轉(zhuǎn)載自公眾號：freebuf

前言

前段時間建芙，看了一本書名為《Kali Linux 滲透測試的藝術(shù)》，我發(fā)現(xiàn)書中第四章信息搜集那部分有些內(nèi)容不能適應有些內(nèi)容不能適用國內(nèi)痴脾，這勾起了我想總結(jié)一下國內(nèi)信息搜集的欲望锚烦，于是就有了這篇文章掸犬。

什么是信息搜集

信息搜集也稱踩點，信息搜集毋庸置疑就是盡可能的搜集目標的信息通殃，包括端口信息度液、DNS信息、員工郵箱等等看似并不起眼的一些信息都算是信息搜集画舌，這些看似微乎其微的信息堕担，對于滲透測試而言就關(guān)乎到成功與否了。

信息搜集的重要性

信息搜集是滲透測試的最重要的階段曲聂，占據(jù)整個滲透測試的60%霹购，可見信息搜集的重要性。根據(jù)收集的有用信息朋腋，可以大大提高我們滲透測試的成功率齐疙。

信息搜集的分類

1、主動式信息搜集（可獲取到的信息較多旭咽，但易被目標發(fā)現(xiàn)）

2贞奋、通過直接發(fā)起與被測目標網(wǎng)絡之間的互動來獲取相關(guān)信息，如通過Nmap掃描目標系統(tǒng)穷绵。

3轿塔、被動式信息搜集（搜集到的信息較少，但不易被發(fā)現(xiàn)）

4请垛、通過第三方服務來獲取目標網(wǎng)絡相關(guān)信息催训。如通過搜索引擎方式來搜集信息。

搜集什么信息

1宗收、whois信息（微步）

2漫拭、網(wǎng)站架構(gòu)

3、dns信息（通過查詢dns我們可以檢測是否存在dns域傳送漏洞）

4混稽、子域名搜集

5采驻、敏感目錄及敏感信息审胚、源碼泄露（搜索引擎+工具）

6、脆弱系統(tǒng)（網(wǎng)絡空間）

7礼旅、旁站查詢

8膳叨、C端查詢

9、指紋信息

10痘系、端口服務

11菲嘴、備案信息

12、真實ip

13汰翠、探測waf

14龄坪、社工（朋友圈、微博复唤、qq空間健田、求職、交易等社交平臺）

15佛纫、企業(yè)信息（天眼查妓局、企業(yè)信用信息公示系統(tǒng)、工業(yè)和信息化部ICP/IP地址/域名信息備案管理系統(tǒng)）

信息搜集的流程

上面我已經(jīng)列舉了需要搜集的信息呈宇，然后我給它們分了一下類好爬。

我考慮到一個網(wǎng)站的組成是由域名、服務器甥啄、網(wǎng)站程序組成的抵拘。

因此：

首先入手域名方面：whois、子域名型豁、備案信息僵蛛；

其次是入手服務器方面：dns信息、端口服務迎变、真實ip充尉；

然后入手網(wǎng)站程序（web層）方面：網(wǎng)站架構(gòu)、敏感目錄及敏感信息衣形、源碼泄露（搜索引擎+工具）驼侠、脆弱系統(tǒng)（網(wǎng)絡空間）、旁站查詢谆吴、C端查詢倒源、指紋信息、探測waf句狼；

最后入手企業(yè)方面：天眼查笋熬、企業(yè)信用信息公示系統(tǒng)

歸了類之后，我做了一張腦圖腻菇。

腦圖如下圖所示：

image

Whois信息和Whois反查

whois是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議胳螟。 whois信息可以獲取關(guān)鍵注冊人的信息昔馋，包括注冊商、聯(lián)系人糖耸、聯(lián)系郵箱秘遏、聯(lián)系電話、創(chuàng)建時間等,可以進行郵箱反查域名嘉竟，爆破郵箱邦危，社工，域名劫持等等舍扰。

查詢方式

1铡俐、http://whois.chinaz.com/

2、微步

3妥粟、https://who.is/

4、Linux whois命令

5吏够、其他工具

這里需要注意的是國際域名可以設(shè)置隱私保護勾给，但像國內(nèi).cn等域名是不可以設(shè)置隱私保護的。

當然我們得比較一下這幾種方式哪一種比較適合自己锅知。

站長之家查詢whois信息

這里我用#為例播急。可以看到下圖我們搜集到了注冊商售睹、聯(lián)系人桩警、聯(lián)系郵箱等信息。

可以看到很直觀昌妹，很中國捶枢，而且我們還可以通過聯(lián)系人和聯(lián)系郵箱反查。

image

我們通過聯(lián)系人反查飞崖，搜集到更多信息烂叔，效果如下圖

image

我們也可以通過郵箱反查，效果如下圖

image

微步查詢whois信息

下圖通過微步查詢whois信息的效果固歪，和站長之家一樣很中國蒜鸡，想要反查whois需要復制郵箱

image

圖是反查郵箱的效果，微步需要登錄才可以查看更多的信息牢裳。

image

因此相較于站長之家就顯得有些麻煩了逢防。

who.is查詢whois信息

下圖是通過who.is網(wǎng)站查詢到的whois信息，可以看到中文字符竟還有亂碼蒲讯，很外國忘朝，且不能whois反查。

image

Linux whois命令查詢whois信息

需要注意的是并不是所有Linux系統(tǒng)都自帶whois命令的判帮。

我這里就用CentOS7來演示安裝whois客戶端辜伟。

具體命令的話可以看下圖

image

安裝完成之后氓侧，我們來查詢一下#〉冀疲可以看到下圖的效果约巷，同樣出現(xiàn)了亂碼。

image

其他工具查詢whois信息

查詢whois信息的工具旱捧，我這里不做講解了独郎，工具實質(zhì)上還是調(diào)用了網(wǎng)站接口的。

因此通過比較枚赡，我們針對國內(nèi)網(wǎng)站的whois信息氓癌，我們使用站長之家和微步來查詢whois信息效率會比較高。

子域名搜集

子域名收集可以發(fā)現(xiàn)更多目標贫橙，以增加滲透測試成功的可能性贪婉，探測到更多隱藏或遺忘的應用服務，這些應用往往可導致一些嚴重漏洞卢肃。當一個主站堅不可摧時疲迂，我們可以嘗試從分站入手。

查詢方式

1莫湘、layer子域名挖掘機

2尤蒿、https://phpinfo.me/domain/

3、subDomainsBrute

4幅垮、搜索引擎語法(site:xxx.com)

layer子域名挖掘機

下載地址：https://www.webshell.cc/6384.html

我們運行這款工具需要安裝.net framework 4.0以上腰池，否則會出現(xiàn)像下圖一樣的錯誤信息

image

我就以安裝4.5.2為例

image

安裝完畢后會出現(xiàn)下圖

image

現(xiàn)在可以成功運行工具了

image

以#為例，爆破的效果如下圖忙芒，這款軟件的好處是還可以進行掃描端口和探測服務器類型

image

https://phpinfo.me/domain/

這是Lcy大佬的在線子域名爆破工具示弓，我們可以測試一下爆破#的子域名的效果，如下圖所示呵萨，作為在線工具避乏，它的爆破速度很可觀。

image

subDomainsBrute

這是lijiejie大佬用python寫的子域名爆破工具甘桑，不用說運行的話需要先安裝python拍皮，對于懶惰的人，直接拖進kali里直接就可以運行跑杭。

github下載地址：https://github.com/lijiejie/subDomainsBrute

下圖是以#為例铆帽，用這款工具爆破出來的子域名，可以看到比較少德谅，這是因為字典比較小的原因爹橱。

image

image

搜索引擎語法(site:xxx.com)

我們也可以通過搜索引擎的語法搜索，但是搜索到的子域名比較少窄做。

下圖是通過百度搜索#子域名的效果圖愧驱，當然谷歌也是同樣的語法慰技。

image

備案信息

備案信息分為兩種，一種是IPC備案信息查詢组砚，一種是公安部備案信息查詢吻商。如果是國外的服務器是不需要備案的，因此可以忽略此步驟糟红，國內(nèi)的服務器是需要備案的艾帐，因此可以嘗試獲取信息。

查詢方式

1盆偿、ICP備案查詢

2柒爸、公安部備案查詢

ICP備案查詢

下圖是通過網(wǎng)站查詢ICP備案信息

image

公安部備案查詢

下圖是通過全國公安機關(guān)互聯(lián)網(wǎng)安全管理服務平臺查詢公安部備案信息

image

DNS信息搜集

通過查詢DNS信息，我們可能可以發(fā)現(xiàn)網(wǎng)站的真實ip地址事扭，也可以嘗試測試是否存在DNS域傳送漏洞捎稚。

查詢方式

1、Kali（host求橄、big命令）

2今野、windows（nslookup命令）

3、在線工具

Kali命令

host查詢DNS信息谈撒，如下圖所示：

image

big查詢DNS信息，如下圖所示

image

windows命令

nslookup命令效果如下圖匾南，比較low啃匿。

image

在線工具

地址：

http://tool.chinaz.com/dns/

https://tool.lu/dns/

這里就不做講解了，和查whois信息一樣蛆楞。

探測端口服務

查詢方式

Nmap

個人覺得用Nmap足矣

Nmap掃描

掃描結(jié)果如下圖所示溯乒，可以看到我們可以掃描到操作系統(tǒng)類型、端口信息和端口對應的服務信息豹爹。

image

下圖是詳細端口對應服務圖

image

獲取網(wǎng)站真實ip

現(xiàn)在大多數(shù)的網(wǎng)站都開啟了CDN加速裆悄，導致我們獲取到的IP地址不一定是真實的IP地址。

CDN的全稱是Content Delivery Network臂聋，即內(nèi)容分發(fā)網(wǎng)絡光稼。其基本思路是盡可能避開互聯(lián)網(wǎng)上有可能影響數(shù)據(jù)傳輸速度和穩(wěn)定性的瓶頸和環(huán)節(jié)，使內(nèi)容傳輸?shù)母旌⒌取⒏€(wěn)定艾君。通過在網(wǎng)絡各處放置節(jié)點服務器所構(gòu)成的在現(xiàn)有的互聯(lián)網(wǎng)基礎(chǔ)之上的一層智能虛擬網(wǎng)絡，CDN系統(tǒng)能夠?qū)崟r地根據(jù)網(wǎng)絡流量和各節(jié)點的連接肄方、負載狀況以及到用戶的距離和響應時間等綜合信息將用戶的請求重新導向離用戶最近的服務節(jié)點上冰垄。其目的是使用戶可就近取得所需內(nèi)容，解決 Internet網(wǎng)絡擁擠的狀況权她，提高用戶訪問網(wǎng)站的響應速度虹茶。

思路

1逝薪、二級域名法 一般網(wǎng)站不會所有的二級域名放CDN，因此我們可以利用這點來獲取網(wǎng)站的真實ip

2蝴罪、多地ping法 由CDN的原理董济，不同的地方去Ping服務器，如果IP不一樣洲炊，則目標網(wǎng)站肯定使用了CDN

3感局、nslookup法 找國外的比較偏僻的DNS解析服務器進行DNS查詢，因為大部分CDN提供商只針對國內(nèi)市場暂衡，而對國外市場幾乎是不做CDN询微，所以有很大的幾率會直接解析到真實IP

4、查看郵件法 通過查看郵件原文來確定ip地址狂巢，CDN總不會發(fā)送郵件吧

5撑毛、RSS訂閱法 RSS原理于郵件法差不多

6、查看歷史解析記錄法 查找域名歷史解析記錄唧领，域名在上CDN之前用的IP藻雌，很有可能就是CDN的真實源IP地址

7、利用網(wǎng)站漏洞（XSS斩个、命令執(zhí)行胯杭、SSRF、php探針受啥、phpinfo頁面等） 可以通過一些頁面和漏洞獲取到服務器ip地址也是可能的做个。

網(wǎng)站架構(gòu)

操作系統(tǒng)

查詢方式：

1、Nmap

2滚局、wappalyzer插件

3居暖、云悉

wappalyzer插件是一款火狐插件，可以去火狐擴展中添加藤肢。

image

image

image

image

image

image

中間件信息

1冀宴、wappalyzer插件

2、云悉

通過wappalyzer插件查詢中間件信息温学，如下圖所示

image

通過云悉也可以查詢到中間件信息略贮，如下圖所示

image

數(shù)據(jù)庫

1、wappalyzer

2、云悉

通過云悉查詢到數(shù)據(jù)庫信息逃延，如下圖所示

image

通過wappalyzer插件查詢到數(shù)據(jù)庫信息览妖，如下圖所示

image

編程語言

1、wappalyzer

2揽祥、云悉

通過wappalyzer插件查詢到編程語言信息讽膏，如下圖所示

image

通過云悉查詢到編程語言信息，如下圖所示

image

敏感目錄及敏感信息拄丰、源碼泄露（搜索引擎+工具）

途徑方法

1府树、御劍

2、搜索引擎

3料按、BBscan

4奄侠、GSIL

5、社交平臺（QQ群载矿、文庫垄潮、求職網(wǎng)）

robots.txt、crossdomin.xml闷盔、sitemap.xml弯洗、源碼泄漏文件、/WEB-INF/

御劍

御劍這款工具主要用于掃描網(wǎng)站的敏感目錄逢勾、敏感文件牡整。這里必須要說明一下字典必須要足夠強大才可以掃到別人發(fā)現(xiàn)不了的點。因此我們必須完善一下自己的字典溺拱。

下圖是我利用御劍對我自己網(wǎng)站的一次掃描

image

搜索引擎

搜索引擎也可以用于搜索網(wǎng)站的敏感目錄逃贝、敏感文件和敏感信息。

這里就必須提一下搜索引擎的語法了盟迟，這里以google 黑客語法為例秋泳，語法同樣適用于百度搜索引擎潦闲。

基本語法：

"" //雙引號表示強制搜索

-  //表示搜索不包含關(guān)鍵詞的網(wǎng)頁

|  //或者的意思

site //返回所有于這個域名有關(guān)的網(wǎng)頁

intext //搜索到的網(wǎng)頁正文部分包含關(guān)鍵詞

intitle //搜索到的網(wǎng)頁標題包含關(guān)鍵詞

cache   //搜索關(guān)于某些內(nèi)容的緩存

definne //搜索某個詞語的定義

filetype //搜索指定的文件類型

info //查找指定站點的一些基本信息

inurl //搜索包含關(guān)鍵詞的URL

link //可以返回所有和baidu.com做了鏈接的URL

下面做幾個演示

下圖將返回#的一些分站

image

下圖返回了所有#下的所有包含login關(guān)鍵詞的URL

image

具體的用法你可以自己開動腦經(jīng)組合使用攒菠，這里就不多做演示了。

BBscan

BBscan是一款信息泄漏批量掃描腳本歉闰。它是依舊還是由lijiejie大佬用python寫的安全工具辖众。

這是項目地址：https://github.com/lijiejie/BBScan

在windows平臺運行需要解決依賴問題

pip install -r requirements.txt

下圖是安裝依賴的過程

image

下面說一下使用示例

1. 掃描單個web服務 www.target.com

python BBScan.py  --host www.target.com 

2. 掃描www.target.com和www.target.com/28下的其他主機

python BBScan.py  --host www.target.com --network 28 

3. 掃描txt文件中的所有主機

python BBScan.py -f wandoujia.com.txt 

4. 從文件夾中導入所有的主機并掃描

python BBScan.py -d targets/  --browser

5. 如果是為了去各大src刷漏洞，可以考慮把所有域名保存到targets文件夾下和敬，然后

python BBScan.py -d targets/ --network 30 

下圖是我利用BBscan掃描自己網(wǎng)站

image

GSIL

GSIL是一款由python3寫的從github上尋找敏感文件的安全工具凹炸。

項目地址：https://github.com/FeeiCN/GSIL

先安裝一下依賴

pip install -r requirements.txt

然后需要給它進行配置

用法

# 啟動測試$ python3 gsil.py test# 測試token有效性$ python3 gsil.py --verify-tokens

image

image

社交平臺

在wooyun某一些案例中，有一些奇葩的思路昼弟，通過qq群信息泄露或者通過在線文檔平臺等等導致被攻擊啤它。

下圖是通過QQ群查找找到的敏感文件以及賬號和密碼信息。

下圖是通過道客巴巴獲取敏感信息,其他社交平臺這里就不演示了，社交平臺實在有點多变骡。

image

脆弱系統(tǒng)（網(wǎng)絡空間）

網(wǎng)絡空間搜索引擎的作用就是將互聯(lián)網(wǎng)上公開的網(wǎng)絡資產(chǎn)收集和整理离赫，以此方便人們進行查閱和利用。我在網(wǎng)絡空間可發(fā)現(xiàn)了不少企業(yè)的脆弱系統(tǒng)塌碌，未授權(quán)訪問渊胸、SQL注入、弱口令等等都是存在的行剂。

網(wǎng)絡空間搜索引擎：

1蒲稳、Shodan

2勿锅、FOFA

3、Zoomeye

旁站查詢

什么是旁站

旁站是和目標網(wǎng)站在同一臺服務器上的其它的網(wǎng)站切厘。

在線工具 k8旁站查詢

在線工具獲取旁站

下圖是通過站長之家獲取同一個服務器下的站點信息

image

k8查詢旁站

這個工具是C#寫的，因此需要.NET Framework v4.0

想要使用這款工具還需要申請必應API搂漠，我手工測試時是打不開KEY申請地址的迂卢，可能已經(jīng)不行了，因此還是推薦使用在線工具查詢吧桐汤。

image

C端查詢

什么是C端

C端是和目標服務器ip處在同一個C段的其它服務器而克。

查詢方式

北極熊掃描器 Nmap

北極熊掃描器掃C端

這是一款國人寫的掃描器，不得不說這款掃描器誤報率是真的高怔毛。通過一些實戰(zhàn)我發(fā)現(xiàn)這款掃描器不錯的是C端掃描员萍，可以獲取網(wǎng)站標題、服務環(huán)境拣度、程序類型

下載地址

下圖是使用北極熊掃描器掃C端的效果圖

image

Nmap掃C端

下圖是Nmap掃描開放http服務的服務器的效果圖

image

指紋信息

指紋是什么

指定路徑下指定名稱的js文件或代碼碎绎。

指定路徑下指定名稱的css文件或代碼。

<title>中的內(nèi)容抗果，有些程序標題中會帶有程序標識

meta標記中帶程序標識中帶程序標識筋帖。

display:none中的版權(quán)信息。

頁面底部版權(quán)信息冤馏，關(guān)鍵字? Powered by等日麸。

readme.txt、License.txt逮光、help.txt等文件代箭。

指定路徑下指定圖片文件，如一些小的圖標文件涕刚，后臺登錄頁面中的圖標文件等嗡综，一般管理員不會修改它們。

指紋信息的重要性

通過識別目標網(wǎng)站所使用的CMS信息杜漠，可以幫助我們進一步了解滲透測試環(huán)境极景，可以利用已知的一些CMS漏洞來進行攻擊察净。

識別指紋方式

1、云悉

2盼樟、wappalyzer插件

3塞绿、whatweb工具

探測waf

WAF也稱Web應用防護系統(tǒng)，Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產(chǎn)品恤批。

原理：WAF識別大多基于Headers頭信息异吻。通過發(fā)送惡意的內(nèi)容，對比響應喜庞，尋找數(shù)據(jù)包被攔截诀浪、拒絕或者檢測到的標識。

探測方式

手工（提交惡意數(shù)據(jù)）

工具（WAFW00F延都、Nmap）

我們可以通過工具判斷雷猪，如果工具檢測到WAF的存在，手工驗證一下是否存在誤報晰房；如果工具檢測不到WAF的存在求摇，我們也可以通過手工來判斷WAF到底存不存在。

Nmap探測WAF

Nmap探測WAF有兩種腳本殊者，一種是http-waf-detect与境，一種是http-waf-fingerprint。

image

WAFW00F探測WAF

image

手工探測WAF

在網(wǎng)址URL參數(shù)后面輸入惡意數(shù)據(jù)猖吴，通過提交后被WAF攔截得知WAF信息摔刁。如下圖

image

天眼查

地址：https://www.tianyancha.com/

天眼查是一款“都能用的商業(yè)安全工具”，根據(jù)用戶的不同需求海蔽，實現(xiàn)了企業(yè)背景共屈、企業(yè)發(fā)展、司法風險党窜、經(jīng)營風險拗引、經(jīng)營狀況、知識產(chǎn)權(quán)方面等多種數(shù)據(jù)維度的檢索幌衣。

下圖以奇虎360為例

image

企業(yè)信用信息公示系統(tǒng)

地址：http://www.gsxt.gov.cn/index.html

下圖以奇虎360為例

image

參考

書籍《Kali Linux 滲透測試的藝術(shù)》

乙方滲透測試之信息搜集

滲透測試之信息搜集

滲透測試之信息搜集

*本文作者：看不盡的塵埃矾削，轉(zhuǎn)載請注明來自 Freebuf.COM