freeBuf
主站

分類

漏洞 工具 極客 Web安全 系統安全 網絡安全 無線安全 設備/客戶端安全 數據安全 安全管理 企業安全 工控安全

特色

頭條 人物志 活動 視頻 觀點 招聘 報告 資訊 區塊鏈安全 標準與合規 容器安全 公開課

官方公眾號企業安全新浪微博

FreeBuf.COM網絡安全行業門戶,每日發布專業的安全資訊、技術剖析。

FreeBuf+小程序

FreeBuf+小程序

Web滲透測試:信息收集篇
2020-09-28 09:56:16

在之前的一系列文章中,我們主要講了內網滲透的一些知識,而在現實中,要進行內網滲透,一個很重要的前提便是:你得能進入內網??!所以,從這篇文章開始,我們將開啟Web滲透的學習(內網滲透系列還會繼續長期更新哦)。

滲透測試,是滲透測試工程師完全模擬黑客可能使用的攻擊技術和漏洞發現技術,對目標網絡、主機、應用的安全作深入的探測,幫助企業挖掘出正常業務流程中的安全缺陷和漏洞,助力企業先于黑客發現安全風險,防患于未然。

Web應用的滲透測試流程主要分為3個階段,分別是:信息收集→漏洞發現→漏洞利用。本文我們將對信息收集這一環節做一個基本的講解。

信息收集介紹

進行web滲透測試之前,最重要的一步那就是就是信息收集了,俗話說“滲透的本質也就是信息收集”,信息收集的深度,直接關系到滲透測試的成敗。打好信息收集這一基礎可以讓測試者選擇合適和準確的滲透測試攻擊方式,縮短滲透測試的時間。一般來說收集的信息越多越好,通常包括以下幾個部分:

域名信息收集

子域名信息收集

站點信息收集

敏感信息收集

服務器信息收集

端口信息收集

真實IP地址識別

社會工程學

下面我們對這幾種信息收集分別做相應的講解。

域名信息收集

域名(英語:Domain Name),又稱網域,是由一串用點分隔的名字組成的Internet上某一臺計算機或計算機組的名稱,用于在數據傳輸時對計算機的定位標識(有時也指地理位置)。由于IP地址具有不方便記憶并且不能顯示地址組織的名稱和性質等缺點,人們設計出了域名,并通過網域名稱系統來將域名和IP地址相互映射,使人更方便地訪問互聯網,而不用去記住能夠被機器直接讀取的IP地址數串。

頂級域名/一級域名:

頂級域(或頂級域名,也稱為一級域名),是互聯網DNS等級之中的最高級的域,它保存于DNS根域的名字空間中。頂級域名是域名的最后一個部分,即是域名最后一點之后的字母,例如在http://www.example.com這個域名中,頂級域是.com。

二級域名:

除了頂級域名,還有二級域名,就是最靠近頂級域名左側的字段。例如在http://www.example.com這個域名中,example就是二級域名。

子域名:

子域名(或子域;英語:Subdomain)是在域名系統等級中,屬于更高一層域的域。比如,mail.example.com和calendar.example.com是example.com的兩個子域,而example.com則是頂級域.com的子域。凡頂級域名前加前綴的都是該頂級域名的子域名,而子域名根據技術的多少分為二級子域名,三級子域名以及多級子域名。

一般來說,在做滲透測試之前,滲透測試人員能夠了解到的信息有限,一般也就只知道一個域名,這就需要滲透測試人員首先要針對一個僅有的域名進行信息搜集,獲取域名的注冊信息,包括該域名的DNS服務器信息、子域信息和注冊人的聯系信息等信息??梢杂靡韵聨追N方法來收集域名信息。

Whois 查詢

whois 是用來查詢域名的IP以及所有者等信息的傳輸協議。簡單說,whois就是一個用來查詢域名是否已經被注冊,以及注冊域名的詳細信息的數據庫(如域名所有人、域名注冊商),不同域名后綴的Whois信息需要到不同的Whois數據庫查詢。通過whois來實現對域名信息的查詢,可以得到注冊人的姓名和郵箱信息通常對測試個人站點非常有用,因為我們可以通過搜索引擎和社交網絡挖掘出域名所有人的很多信息。

(1)在線查詢

如今網上出現了一些網頁接口簡化的線上查詢工具,可以一次向不同的數據庫查詢。網頁接口的查詢工具仍然依賴whois協議向服務器發送查詢請求,命令列接口的工具仍然被系統管理員廣泛使用。whois通常使用TCP協議43端口。每個域名/IP的whois信息由對應的管理機構保存。

常見的網站包括:

Whois站長之家查詢:http://whois.chinaz.com/

阿里云中國萬網查詢:https://whois.aliyun.com/

Whois Lookup 查找目標網站所有者的信息:http://whois.domaintools.com/

Netcraft Site Report 顯示目標網站上使用的技術:http://toolbar.netcraft.com/site_report?url=

Robtex DNS 查詢顯示關于目標網站的全面的DNS信息:https://www.robtex.com/

全球Whois查詢:https://www.whois365.com/cn/

站長工具愛站查詢:https://whois.aizhan.com/

示例:
下面是使用站長之家Whois查詢freebuf域名的相關信息:

1601202210_5f706822c25936c650120.png!small

(2)使用kali中的whois工具查詢

在Kali Linux下自帶的Whois查詢工具,通過命令Whois查詢域名信息,只需輸入要查詢的域名即可,如下圖所示。

1601202371_5f7068c350a296c9d9e56.png!small

備案信息查詢

網站備案信息是根據國家法律法規規定,由網站所有者向國家有關部門申請的備案,是國家信息產業部對網站的一種管理途徑,是為了防止在網上從事非法網站經營活動,當然主要是針對國內網站。

在備案查詢中我們主要關注的是:單位信息例如名稱、備案編號、網站負責人、法人、電子郵箱、聯系電話等。

常用的備案信息查詢網站有以下幾個:

ICP/IP地址/域名信息備案管理系統:http://beian.miit.gov.cn/publish/query/indexFirst.action

ICP備案查詢網:http://www.beianbeian.com/

備案吧吧:https://www.beian88.com/

天眼查:https://www.tianyancha.com/

1601202703_5f706a0fc1ca842608de6.png!small

子域名信息收集

子域名(或子域;英語:Subdomain)是在域名系統等級中,屬于更高一層域的域。比如,mail.example.com和calendar.example.com是example.com的兩個子域,而example.com則是頂級域.com的子域。凡頂級域名前加前綴的都是該頂級域名的子域名,而子域名根據技術的多少分為二級子域名,三級子域名以及多級子域名。

為什么要收集子域名

子域名枚舉可以在測試范圍內發現更多的域或子域,這將增大漏洞發現的幾率。

有些隱藏的、被忽略的子域上運行的應用程序可能幫助我們發現重大漏洞。

在同一個組織的不同域或應用程序中往往存在相同的漏洞

假設我們的目標網絡規模比較大,直接從主域入手顯然是很不理智的,因為對于這種規模的目標,一般其主域都是重點防護區域,所以不如先進入目標的某個子域,然后再想辦法迂回接近真正的目標,這無疑是個比較好的選擇。

收集子域名的方法有以下幾種:

利用搜索引擎查詢

我們可以利用Google語法搜索子域名,我們以百度的域名為例,使用“site:baidu.com”語法,如下圖所示。

1601203399_5f706cc739a4b37be16a0.png!small

利用在線工具查詢

網上有很多子域名的查詢站點,可通過它們檢索某個給定域名的子域名。如:

我們用DNSdumpster查詢nasa的子域名:

1601204368_5f7070908b96566f434cc.png!small

1601204623_5f70718f016e07acc9eb6.png!small

通過證書透明度公開日志枚舉子域名

證書透明度是證書授權機構的一個項目,證書授權機構會將每個SSL/TLS證書發布到公共日志中。一個SSL/TLS證書通常包含域名、子域名和郵件地址,這些也經常成為攻擊者非常希望獲得的有用信息。

查找某個域名所屬證書的最簡單的方法就是使用搜索引擎來搜索一些公開的CT日志,例如以下網站:

利用工具枚舉子域名

kali上的工具

1601205169_5f7073b13f48de2b9862a.png!small

在kali中的信息收集模塊的DNS分析中,有很多工具可以進行域名信息收集,如上圖。

  • Dnsenum:域名信息收集

  • Dnsmap:收集信息和枚舉DNS信息

  • Dnsrecon:用于DNS偵察

  • Fierce :子域名查詢

  • whois查詢

我們可以利用Fierce工具,進行子域名枚舉。該工具首先測試是否有域傳送漏洞,若存在則應該直接通過域傳送搜集子域信息,沒有域傳送漏洞則采用爆破的方式。

使用方法:

fierce -dns <域名> 
fierce -dns <域名> -threads 100 // threads 是線程數,可以自己指定

1601205913_5f7076991e2916242ff32.png!small

Windows上的工具

Windows上的子域名查詢工具主要由:

  • Layer子域名挖掘機
  • subDomainsbrute

  • K8
  • Sublist3r
  • Maltego
  • ......

subDomainsbrute工具可以用于二級域名收集,下載地址:https://github.com/lijiejie/subDomainsBrute

Python3環境下運行需要安裝aiodns庫。使用該工具的命令執行如下:

python3 subDomainsBrute.py xxxx.com

1601206570_5f70792a5bee15c90644a.png!small

收集完后,會將收集結果寫入一個域名對應的文件中:

1601206623_5f70795fd563855ff5c4d.png!small

除了subDomainsbrute工具,Layer子域名挖掘機也是十分強大的,用它收集子域名將詳細的顯示域名、解析IP、CDN列表、Web服務器和網站狀態等信息:

1601206857_5f707a49bf77e2b4503fa.png!small

該工具請自行上網搜索下載。

站點信息收集

接下來我們進行web網站站點信息收集,主要收集如下信息:

  • CMS指紋識別
  • 歷史漏洞
  • 腳本語言
  • 敏感目錄/文件
  • Waf識別
  • ......

CMS指紋識別

CMS(內容管理系統)又稱為整站系統或文章系統,用于網站內容管理。用戶只需要下載對應的CMS軟件包,就能部署搭建,并直接利用CMS。但是各種CMS都具有其獨特的結構命名規則和特定的文件內容,因此可以利用這些內容來獲取CMS站點的具體軟件CMS與版本。

在滲透測試中,對進行指紋識別是相當有必要的,識別出相應的CMS,才能查找與其相關的漏洞,然后才能進行相應的滲透操作。

常見的CMS有Dedecms(織夢)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝國、Z-Blog、WordPress等。

(1)在線識別

如今,網上一些在線的網站查詢CMS指紋識別,如下所示:

如下,我們用WhatWeb: https://whatweb.net/在線識別一下我的博客:

(2)利用工具

常見的CMS指紋識別工具有WhatWeb、WebRobo、椰樹、御劍Web指紋識別。大禹CMS識別程序等,可以快速識別一些主流CMS。

如下,我們利用kali上的WhatWeb工具識別目標站點的cms:

如上圖,WhatWeb將目標站點的服務器、中間節、cms等都識別了出來。

當我們得知了一個站點的cms類型后,我們可以在網上查找與其相關的漏洞并進行相應的測試。

(3)手工識別

  • 1. 根據HTTP響應頭判斷,重點關注X-Powered-By、cookie等字段
  • 2. 根據HTML 特征,重點關注 body、title、meta等標簽的內容和屬性。
  • 3. 根據特殊的class判斷。HTML 中存在特定 class 屬性的某些 div 標簽,如<body class="ke-content">
  • ......

敏感目錄/文件收集

也就是對目標網站做個目錄掃描。在web滲透中,探測Web目錄結構和隱藏的敏感文件是一個十分重要的環節,從中可以獲取網站的后臺管理頁面、文件上傳界面、robots.txt,甚至可能掃描出備份文件從而得到網站的源代碼。

常見的網站目錄的掃描工具主要有:

  • 御劍后臺掃描工具
  • dirbuster掃描工具
  • dirsearch掃描工具
  • dirb
  • wwwscan
  • Spinder.py
  • Sensitivefilescan
  • Weakfilescan
  • ......

(1)dirsearch目錄掃描

下載地址:https://github.com/maurosoria/dirsearch

該工具使用很簡單,簡單使用如下:

python3 dirsearch.py -u <URL> -e <EXTENSION>
  • -u:url(必須)
  • -e:掃描網站需要指定網站的腳本類型,* 為全部類型的腳本(必須)
  • -w:字典(可選)
  • -t:線程(可選)

1601208904_5f708248b14d2bc2e68b2.png!small

(2)DirBuster目錄掃描

DirBuster是Owasp(開放Web軟體安全項目- Open Web Application Security Project )開發的一款專門用于探測Web服務器的目錄和隱藏文件。(需要java環境)

使用如下:

  1. 首先在Target URL輸入框中輸入要掃描的網址并將掃描過程中的請求方法設置為“Auto Switch(HEAD and GET)”。
  2. 自行設置線程(太大了容易造成系統死機哦)
  3. 選擇掃描類型,如果使用個人字典掃描,則選擇“List based bruteforce”選項。
  4. 單擊“Browse”加載字典。
  5. 單機“URL Fuzz”,選擇URL模糊測試(不選擇該選項則使用標準模式)
  6. 在URL to fuzz里輸入“/{dir}”。這里的{dir}是一個變量,用來代表字典中的每一行,運行時{dir}會被字典中的目錄替換掉。
  7. 點擊“start”開始掃描

使用DirBuster掃描完成之后,查看掃描結果,這里的顯示方式可以選擇樹狀顯示,也可以直接列出所有存在的頁面:

1601210235_5f70877b0275cf478e7e6.png!small

Waf識別

Web應用防護系統(也稱為:網站應用級入侵防御系統。英文:Web Application Firewall,簡稱: WAF)。利用國際上公認的一種說法:Web應用防火墻是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。

wafw00f是一個Web應用防火墻(WAF)指紋識別的工具。

下載地址:https://github.com/EnableSecurity/wafw00f

wafw00f的工作原理:

1. 發送正常的HTTP請求,然后分析響應,這可以識別出很多WAF。

2. 如果不成功,它會發送一些(可能是惡意的)HTTP請求,使用簡單的邏輯推斷是哪一個WAF。

3. 如果這也不成功,它會分析之前返回的響應,使用其它簡單的算法猜測是否有某個WAF或者安全解決方案響應了我們的攻擊。

kali上內置了該工具:

1601210847_5f7089df9f44efe4b8620.png!small

wafw00f支持非常多的WAF識別。要查看它能夠檢測到哪些WAF,請使用-l 選項:

1601211036_5f708a9cbf695b0daccca.png!small

......

簡單使用如下:

wafw00f https://www.xxx.com/

1601211307_5f708babcd34157f0169e.png!small

敏感信息收集

有時候,針對某些安全做得很好的目標,直接通過技術層面是無法完成滲透測試的。此時,便可以利用搜索引擎搜索目標暴露在互聯網上的關聯信息。例如:數據庫文件、SQL注入、服務配置信息,甚至是通過Git找到站點泄露源代碼,以及Redis等未授權訪問、Robots.txt等敏感信息,從而達到滲透目的。

Google hacking

Google搜索引擎從1998年開始沿用至今,我們所有的問題,在Google上面幾乎都能找到答案。Google可以用來發現遠遠超過我們甚至應該能找到的信息,Google可以找到敏感文件,網絡漏洞,它允許操作系統和識別,甚至可以被用來找到密碼,數據庫乃至整個郵箱內容......

Google Hacking 正是是利用谷歌搜索的強大,來在浩瀚的互聯網中搜索到超乎我們想象我的信息。輕量級的搜索可以搜索出一些遺留后門,不想被發現的后臺入口、sql注入等網絡漏洞,中量級的搜索出一些用戶信息泄露,源代碼泄露,未授權訪問等等,重量級的則可能是mdb文件下載,CMS 未被鎖定install頁面,網站配置密碼,php遠程文件包含漏洞等重要信息。

利用 Google Hacking 我們能夠收集很多對我們有用的情報,毫無疑問Google是一個偉大的信息收集工具。

要利用Google搜索我們想要的信息,需要配合谷歌搜索引擎的一些語法:

intext:尋找正文中含有關鍵字的網頁
intitle:尋找標題中含有關鍵字的網頁
allintitle:用法和intitle類似,只不過可以指定多個詞
inurl:搜索url中含有關鍵詞的網頁
allinurl:用法和inurl類似,只不過可以指定多個詞
site:指定訪問的站點
filetype:指定訪問的文件類型
link:指定鏈接的網頁
related:搜索相似類型的網頁
info:返回站點的指定信息,例如:info:www.baidu.com   將返回百度的一些信息
phonebook:電話簿查詢美國街道地址和電話號碼信息
Index of:利用 Index of 語法可以發現允許目錄瀏覽的web網站,就像在本地的普通目錄一樣

查找網站后臺

  • intext:后臺登錄:將只返回正文中包含“后臺登錄”的網頁
  • intitle:后臺登錄:將只返回標題中包含“后臺登錄”的網頁

查找管理員登錄頁面

查找后臺數據庫管理頁面

查找指定網站后臺

  • site:xx.com intext:管理

  • site:xx.com inurl:login

  • site:xx.com intitle:后臺

查看指定網站的文件上傳漏洞

  • site:xx.com inurl:file

  • site:xx.com inurl:load

利用Index of可以發現允許目錄瀏覽的web網站,就像在本地的普通目錄一樣

index of /admin
index of /passwd
index of /password
index of /mail
"index of /" +passwd
"index of /" +password.txt
"index of /config"

用index of目錄列表列出存在于一個web服務器上的文件和目錄。

intitle:index.of 這里的休止符代表的是單個字母的通配符

隨便進去一個看看:

備份文件泄露

  • intitle:index.of index.php.bak
  • inurl:index.php.bak
  • intitle:index.of www.zip

查找sql注入

  • inurl:?id=1
  • inurl: php?id=

GHDB 谷歌黑客數據庫

鏈接:https://www.exploit-db.com/google-hacking-database/

黑客們能通過簡單的搜索框在網絡中出入于無形,在這背后還有一個強大的后盾,那就是Google Hacking Database(GHDB)

這是全世界的黑客朋友們自發維護的一個匯集著各種已經被優化的查詢語句的數據庫,每天都在不斷地更新各種好用有效的Google查詢語句。

Github信息泄露

GitHub作為開源代碼平臺,給程序員提供了很多便利,但如果使用不當,比如將包含了賬號密碼、密鑰等配置文件的代碼上傳了,導致攻擊者能發現并進一步利用這些泄露的信息,就是一個典型的GitHub敏感信息泄露漏洞,再如開發人員在開發時,常常會先把源碼提交到github,最后再從遠程托管網站把源碼pull到服務器的web目錄下,如果忘記把.git文件刪除,就造成此漏洞。利用.git文件恢復網站的源碼,而源碼里可能會有數據庫的信息,詳情參見:https://blog.csdn.net/qq_45521281/article/details/105767428

很多網站及系統都會使用pop3和smtp發送來郵件,不少開發者由于安全意識不足會把相關的配置文件信息也放到Github上,所以如果這時候我們動用一下Google搜索語法,就能把這些敏感信息給找出來了。

site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
……

1601256346_5f713b9a2ce1377110e0b.png!small

1601256490_5f713c2a823b6be768d59.png!small

數據庫信息泄露:

site:Github.com sa password
site:Github.com root password

服務器信息收集

我們還需要對目標服務器的信息進行收集,主要包括一下部分:

  • Web服務器指紋識別
  • 真實IP地址識別
  • 編程語言
  • Web中間件
  • 端口信息收集
  • 后端存儲技術識別
  • ......

Web服務器指紋識別

Web服務器指紋識別是了解正在運行的web服務器類型和版本,目前市場上存在幾種不同的web服務器提供商和軟件版本,了解被測試的web服務器的類型,能讓測試者更好去測試已知漏洞和大概的利用方法,將會在滲透測試過程中有很大的幫助,甚至會改變測試的路線。

Web服務器指紋識別主要識別一下信息:

1、Web服務器名稱,版本

2、Web服務器后端是否有應用服務器

3、數據庫(DBMS)是否部署在同一主機(host),數據庫類型

4、Web應用使用的編程語言

5、Web應用框架

......

(1)手工檢測

  • 1. HTTP頭分析

即查看HTTP響應頭中的Server、X-Powered-By、Cookie 等字段,這也是最基本的方法。

如上圖,從Server字段,我們可以發現服務器可能是Apache,版本2.4.6,運行在CentOS Linux系統上。

根據X-Powered-By字段我們可以判斷識別出web框架,并且不同的web框架有其特有的cookie,根據這個我們也能判斷識別出web應用框架。

  • 2. 協議行為

即從HTTP頭字段順序分析,觀察HTTP響應頭的組織順序,因為每個服務器都有一個內部的HTTP頭排序方法。

  • 3. 瀏覽并觀察網站

我們可以觀察網站某些位置的HTML源碼(特殊的class名稱)及其注釋(comment)部分,可能暴露有價值信息。觀察網站頁面后綴可以判斷Web應用使用的編程語言和框架。

  • 4. 刻意構造錯誤

錯誤頁面可以給你提供關于服務器的大量信息??梢酝ㄟ^構造含有隨機字符串的URL,并訪問它來嘗試得到404頁面。

(2)利用工具識別

whatweb是一款用于輔助的自動化Web應用指紋分析工具

常規掃描:

whatweb 域名/ip地址

批量掃描:

指定要掃描的文件

whatweb -i 含有需要掃描的域名的文件的路徑

詳細回顯掃描:

whatweb -v 域名

Whatweb是一個基于Ruby語言的開源網站指紋識別軟件,如上圖,正如它的名字一樣,whatweb能夠識別各種關于網站的詳細信息包括:CMS類型、博客平臺、中間件、web框架模塊、網站服務器、腳本類型、JavaScript庫、IP、cookie等等。

另外,我們可以使用Nmap OS指紋初步判斷操作系統。對于后端DBMS的識別,如果主機對外開放DBMS的話,可以通過端口特征判斷,尤其是在開放默認端口比如3306、1443、27017等。

真實IP地址識別

在滲透測試中,一般只會給你一個域名,那么我們就要根據這個域名來確定目標服務器的真實IP,我們可以通過像www.ip138.com這樣的IP查詢網直接獲取目標的一些IP及域名信息,但這里的前提是目標服務器沒有使用CDN。

什么是CDN?

CDN的全稱是Content Delivery Network,即內容分發網絡。CDN是構建在現有網絡基礎之上的智能虛擬網絡,依靠部署在各地的邊緣服務器,通過中心平臺的負載均衡、內容分發、調度等功能模塊,使用戶就近獲取所需內容,降低網絡擁塞,提高用戶訪問響應速度和命中率。CDN的關鍵技術主要有內容存儲和分發技術。

CDN將用戶經常訪問的靜態數據資源直接緩存到節點服務器上,當用戶再次請求時,會直接分發到在離用戶近的節點服務器上響應給用戶,當用戶有實際數據交互時才會從遠程Web服務器上響應,這樣可以大大提高網站的響應速度及用戶體驗。CDN網絡的誕生大大地改善了互聯網的服務質量,因此傳統的大型網絡運營商紛紛開始建設自己的CDN網絡。

因此,如果目標服務器使用了CDN服務,那么我們直接查詢到的IP并不是真正的目標服務器的IP,而是一臺離你最近的目標節點的CDN服務器,這就導致了我們沒法直接得到目標服務器的真實IP。

如何判斷目標服務器使用了CDN?

我們可以ping這個網站域名,比如我們ping百度:

1601251439_5f71286f28908a71279fa.png!small

如上圖,我們可以看到百度使用了CDN。

我們也可以設置代理或者通過在線ping網站來在不同地區進行ping測試,然后對比每個地區ping出的IP結果,查看這些IP是否一致,一致,則極有可能不存在CDN。根據 CDN 的工作原理,如果網站使用了 CDN,那么從全國各地訪問網站的 IP 地址是各個 CDN 節點的 IP 地址,那么如果ping出來的IP大多不太一樣或者規律性很強,可以嘗試查詢這些IP的歸屬地,判斷是否存在CDN。有以下網站可以進行ping測試:

https://www.wepcc.com/為例,如圖所示,對 https://www.baidu.com進行ping命令測試,根據 IP 地址和歸屬地不同,可以判斷 https://www.baidu.com使用了 CDN。

1601251978_5f712a8ac684a5dd3b467.png!small

如何繞過CDN找到目標真實IP?

1. 利用子域名。一般來說很多站長可能只會對主站或者流量較大的分站使用CDN,但是一些流量比較小的分站可能沒有掛CDN,這些分站和主站雖然不是同一個IP但是都在同一個C段下面的情況,所以我們可以通過ping二級域名獲取分站lP,從而能判斷出目標的真實IP段。

2. 查詢主域。以前用CDN的時候有個習慣,只讓WWW域名使用cdn,禿域名不使用,為的是在維護網站時更方便,不用等cdn緩存。所以試著把目標網站的www去掉,ping一下看ip是不是變了,如下圖,這個方法還是挺有效的:

1601252504_5f712c981c448cb0d3e01.png!small

3.掃描網站敏感文件,如phpinfo.php等,從而找到目標的真實IP。

4.從國外訪問。國內很多CDN廠商因為各種原因只做了國內的線路,而針對國外的線路可能幾乎沒有,此時我們使用國外的主機直接訪問可能就能獲取到真實P。我們可以通過國外在線代理網站訪問,可能會得到真實的IP地址,外國在線代理網站:

1601254055_5f7132a738c8119b73e01.png!small

如上圖,從國外代理訪問目標網站的IP都是一樣的。

5.通過郵件服務器。一般的郵件系統都在內部,沒有經過CDN的解析,通過目標網站用戶注冊或者RSS訂閱功能,查看郵件,尋找郵件頭中的郵件服務器域名IP,ping這個郵件服務器的域名,由于這個郵件服務器的有可能跟目標Web在一個段上,我們直接一個一個掃,看返回的HTML源代碼是否跟web的對的上,就可以獲得目標的真實IP(必須是目標自己內部的郵件服務器,第三方或者公共郵件服務器是沒有用的)。

6. 查看域名歷史解析記錄。也許目標很久之前沒有使用CDN,所以可能會存在使用 CDN 前的記錄。所以可以通過https://www.netcraft.com、https://viewdns.info/等網站來觀察域名的IP歷史記錄。

7.Nslookup查詢。查詢域名的NS記錄、MX記錄、TXT記錄等很有可能指向的是真實ip或同C段服務器。

8.利用網絡空間搜索引擎。這里主要是利用網站返回的內容尋找真實原始IP,如果原始服務器IP也返回了網站的內容,那么可以在網上搜索大量的相關數據。最常見的網絡空間搜索引擎有如下:

  • Shodan:https://www.shodan.io/
  • 鐘馗之眼:https://www.zoomeye.org/
  • FOFA:https://fofa.so/

9. 讓目標主動連接我們。

1、發郵件給我們。比如訂閱、注冊的時候會有注冊連接發送到我們的郵件,然后查看郵件全文源代碼或郵件標頭,尋找郵件頭中的郵件服務器域名IP就可以了。

2、利用網站漏洞。比如有代碼執行漏洞、SSRF、存儲型的XSS都可以讓服務器主動訪問我們預設的web服務器,那么就能在日志里面看見目標網站服務器的真實IP。

......

驗證獲得的真實IP地址

通過上面的方法獲取了很多的IP地址(上面的方法4),此時我們需要確定哪一個才是真正的IP地址,如果是Web,最簡單的驗證方法是直接嘗試用IP訪問,看看響應的頁面是不是和訪問域名返回的一樣即可。:

端口信息收集

在滲透測試的過程中,收集端口信息是一個十分重要的過程,通過掃描目標服務器開放的端口可以從該端口判斷服務器上運行的服務。因為針對不同的端口具有不同的攻擊方法,收集端口信息可以對癥下藥,便于我們滲透目標服務器。我們可以通過一下方法收集目標服務器的端口信息:

  • 1. 使用nmap工具收集
nmap -A -v -T4 -O -sV 目標地址

1601255035_5f71367b4eeb313a6c6aa.png!small

  • 2. 使用masscan探測端口開放信息

Masscan號稱是最快的互聯網端口掃描器,最快可以在六分鐘內掃遍互聯網。masscan的掃描結果類似于nmap(一個很著名的端口掃描器),在內部,它更像scanrand, unicornscan, and ZMap,采用了異步傳輸的方式。它和這些掃描器最主要的區別是,它比這些掃描器更快。而且,masscan更加靈活,它允許自定義任意的地址范和端口范圍。

1601255458_5f71382286becd0cde096.png!small

由于使用工具通常會在目標網站留下痕跡,接下來提供一種在線網站探測方法。

1601255740_5f71393c6b36513051530.png!small

常見的端口及其攻擊方向可以參考:https://blog.csdn.net/weixin_42320142/article/details/102679143

社會工程學

相信看過《我是誰:沒有絕對的安全系統》的朋友對社會工程學可能有深刻的印象了。全片的過程中,一直在處處滲透著社會工程學的原理,利用人們的膽小怕事,來獲取自己利益。而后來,男主將社會工程學運用到了極致,成功為自己贏得了一個新的身份。

社會工程學(Social Engineering)是一種通過人際交流的方式獲得信息的非技術滲透手段。其實,現在的黑客攻擊也不止是僅僅通過網絡來進行遠程的滲透與入侵,還會通過社會工程學在線下場景中來針對人性弱點進行相應的攻擊。而且不幸的是,這種手段對于黑客來說非常有效,成功率也非常之高。事實上,社會工程學已是企業安全最大的威脅之一。狹義與廣義社會工程學最明顯的區別就是是否會與受害者產生交互行為。廣義是有針對性的去對某一單一或多一目標進行攻擊的行為。社會工程學在滲透測試中起著不小的作用,利用社會工程學,攻擊者可以從一名員工的口中挖掘出本應該是秘密的信息。

凱文·米特尼克在《反欺騙的藝術》中曾提到,人為因素才是安全的軟肋。很多企業、公司在信息安全上投入大量的資金,最終導致數據泄露的原因,往往卻是發生在人本身。你們可能永遠都想象不到,對于黑客們來說,通過一個用戶名、一串數字、一串英文代碼,社會工程師就可以通過這么幾條的線索,通過社工攻擊手段,加以篩選、整理,就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網上留下的一切痕跡等個人信息全部掌握得一清二楚。雖然這個可能是最不起眼,而且還是最麻煩的方法。一種無需依托任何黑客軟件,更注重研究人性弱點的黑客手法正在興起,這就是社會工程學黑客技術。

社會工程學攻擊包括四個階段:

  • 研究:信息收集(WEB、媒體、垃圾桶、物理),確定并研究目標
  • 鉤子:與目標建立第一次交談(HOOK、下套)
  • 下手:與目標建立信任并獲取信息
  • 退場:不引起目標懷疑的離開攻擊現場

社會工程學收集的常見信息包括:姓名、性別、出生日期、身份zheng號、身份zheng家庭住址、身份zheng所在公安局、快遞收貨地址、大致活動范圍、qq、手機號、郵箱、銀行card號(銀行開戶行)、支付寶、貼吧、百度、微博、獵聘、58、同城、網盤、微信、常用ID、學歷(小/初/高/大學/履歷)、目標性格詳細分析、常用密碼、照片EXIF信息。

常見可獲取信息系統包括:中航信系統、春秋航空系統、12306系統、三大運營商網站、全國人口基本信息資源庫、全國機動車/駕駛人信息資源庫、各大快遞系統(越權)、全國出入境人員資源庫、全國在逃人員信息資源庫、企業相關系統、全國安全重點單位信息資源庫等。

舉個例子:

假設我們要對一家公司進行滲透測試,正在收集目標的真實IP階段,此時就可以利用收集到的這家公司的某位銷售人員的電子郵箱。首先,給這位銷售人員發送郵件,假裝對某個產品很感興趣,顯然銷售人員會回復郵件。這樣攻擊者就可以通過分析郵件頭來收集這家公司的真實IP地址及內部電子郵件服務器的相關信息。通過進一步地應用社會工程學,假設現在已經收集了目標人物的郵箱、QQ、電話號碼、姓名,以及域名服務商,也通過爆破或者撞庫的方法獲取郵箱的密碼,這時就可以冒充目標人物要求客服人員協助重置域管理密碼,甚至技術人員會幫著重置密碼,從而使攻擊者拿下域管理控制臺,然后做域劫持。

詳情請參考:

https://www.zhihu.com/question/26113526

https://blog.csdn.net/Eastmount/article/details/100585715

推薦書籍:

《黑客心理學》、《欺騙的藝術》

Ending......

“知己知彼,百戰不殆”,進行web滲透測試之前,最重要的一步那就是就是信息收集了,俗話說“滲透的本質也就是信息收集”,信息收集的深度,直接關系到滲透測試的成敗。打好信息收集這一基礎可以讓測試者選擇合適和準確的滲透測試攻擊方式,縮短滲透測試的時間。

參考

https://blog.csdn.net/qq_41880069/article/details/83037081

https://blog.csdn.net/qq_32434307/article/details/107353811

https://blog.csdn.net/Eastmount/article/details/102816621

http://www.219667.live/sectool/104256.html

https://blog.csdn.net/weixin_41970600/article/details/104766547

https://blog.csdn.net/qq_36119192/article/details/84029809

http://www.219667.live/news/137497.html

https://www.fujieace.com/penetration-test/cdn-find-ip.html

https://blog.csdn.net/qq_36119192/article/details/89151336

https://blog.csdn.net/zyhj2010/article/details/45064903

https://blog.csdn.net/Eastmount/article/details/100585715

https://blog.csdn.net/Eastmount/article/details/100585715

https://www.zhihu.com/question/26113526

本文作者:, 屬于FreeBuf原創獎勵計劃,未經許可禁止轉載

# 滲透測試 # web安全 # 社會工程學 # 網絡安全技術 # web滲透測試
被以下專輯收錄,發現更多精彩內容
+ 收入我的專輯
評論 按時間排序

登錄/注冊后在FreeBuf發布內容哦

相關推薦
  • 0 文章數
  • 0 評論數
  • 0 關注者
登錄 / 注冊后在FreeBuf發布內容哦
收入專輯
777766香港开奖结果 小说 理财平台哪个安全可靠百科 青海快3跨度走势图 辽宁11选5一定牛走图 河南快三开奖走势图 湖北11选五开奖结果查 今天山西快乐十分前三 国内股票配资平台排名 腾讯分分彩官网是什么 上海天天彩选4开奖查询 炒股股市行情