Web滲透之信息收集技術（附實戰練習）

先附上思維導圖方便查閱👀

1、收集子域信息

子域名檢測工具：

Layer子域名挖掘機，K8，wydomain，Sublist3r，dnsmaper，subDomainsBrute，Maltego CE

搜索引擎枚舉：

可以利用前面的google黑客語法。列如：搜索百度旗下的子域名就可以使用“site:baidu.com”，

site:baidu.com –www 不包含www

第三方聚合應用枚舉：

很多第三方服務匯聚了大量DNS數據集，可通過它們檢索某個給定域名的子域名。只要往其搜索欄中輸入域名，就可以檢索到相關的域名信息。

·DNSdumpster網站：http://dnsdumpster.com/

證書透明度公開日誌枚舉：

證書透明度(Certificate Transparency,CT)是證書授權機構(CA)的一個項目，證書授權機構會爲每一個SSL/TLS證書發佈到公共日誌中。一個SSL/TLS證書通常包含域名、子域名和郵箱地址，這些也經常成爲攻擊者非常希望獲得的有用信息。查找某個域名所屬證書的最簡單的方法就是使用搜索引擎搜索一些公開的CT日誌。

Crt.sh: http://crt.sh

Censys: https://censys.io

在線子域爆破：

子域名爆破網站https://phpinfo.me/domain

Ip反查綁定域名網站:http://dns.aizhan.com

用Layer子域名挖掘機做例子：

2.指紋識別

CSM:

CMS(Content Management System)又稱整站系統或文章系統。在2004年以前，如果想要進行網站內容管理，基本上都靠手工維護，但在信息爆炸的時代，完全靠人維護相當困難。所以就出現了CMS，開放者只要給客戶一個軟件包，客戶自己安裝配置好，就可以定期更新數據來維護網站，節省了大量的人力和物力。

常見的CMS有：Dedecms （織夢），Discuz，PHPWEB，PHPWind，PHPCMS，ECShop，Dvbbs，SiteWeaver，ASPCMS，帝國，Z-Blog，WordPress等。

掃描工具：

御劍web指紋識別，whatweb，WebRobo，椰樹，輕量web指紋識別等

實戰：

使用whatweb對https://www.morningstarsecurity.com/網站進行信息收集，請書寫收集到的信息有哪些？

收集到的信息：Apache[2.4.29]、wordpress、HTML5等

（在此用到的是kali虛擬機實現）

3.真實IP地址查詢

CDN:

CDN就是內容分發網絡，主要解決因傳輸距離和不同運營商節點造成的網絡速度性能低下的問題。說的簡單點，就是一組在不同運營商之間的對接節點上的高速緩存服務器，把用戶經常訪問的靜態數據資源(html、css、js圖片、視頻、聲音等文件)直接緩存到節點服務器上，當用戶再次請求時，會直接分發到離用戶近的節點服務器響應給用戶，當用戶又實際數據交互時纔會從遠程Web服務器上響應，這樣可以大大提高網站的響應速度及用戶體驗。

如果目標網站有CDN服務器，ping域名不一定獲取到目標真正的Web服務器，只是離我們最近的節點上的CDN，這樣導致我們無法得到目標的真實IP段範圍。

CDN判斷：

方法1：

很簡單，使用各種多地 ping 的服務，查看對應 IP 地址是否唯一，如果不唯一多半是使用了CDN， 多地 Ping 網站有：

http://17ce.com
http://ping.chinaz.com/

方法2：

使用 nslookup 進行檢測，原理同上，如果返回域名解析對應多個 IP 地址多半是使用了 CDN。

方法3：

使用各種在線工具幫助檢測目標網站是否使用了CDN

http://www.cdnplanet.com/tools/cdnfinder/

http://www.ipip.net/ip.html

CDN繞過：

查詢子域：

許多情況下只有主站使了CDN，二級站點並沒有，所以我們就可以直接查詢分站的IP。分站的搜索方法見下文。也可以用我們可以使用搜索引擎輸入site:baidu.com或者inurl:baidu.com來搜索baidu.com的子域名

1.國內部分 CDN 服務只針對國內，對國外的訪問幾乎不使用 CDN。所以我們可以通過國外冷門 DNS 查詢域名。

2.國外代理網站App Synthetic Monitor（https://asm.ca.com/en/ping.php）

​ ·歷史解析記錄

CDN 的 IP 地址之前所用的 IP 就是真實 IP。

​ https://sitereport.netcraft.com/?url=www.baidu.com

·查詢郵件

很多服務器自帶郵件發送功能，可以利用它來獲取真實 IP。讓站點主動發送郵件，然後右鍵查詢源代碼，就能獲得真實 IP。

·抓取App的請求

如果目標網絡站有自己的App 可以嘗試通過利用fiddler或Burp Suite抓取App的請求，從裏面找到目標的真實ip

4.驗證IP:

當我們找到目標真實IP後如何驗證其真實性？

直接IP地址訪問，看響應的頁面是不是和訪問的域名返回一樣

目標段比較大的情況下，藉助類似Masscan的工具批掃描對應IP段中所有開放了80、443、8080端口IP，然後逐個嘗試ip訪問，觀察相應是否爲目標站點。

實戰：

查找某（自選）網站，判斷是否存在CDN，及繞過CDN查找真實IP地址

https://www.17ce.com

https://sitereport.netcraft.com/?url=www.meituan.com

5.整站分析：

服務器類型：（windows/linux）

1.判斷是Linux還是Windows最簡單就是通過ping來探測，Windows的TTL值都是一般是128，Linux則是64。所以大於100的肯定是Windows，而幾十的肯定是Linux。

2.Windows大小寫不敏感，Linux大小寫敏感。

如www.xxxx.com/index.php和www.xxxx.com/index.phP打開的一樣就說明是Windows

而判斷目標網站服務器的具體的版本的話，可以採用 nmap 進行掃描， -O 和 -A 參數都能掃描出來。

網站容器：(Apache/Nginx/Tomcat/IIS)

知道了這些信息之後，我們就需要知道網站用的web服務器是什麼類型的：Apache、Nginx、Tomcat 還是 IIS。知道了web服務器是哪種類型後，我們還要探測web服務器具體的版本。比如Ngnix版本<0.83會有解析漏洞 ，IIS6.0會有文件名解析漏洞、IIS7.0會有畸形解析漏洞等。不同的web服務器版本，存在着不同漏洞。

探測網站是哪種web服務器，可以使用工具whatweb

腳本類型：(php/jsp/asp/aspx)

我們需要知道網站用的腳本類型：php 、Jsp 、Asp 、Aspx 。

1.可以根據網站URL來判斷

2.site:xxx filetype:php

3.可以根據Firefox的插件來判斷

數據庫類型：(Mysql/Oracle/Accees/Mqlserver)

我們需要知道網站用的是哪種類型的數據庫：Mysql、Oracle、SqlServer 還是 Access 。雖然這幾種數據庫的語法大體上相同，但是還是有區別的。所以我們還是要知道目標網站用的是哪種數據庫，並且數據庫是哪個版本的

常見搭配

ASP 和 ASPX：ACCESS、SQL Server

PHP：MySQL、PostgreSQL

JSP：Oracle、MySQL

5.收集敏感目錄文件

滲透測試中，探測Web目錄結構和隱藏的敏感文件是一個必不可少的環節，從中可以獲取網站的後臺管理頁面、文件上傳頁面、甚至可以掃描出網站的源代碼。

收集方向：

後臺目錄：弱口令，萬能密碼，爆破

安裝包：獲取數據庫信息，甚至是網站源碼

上傳目**錄：**截斷、上傳圖片馬等

mysql管理接口：弱口令、爆破，萬能密碼，然後脫褲，甚至是拿到shell

安裝頁面 ：可以二次安裝進而繞過

phpinfo：會把你配置的各種信息暴露出來

編輯器：fck、ke、等

iis短文件利用：條件比較苛刻 windows、apache等

robots.txt文件

常用工具：

字典爆破：dirb[kali如：dirb http://192.168.200.113]對目標網站進行目錄掃描]、DirBuster、 wwwscan 、御劍後臺、Webdirscan等

蜘蛛爬行：Burp、OWASP ZAP、AWVS等

在線工具站：[webscan]

聯網設備搜索：

鍾馗之眼www.zoomeye.com。

傻蛋www.oshadan.com(使用)

聯網設備搜索引擎可以檢索到許多搜索引擎不收錄的頁面，通常是後臺等頁面。

構造檢索關鍵詞時：

系統/後臺類，可以搜索“xxx系統/平臺/管理”。

企業類，可以搜索“xxx企業/公司/平臺”。

5.旁站和C段掃描

旁站：

旁站指的是同一服務器上的其他網站，很多時候，有些網站可能不是那麼容易入侵。那麼，可以查看該網站所在的服務器上是否還有其他網站。如果有其他網站的話，可以先拿下其他網站的webshell，然後再提權拿到服務器的權限，最後就自然可以拿下該網站了！

C段：

C段指的是同一內網段內的其他服務器，每個IP有ABCD四個段，舉個例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一臺服務器，也就是說是D段1-255中的一臺服務器，然後利用工具嗅探拿下該服務器。

在線查詢工具：

旁站和C段在線查詢地址：http://www.webscan.cc/ 、 [http://www.5kik.com/]

常用工具：

C段：

C段指的是同一內網段內的其他服務器，每個IP有ABCD四個段，舉個例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一臺服務器，也就是說是D段1-255中的一臺服務器，然後利用工具嗅探拿下該服務器。

6.在線查詢工具：

旁站和C段在線查詢地址：http://www.webscan.cc/ 、 [http://www.5kik.com/]

常用工具：

k8旁站、御劍1.5