扫描可以借助wwwscandirbuster御剑后台扫描工具等等。
渗透测试之信息搜集
10.对目标进行旁站查询
旁站的意思是同一个服务器上的其它网站,当目标网站实在是入侵不了时,可以查看目标服务器上是否还建有另外一个网站,可以先拿下另外一个网站的WebShell,进而继续拿到服务器权限,自然就拿下原来的目标网站了。旁站查询可以借助WebScan站长工具同IP网站查询等等。如下图。
渗透测试之信息搜集
第一期教程就到这里了,最后打一个广告,极致影网安小组QQ群号:566601843,欢迎前来交流学习。


剑谱第一页,忘掉心上人。心中无女人,拔刀自然神。