转 | Web 渗透测试信息搜集 CheckList

在线wifi跑包 金刚包跑包 cap跑包 hccapx ewsa在线 就来 握手包跑包

各位好 又见面了 我是曹操 今天给大家带来一篇新的教程

希望各位细心学习 低调用网

密码字典生成器网页版

这篇文章是在2021年中旬记录的,提到了渗透测试中使用检查清单的重要性。检查清单可以帮助避免忘记测试某些部分而错过重要信息。此外,使用检查清单还可以方便地利用自己喜欢的编程语言实现自动化。我突然想起了这篇关于信息收集的文章,所以我想分享出来。

获取真实IP
为了保证网络的稳定和快速传输,网站服务提供商会在不同位置设置节点服务器,并通过CDN(内容分发网络)技术将网络请求分发到最优的节点服务器上。如果网站启用了CDN加速,就无法通过域名获取真实IP。为了收集目标的真实IP信息,需要绕过CDN查询其真实IP信息。

如何判断是否使用CDN
在收集目标IP信息之前,首先要确定目标网站是否启用了CDN。一般可以通过不同地方的主机ping域名和nslookup域名解析两种方法来判断。通过查看返回的IP是否是多个IP来判断网站是否使用了CDN技术。

使用ping域名判断是否使用CDN
可以直接使用ping域名来查看回显地址,如果回显中包含”cname.vercel-dns.com”等信息,很明显使用了CDN技术。

使用不同主机ping域名判断是否使用CDN
如果自己在多个地方都有主机可以ping域名,可以根据返回的IP信息进行判断。可以利用一些公开的多地ping服务来判断是否启用了CDN。

使用nslookup域名解析判断是否使用CDN
通过系统自带的nslookup命令对域名进行解析,如果Name字段直接指向”cname.vercel-dns.com”,那么很明显使用了CDN技术。

另外,其中的Address字段也可能指向不同的IP,这也可能表示使用了CDN。

如何绕过CDN获取真实IP查询子域名
由于CDN加速需要支付费用,很多网站只对主站进行CDN加速,而子域名没有进行加速。子域名可能与主站位于同一服务器或同一C段网络中。可以通过探测子域名的方式收集目标的子域名信息,并通过查询子域名的IP信息来辅助判断主站的真实IP信息。

查询历史DNS记录
通过查询与IP绑定的历史DNS记录,有可能发现之前的真实IP信息。常用的第三方服务网站可以提供这样的查询。

使用国外主机请求域名
部分国内的CDN加速服务商只对国内线路进行加速,而国外线路没有加速。可以通过国外主机来探测真实的IP信息。可以利用已有的国外主机直接进行探测,或者利用公开的多地ping服务(其中包括国外的探测节点),通过国外探测节点返回的信息来判断真实的IP信息。

网站信息泄露漏洞
可以利用网站存在的漏洞和信息泄露,获取真实的IP信息。例如,在phpinfo页面中,可以查看SERVER_ADDR字段来获取主机的真实IP。另外,通过目标网站的邮箱注册、找回密码或RSS订阅等功能,接收到的邮件中查看邮件源码,也可以获得目标的真实IP。

目标网站APP应用
如果目标网站有自己的App,可以尝试使用Burp Suite等流量抓包工具来捕获App的请求,可能会找到目标的真实IP。

旁站查询(IP反查)
旁站是指与攻击目标位于同一服务器上的不同网站。如果获取到目标的真实IP,且攻击目标没有可利用的漏洞,可以通过查找旁站的漏洞攻击旁站,然后通过提权获取服务器的最高权限,进而攻击目标。

旁站信息收集也称为IP反查,可以通过以下方式进行:

  • 使用Nmap扫描获取旁站信息,通过命令nmap -sV -p 1-65535 x.x.x.x对目标IP进行全端口扫描,以确保每个可能开放的端口���务都能识别到。
  • 利用第三方服务获取旁站信息,如Netcraft、Virustotal、ThreatCrowd、DNSdumpster和ReverseDNS等。
  • 利用搜索引擎语法进行查询。

C段主机查询
C段主机是指与目标服务器位于同一C段网络的服务器。攻击目标的C段存活主机是信息收集的重要步骤,因为很多企业的内部服务器可能都在同一个C段网络中。在很难找到攻击目标服务器互联网漏洞的情况下,可以通过攻击C段主机,获取对C段主机的控制权,进入企业内网,然后通过C段主机进行内网渗透,绕过互联网的防护,对目标进行攻击。但是这种攻击方式容易偏离目标。

可以使用Nmap扫描C段,通过命令nmap -sn x.x.x.x/24对目标IP的C段主机进行存活扫描,根据扫描结果可以判断目标IP的C段还有哪些主机存活。

子域名查询
子域名是父域名的下一级,例如”blog.zjun.info”和”tools.zjun.info”是”zjun.info”的子域名。一般来说,企业对主站域名的防护措施比较健全,但可能对子域名的防护不够及时。攻击者在找不到主站的突破口时,可以进行子域名的信息收集,然后通过子域名的漏洞进行迂回攻击。子域名信息收集主要包括枚举发现子域名、搜索引擎发现子域名、第三方聚合服务发现子域名、证书透明性信息发现子域名、DNS域传送发现子域名等方式。

枚举发现子域名可以通过枚举的方式对子域名进行收集,需要一个好的字典来增加枚举的成功率。可以使用一些工具进行子域名暴力破解。

搜索引擎发现子域名可以利用搜索引擎的语法进行查询。

第三方聚合服务发现子域名可以利用Netcraft、Virustotal、ThreatCrowd、DNSdumpster和ReverseDNS等第三方聚合平台来获取子域信息。

证书透明性信息发现子域名可以通过证书透明性(Certificate Transparency,CT)项目进行域名信息收集,可以使用在线网站或本地工具进行查询。

DNS域传送发现子域名是指通过DNS服务器之间的数据同步来获取子域名信息。如果DNS服务器配置不当,可能导致攻击者获取某个域的所有记录。可以利用nmap漏洞检测脚本dns-zone-transfer进行检测。

Linux dig命令也可以用来进行测试。

端口扫描
常用的端口扫描工具有nmap和masscan。可以使用这些工具来扫描目标主机的开放端口,以获取有关目标的更多信息。

目录探测
目录扫描是信息搜集中的重要步骤,可以帮助我们发现网站的测试页面、后台地址、常见第三方高危组件路径等。但是在现在的云WAF和主机防护下,频繁访问的IP可能会被封禁。对于云WAF,找到网站的真实IP是关键,其他情况下可以修改开源工具代码,利用IP代理池或控制访问频率的方式进行探测。

常用的目录扫描工具有dirsearch、Gobuster、ffuf等。

IP代理池可以使用ProxyPool等工具。

指纹识别
指纹识别可以用于识别CMS、框架、中间件和WAF等。可以通过CMS的特征、特定文件和路径、响应头信息等进行识别。

服务器信息搜集
服务器信息搜集包括服务版本识别和操作系统信息识别,可以利用nmap等工具进行识别。

CMS识别
CMS识别的目的是为了方便利用已公开的漏洞进行渗透测试,甚至可以下载对应版本的CMS进行本地代码审计。可以通过特定关键字识别、特定文件和路径识别、响应头信息识别等方式进行CMS识别。

特定关键字识别可以通过访问特定文件,将返回的网页信息与扫描工具数据库中的指纹信息进行匹配,判断CMS类型。

特定文件和路径识别可以通过特定的文件路径进行识别,不同的CMS会有不同的网站结构和文件名称。

响应头信息识别可以通过响应头中的Server、X-Powered-By、Set-Cookie等字段来识别应用程序。

指纹识别工具有Wappalyzer、WhatWeb、CMSmap等。

社工信息收集
社工信息收集主要是收集目标企业单位的关键员工、供应商和合作伙伴等相关信息。通过社工可以了解目标企业的人员组织结构,从而判断关键人员并进行社会工程学鱼叉式钓鱼攻击。收集到的相关信息还可以进行社工库查询或制作字典,用于相关应用系统的暴力破解。

可以通过whois信息查询域名的IP和所有人等信息。

在线工具和本地工具可以用于社工信息收集和制作字典。

以上是关于信息收集的一些方法和工具,希望对您有所帮助。

赞(0)