浅谈Web渗透测试中的信息收集(来自FreeBuf)

浅谈Web渗透测试中的信息收集

冷瘠薄2017-08-07

+12270459人围观 ,发现16个不明物体WEB安全新手科普

下面一张图比较详细的介绍了渗透测试中的信息收集,看过许多 freebuf 大牛写的文章,今天也给大家分享一些自己的经验(也就一小白,错误的地方各位牛牛多多指正)。

信息收集对于渗透测试可以说是重中之重,正所谓“知己知彼,百战不殆”。所以我们的信息收集也是一样,收集的信息自然也是越多越好,这里有个文章http://www.doc88.com/p-7784047461299.html,这里的PTES渗透测试执行标准(诸葛建伟翻译)中信息收集也是占到了差不多60%的样子,可见渗透测试中信息收集的重要,废话不多说进入正题。

首先是whois信息,whois(读作“Who is”,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。至于这个的查询也是说比较简单的,比如站长之家,爱站网等等都提供了whois的查询,下面这就是一张典型的站长之家的 whois 查询

这是我自己的有些地方打码了,我们可以看到注册人信息,邮箱等等这样我们可以进行邮箱反查域名,爆破邮箱,社工,域名劫持等等,总的来说这也就是个网站的身份证那样的作用,至于起到的作用就看你如何发挥了,上面也只是提供一些思路而已。下面是DNS相关的信息收集,在这之前我们需要首先明白dns的解析过程、

1. 根域

就是所谓的“.”,其实任何网址(比如www.baidu.com)的完整形式最后都有一个点,即www.baidu.com.。一般我们在浏览器里输入时会省略后面的点,而这也已经成为了习惯。

域名是分级的,域名解析也是分级的,当本地DNS服务器没有存储我们要查找域名的IP地址时,之后解析的第一步就是向根域名(.)DNS服务器发出域名解析请求。

根域服务器只是具有13个IP地址,但机器数量却不是13台。

因为这些IP地址借助了任播的技术,所以我们可以在全球设立这些IP的镜像站点,你访问到的这个IP并不是唯一的那台主机。

kali linux也是提供了一个 dig 命令来查看相关信息

如果需要查看具体网站的直接dig+指定站点就ok、

二. 域的划分

根域下来就是顶级域或者叫一级域。

有两种划分方式,一种互联网刚兴起时的按照行业性质划分的com.,net.等,一种是按国家划分的如cn.,jp.等。

每个域都会有域名服务器,也叫权威域名服务器。

Baidu.com就是一个顶级域名,而www.baidu.com却不是顶级域名,他是在baidu.com这个域里的一叫做www的主机。

一级域之后还有二级域,三级域,只要我买了一个顶级域,并且我搭建了自己BIND服务器(或者其他软件搭建的)注册到互联网中,那么我就可以随意在前面多加几个域了(当然长度是有限制的)。

比如a.www.baidu.com,在这个网址中,www.baidu.com变成了一个二级域而不是一台主机,主机名是a

三. 域名服务器

提供域名解析的服务器,上面的记录类型可以是A(address)记录,NS记录(nameserver),MX(mail),CNAME等。

A 记录

又称IP指向,用户可以在此设置子域名并指向到自己的目标主机地址上,从而实现通过域名找到服务器。说明:·指向的目标主机地址类型只能使用IP地址;

1)泛域名解析即将该域名所有未指定的子域名都指向一个空间。在“主机名”中填入*,“类型”为A,“IP地址/主机名”中填入web服务器的IP地址,点击“新增”按钮即可。

2)负载均衡的实现:负载均衡(Server Load Balancing,SLB)是指在一系列资源上面动态地分布网络负载。负载均衡可以减少网络拥塞,提高整体网络性能,提高自愈性,并确保企业关键性应用的可用性。当相同子域名有多个目标地址时,表示轮循,可以达到负载均衡的目的,但需要虚拟主机服务商支持。

CNAME

通常称别名指向。您可以为一个主机设置别名。比如设置test.mydomain.com,用来指向一个主机www.rddns.com那么以后就可以用test.mydomain.com来代替访问www.rddns.com了。

CNAME的目标主机地址只能使用主机名,不能使用IP地址;·主机名前不能有任何其他前缀,如:http://等是不被允许的;

A记录优先于CNAME记录。即如果一个主机地址同时存在A记录和CNAME记录,则CNAME记录不生效

MX 记录

邮件交换记录。用于将以该域名为结尾的电子邮件指向对应的邮件服务器以进行处理。如:用户所用的邮件是以域名mydomain.com为结尾的,则需要在管理界面中添加该域名的MX记录来处理所有有@mydomain.com结尾的邮件。

MX记录可以使用主机名或IP地址;

MX记录可以通过设置优先级实现主辅服务器设置,“优先级”中的数字越小表示级别越高。也可以使用相同优先级达到负载均衡的目的;

如果在“主机名”中填入子域名则此MX记录只对该子域名生效。

当域名的MX记录有多个目标地址且优先级相同时,表示轮循,可以达到负载均衡的目的

NS 记录

解析服务器记录。用来表明由哪台服务器对该域名进行解析。这里的NS记录只对子域名生效。

例如用户希望由12.34.56.78这台服务器解析news.mydomain.com,则需要设置news.mydomain.com的NS记录。

说明:·“优先级”中的数字越小表示级别越高;·“IP地址/主机名”中既可以填写IP地址,也可以填写像ns.mydomain.com这样的主机地址,但必须保证该主机地址有效。

将news.mydomain.com的NS记录指向到ns.mydomain.com,在设置NS记录的同时还需要设置ns.mydomain.com的指向,

否则NS记录将无法正常解析;·NS记录优先于A记录。即,如果一个主机地址同时存在NS记录和A记录,则A记录不生效。这里的NS记录只对子域名生效。

附加说明

1)负载均衡服务器负载均衡(Server Load Balancing,SLB)是指在一系列资源上面智能地分布网络负载。负载均衡可以减少网络拥塞,提高整体网络性能,提高自愈性,并确保企业关键性应用的可用性。当相同子域有多个目标地址,或域名的MX记录有多个目标地址且优先级相同时,表示轮循,可以达到负载均衡的目的,但需要虚拟主机和邮箱服务商支持。

2) TTL值TTL值全称是“生存时间(Time To Live)”,简单的说它表示DNS记录在DNS服务器上缓存时间

四. 解析过程

使用Dig来查看迭代查询的过程。

当然你也有可能遇到域传送漏洞

如何高效的进行子域名收集

这里也有几个在线的网站

shodanhttps://www.shodan.io/

shadan(傻蛋联网设备搜索系统)https://www.oshadan.com/

ZoomEyhttps://www.zoomeye.org/

github上也有不少自动化的工具

例如Fierce当然也有著名的 Layer子域名挖掘机

在几千个域名中使用nmap找到一个薄弱点

真实ip

绕过CDN查看网站真实IP的一些办法 (参考lovesec公众号的)

1、验证是否存在CDN最简单的办法

通过在线的多地ping,通过每个地区ping的结果得到IP

看这些IP是否一致,如果都是一样的,极大可能不存在cdn,但不绝对

如果这些IP大多都不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN

2、验证IP和域名是否真实对应最简单的办法

修改本地hosts文件,强行将域名与IP解析对应

然后访问域名查看页面是否变化

1、ping

假设如下存在cdn

➜ ~ pingwww.sysorem.xyz

PING 539b1c6d114eec86.360safedns.com (221.204.14.177): 56 data bytes

Request timeout for icmp_seq 0

Request timeout for icmp_seq 1

Request timeout for icmp_seq 2

可以尝试➜ ~ ping sysorem.xyz

很多厂商可能让www使用cdn,空域名不使用CDN缓存。

所以直接ping sysorem.xyz可能就能得到真实IP

2、分站域名

很多网站主站的访问量会比较大。所以往往主站都是挂了CDN的

但是分站就不一定了,毕竟CDN要钱,而且也不便宜

所以可能一些分站就没有挂CDN,所以有时候可以尝试通过查看分站IP

可能是同个IP或者同个站都是没准的。Zoomeye.org, shodan.io ,fofa.so,微步在线,是我们不错的选择,使用api效果更佳

3、国外访问

国内的CDN往往只会针对国内用户访问加速

所以国外就不一定了。因此通过国外代理访问就能查看真实IP了

或者通过国外的DNS解析,可能就能得到真实的IP

当然还有邮件、ddos、社工等等

端口扫描

这里当然非我们的nmap莫属了,号称四十分钟扫描全网啊

指纹识别

这个主要是主机系统的识别,网站程序的识别,cms等等

bt5下的whatweb、nmap、windows下的御剑等等都是不错的工具,网站的roboxt.txt文件有时也会有不一样的效果

还有破晓团队的在线识别http://whoweb.secbug.org/

敏感信息泄露

phpinfo文件泄露

.ht、.svn、.git、网站源码文件信息泄露等等

自动化的脚本

基本也就这些了,希望对大家有用,O(∩_∩)O哈哈哈~

(参考文章https://xianzhi.aliyun.com/forum/read/451.html

*本文作者:冷瘠薄,转载请注明来组FreeBuf

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,482评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,377评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,762评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,273评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,289评论 5 373
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,046评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,351评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,988评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,476评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,948评论 2 324
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,064评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,712评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,261评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,264评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,486评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,511评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,802评论 2 345

推荐阅读更多精彩内容