米斯特白帽培訓(xùn)講義 信息收集
講師:gh0stkey
整理:飛龍
協(xié)議:CC BY-NC-SA 4.0
收集什么串结?
- Whois信息
- 注冊(cè)人名字、郵箱等
- IP信息(服務(wù)器的IP)
- 判斷是否為CDN節(jié)點(diǎn),查詢同IP網(wǎng)站弃理,端口掃描
- 目錄信息
- 判斷WEB應(yīng)用掸屡,獲取網(wǎng)站后臺(tái)目錄擎勘,獲取其他
- 服務(wù)信息
- 判斷服務(wù),例如:IIS刀崖、Apache
- 腳本信息
- ASP惊科、PHP、
aspx(asp.net)
- ASP惊科、PHP、
- 框架信息
- ThinkPHP亮钦、Struts等
- 應(yīng)用信息
- 應(yīng)用馆截,dedecms、phpcms等
- 子域名信息
-
xxx.xx.comxxx.xxx.xx.com
-
WHOIS
查詢工具:http://whois.chinaz.com。
IP 信息
我們可以ping某個(gè) URL:
C:\Users\asus> ping www.hi-ourlife.com
正在 Ping www.hi-ourlife.com.cname.yunjiasu-cdn.net [162.159.209.78] 具有 32 字節(jié)的數(shù)據(jù):
來(lái)自 162.159.209.78 的回復(fù): 字節(jié)=32 時(shí)間=215ms TTL=52
來(lái)自 162.159.209.78 的回復(fù): 字節(jié)=32 時(shí)間=217ms TTL=52
來(lái)自 162.159.209.78 的回復(fù): 字節(jié)=32 時(shí)間=218ms TTL=52
來(lái)自 162.159.209.78 的回復(fù): 字節(jié)=32 時(shí)間=222ms TTL=52
162.159.209.78 的 Ping 統(tǒng)計(jì)信息:
數(shù)據(jù)包: 已發(fā)送 = 4蜡娶,已接收 = 4混卵,丟失 = 0 (0% 丟失),
往返行程的估計(jì)時(shí)間(以毫秒為單位):
最短 = 215ms窖张,最長(zhǎng) = 222ms幕随,平均 = 218ms
但顯然,這里的 IP 是 CDN 的 IP宿接。
我們可以使用多地ping工具來(lái)判斷:
一般來(lái)說(shuō)赘淮,使用了 CDN 的網(wǎng)站在不同地點(diǎn)的ping結(jié)果是不一樣的。不過(guò)這里它直接寫出了百度云加速節(jié)點(diǎn)睦霎。
那么如何找出源站 IP 呢梢卸?
查詢子域:許多情況下只有主站使用了 CDN,二級(jí)站點(diǎn)并沒(méi)有副女,所以我們就可以直接查詢分站的 IP蛤高。分站的搜索方法見(jiàn)下文。
-
國(guó)內(nèi)部分 CDN 服務(wù)只針對(duì)國(guó)內(nèi)碑幅,對(duì)國(guó)外的訪問(wèn)幾乎不使用 CDN戴陡。所以我們可以通過(guò)國(guó)外冷門 DNS 查詢域名。比如枕赵,
nslookup xxx.com 199.89.126.10猜欺。C:\Users\asus\Desktop> nslookup hi-ourlife.com 199.89.126.10 服務(wù)器: UnKnown Address: 199.89.126.10 非權(quán)威應(yīng)答: 名稱: hi-ourlife.com Address: 45.64.65.85 -
歷史解析記錄:CDN 的 IP 地址之前所用的 IP 就是真實(shí) IP。
-
查詢郵件:很多服務(wù)器自帶郵件發(fā)送功能拷窜,可以利用它來(lái)獲取真實(shí) IP开皿。讓站點(diǎn)主動(dòng)發(fā)送郵件,然后右鍵查詢?cè)创a篮昧,就能獲得真實(shí) IP赋荆。
這個(gè)工具可以檢測(cè)旁站:http://tool.chinaz.com/same/。
端口掃描可以使用 Nmap 進(jìn)行懊昨,請(qǐng)見(jiàn)“工具篇 Nmap”一節(jié)窄潭。
目錄信息
-
主動(dòng)式掃描:爬蟲、暴力破解
- AVWS:根據(jù)站點(diǎn)的鏈接(見(jiàn)“工具篇 AVWS”一節(jié))
- 御劍:根據(jù)固定的字典
被動(dòng)式掃描:Burp Spider
-
Google Hack
-
intitle:搜索網(wǎng)頁(yè)標(biāo)題中包含有特定字符的網(wǎng)頁(yè) -
inurl:搜索包含有特定字符的 URL -
intext:搜索網(wǎng)頁(yè)正文內(nèi)容中的指定字符 -
filetype:搜索指定類型的文件 -
site:搜索與指定網(wǎng)站有聯(lián)系的 URL
-
-
robots.txt(補(bǔ)充)重點(diǎn)看
Disallow的部分酵颁。 -
聯(lián)網(wǎng)設(shè)備搜索
- 鐘馗之眼
www.zoomeye.com嫉你。 - 傻蛋
www.oshadan.com。
聯(lián)網(wǎng)設(shè)備搜索引擎可以檢索到許多搜索引擎不收錄的頁(yè)面躏惋,通常是后臺(tái)等頁(yè)面幽污。
構(gòu)造檢索關(guān)鍵詞時(shí):
- 系統(tǒng)/后臺(tái)類,可以搜索“xxx系統(tǒng)/平臺(tái)/管理”簿姨。
- 企業(yè)類距误,可以搜索“xxx企業(yè)/公司/平臺(tái)”簸搞。
比如我們要挖電信的系統(tǒng),可以搜索“電信系統(tǒng)/平臺(tái)/管理”准潭。
這里使用傻蛋這個(gè)平臺(tái)演示一下趁俊,它不僅僅能監(jiān)控系統(tǒng),還能搜索到一些內(nèi)網(wǎng)的系統(tǒng)刑然。比如我們要挖一些電信系統(tǒng)鲜漩,這里點(diǎn)擊全網(wǎng)搜索疏橄,可以看到很多外網(wǎng)看不到的內(nèi)部系統(tǒng)梅誓。
我們點(diǎn)擊其中一個(gè)“汕尾用電監(jiān)控系統(tǒng)”科汗,可以看到詳細(xì)的用電情況般卑,這個(gè)就屬于一種越權(quán)或者繞過(guò)武鲁。
- 鐘馗之眼
服務(wù)信息
查看返回的數(shù)據(jù)包的Server頭,獲取Server信息蝠检。如Server:Microsoft-IIS/6.0沐鼠。
GET / HTTP/1.1
Host: www.hi-ourlife.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: __cfduid=d85643dc07ab45d17ec48c37dde7145d11480308480; PHPSESSID=qfg2unrqvc1adhvcpn8ejhguqulakcd2; CNZZDATA1258769653=1514150716-1480308628-%7C1480308628; timezone=8
X-Forwarded-For: 127.0.0.1
Connection: keep-alive
Upgrade-Insecure-Requests: 1
HTTP/1.1 200 OK
Date: Mon, 28 Nov 2016 05:43:11 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Product: Z-BlogPHP 1.5 Zero
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Server: yunjiasu-nginx
CF-RAY: 308b8035114c226a-LAX
Content-Encoding: gzip
這個(gè)封包告訴我們服務(wù)器是 Nginx。
腳本信息
查看返回的數(shù)據(jù)包中的
X-Powered-By的值-
查看cookie中的信息
PHPSESSID ASPSESSID
比如上面的封包中出現(xiàn)了PHPSESSID叹谁,說(shuō)明站點(diǎn)很可能使用 PHP 編寫饲梭。
框架信息
通過(guò)報(bào)錯(cuò)信息或是URL結(jié)構(gòu)獲取網(wǎng)站使用的框架信息。如ThinkPHP焰檩,Struts等憔涉。
應(yīng)用信息
目錄特征、文件特征析苫、指紋掃描工具兜叨、網(wǎng)站特征等。
比如存在wp-login.php就可能是 WordPress衩侥。
子域名信息
-
搜素引擎:
site:*.xxx.com
個(gè)人信息
社會(huì)工程學(xué):使人們順從你的意愿国旷、滿足你的欲望的一門藝術(shù)與學(xué)問(wèn)。
QQ 空間人肉方法的思維導(dǎo)圖:
