淺談Web滲透測試中的信息收集

冷瘠薄2017-08-07

+12共270459人圍觀 拘央，發(fā)現(xiàn)16個不明物體WEB安全新手科普

下面一張圖比較詳細的介紹了滲透測試中的信息收集描沟，看過許多 freebuf 大牛寫的文章忘嫉，今天也給大家分享一些自己的經(jīng)驗（也就一小白，錯誤的地方各位牛牛多多指正）氧敢。

信息收集對于滲透測試可以說是重中之重，正所謂“知己知彼询张，百戰(zhàn)不殆”孙乖。所以我們的信息收集也是一樣，收集的信息自然也是越多越好份氧，這里有個文章http://www.doc88.com/p-7784047461299.html唯袄，這里的PTES滲透測試執(zhí)行標準（諸葛建偉翻譯）中信息收集也是占到了差不多60%的樣子，可見滲透測試中信息收集的重要蜗帜，廢話不多說進入正題恋拷。

首先是whois信息，whois（讀作“Who is”厅缺，非縮寫）是用來查詢域名的IP以及所有者等信息的傳輸協(xié)議蔬顾。簡單說，whois就是一個用來查詢域名是否已經(jīng)被注冊湘捎，以及注冊域名的詳細信息的數(shù)據(jù)庫（如域名所有人诀豁、域名注冊商）。至于這個的查詢也是說比較簡單的窥妇，比如站長之家舷胜，愛站網(wǎng)等等都提供了whois的查詢，下面這就是一張典型的站長之家的 whois 查詢

這是我自己的有些地方打碼了秩伞，我們可以看到注冊人信息逞带，郵箱等等這樣我們可以進行郵箱反查域名，爆破郵箱纱新，社工展氓，域名劫持等等，總的來說這也就是個網(wǎng)站的身份證那樣的作用脸爱，至于起到的作用就看你如何發(fā)揮了遇汞，上面也只是提供一些思路而已。下面是DNS相關(guān)的信息收集簿废，在這之前我們需要首先明白dns的解析過程空入、

1. 根域

就是所謂的“.”，其實任何網(wǎng)址(比如www.baidu.com)的完整形式最后都有一個點族檬，即www.baidu.com.歪赢。一般我們在瀏覽器里輸入時會省略后面的點，而這也已經(jīng)成為了習(xí)慣单料。

域名是分級的埋凯，域名解析也是分級的点楼，當(dāng)本地DNS服務(wù)器沒有存儲我們要查找域名的IP地址時，之后解析的第一步就是向根域名(.)DNS服務(wù)器發(fā)出域名解析請求白对。

根域服務(wù)器只是具有13個IP地址掠廓，但機器數(shù)量卻不是13臺。

因為這些IP地址借助了任播的技術(shù)甩恼，所以我們可以在全球設(shè)立這些IP的鏡像站點蟀瞧，你訪問到的這個IP并不是唯一的那臺主機。

kali linux也是提供了一個 dig 命令來查看相關(guān)信息

如果需要查看具體網(wǎng)站的直接dig+指定站點就ok条摸、

二． 域的劃分

根域下來就是頂級域或者叫一級域悦污。

有兩種劃分方式，一種互聯(lián)網(wǎng)剛興起時的按照行業(yè)性質(zhì)劃分的com.塞关，net.等，一種是按國家劃分的如cn.子巾，jp.等。

每個域都會有域名服務(wù)器小压，也叫權(quán)威域名服務(wù)器线梗。

Baidu.com就是一個頂級域名，而www.baidu.com卻不是頂級域名怠益，他是在baidu.com這個域里的一叫做www的主機仪搔。

一級域之后還有二級域，三級域蜻牢，只要我買了一個頂級域烤咧，并且我搭建了自己BIND服務(wù)器（或者其他軟件搭建的）注冊到互聯(lián)網(wǎng)中，那么我就可以隨意在前面多加幾個域了（當(dāng)然長度是有限制的）抢呆。

比如a.www.baidu.com煮嫌，在這個網(wǎng)址中，www.baidu.com變成了一個二級域而不是一臺主機抱虐，主機名是a

三． 域名服務(wù)器

提供域名解析的服務(wù)器昌阿，上面的記錄類型可以是A(address)記錄，NS記錄（nameserver）恳邀，MX（mail）懦冰，CNAME等。

A 記錄

又稱IP指向谣沸，用戶可以在此設(shè)置子域名并指向到自己的目標主機地址上刷钢，從而實現(xiàn)通過域名找到服務(wù)器。說明：·指向的目標主機地址類型只能使用IP地址乳附；

1)泛域名解析即將該域名所有未指定的子域名都指向一個空間内地。在“主機名”中填入*伴澄，“類型”為A，“IP地址/主機名”中填入web服務(wù)器的IP地址瓤鼻，點擊“新增”按鈕即可秉版。

2)負載均衡的實現(xiàn)：負載均衡(Server Load Balancing，SLB)是指在一系列資源上面動態(tài)地分布網(wǎng)絡(luò)負載茬祷。負載均衡可以減少網(wǎng)絡(luò)擁塞清焕，提高整體網(wǎng)絡(luò)性能，提高自愈性祭犯，并確保企業(yè)關(guān)鍵性應(yīng)用的可用性秸妥。當(dāng)相同子域名有多個目標地址時，表示輪循沃粗，可以達到負載均衡的目的粥惧，但需要虛擬主機服務(wù)商支持。

CNAME

通常稱別名指向最盅。您可以為一個主機設(shè)置別名突雪。比如設(shè)置test.mydomain.com，用來指向一個主機www.rddns.com那么以后就可以用test.mydomain.com來代替訪問www.rddns.com了涡贱。

CNAME的目標主機地址只能使用主機名咏删，不能使用IP地址；·主機名前不能有任何其他前綴问词，如：http://等是不被允許的督函；

A記錄優(yōu)先于CNAME記錄。即如果一個主機地址同時存在A記錄和CNAME記錄激挪，則CNAME記錄不生效

MX 記錄

郵件交換記錄辰狡。用于將以該域名為結(jié)尾的電子郵件指向?qū)?yīng)的郵件服務(wù)器以進行處理。如：用戶所用的郵件是以域名mydomain.com為結(jié)尾的垄分，則需要在管理界面中添加該域名的MX記錄來處理所有有@mydomain.com結(jié)尾的郵件宛篇。

MX記錄可以使用主機名或IP地址；

MX記錄可以通過設(shè)置優(yōu)先級實現(xiàn)主輔服務(wù)器設(shè)置薄湿，“優(yōu)先級”中的數(shù)字越小表示級別越高些己。也可以使用相同優(yōu)先級達到負載均衡的目的；

如果在“主機名”中填入子域名則此MX記錄只對該子域名生效嘿般。

當(dāng)域名的MX記錄有多個目標地址且優(yōu)先級相同時段标，表示輪循，可以達到負載均衡的目的

NS 記錄

解析服務(wù)器記錄炉奴。用來表明由哪臺服務(wù)器對該域名進行解析逼庞。這里的NS記錄只對子域名生效。

例如用戶希望由12.34.56.78這臺服務(wù)器解析news.mydomain.com瞻赶，則需要設(shè)置news.mydomain.com的NS記錄赛糟。

說明：·“優(yōu)先級”中的數(shù)字越小表示級別越高派任；·“IP地址/主機名”中既可以填寫IP地址，也可以填寫像ns.mydomain.com這樣的主機地址璧南，但必須保證該主機地址有效掌逛。

將news.mydomain.com的NS記錄指向到ns.mydomain.com，在設(shè)置NS記錄的同時還需要設(shè)置ns.mydomain.com的指向司倚，

否則NS記錄將無法正常解析豆混；·NS記錄優(yōu)先于A記錄。即动知，如果一個主機地址同時存在NS記錄和A記錄皿伺，則A記錄不生效。這里的NS記錄只對子域名生效盒粮。

附加說明

1)負載均衡服務(wù)器負載均衡(Server Load Balancing鸵鸥，SLB)是指在一系列資源上面智能地分布網(wǎng)絡(luò)負載。負載均衡可以減少網(wǎng)絡(luò)擁塞丹皱，提高整體網(wǎng)絡(luò)性能妒穴，提高自愈性，并確保企業(yè)關(guān)鍵性應(yīng)用的可用性摊崭。當(dāng)相同子域有多個目標地址宰翅，或域名的MX記錄有多個目標地址且優(yōu)先級相同時，表示輪循爽室，可以達到負載均衡的目的，但需要虛擬主機和郵箱服務(wù)商支持淆攻。

2) TTL值TTL值全稱是“生存時間（Time To Live)”阔墩，簡單的說它表示DNS記錄在DNS服務(wù)器上緩存時間

四. 解析過程

使用Dig來查看迭代查詢的過程。

當(dāng)然你也有可能遇到域傳送漏洞

如何高效的進行子域名收集

這里也有幾個在線的網(wǎng)站

shodanhttps://www.shodan.io/

shadan(傻蛋聯(lián)網(wǎng)設(shè)備搜索系統(tǒng))https://www.oshadan.com/

ZoomEyhttps://www.zoomeye.org/

github上也有不少自動化的工具

例如Fierce瓶珊，當(dāng)然也有著名的?Layer子域名挖掘機

在幾千個域名中使用nmap找到一個薄弱點

真實ip

繞過CDN查看網(wǎng)站真實IP的一些辦法 (參考lovesec公眾號的）

1啸箫、驗證是否存在CDN最簡單的辦法

通過在線的多地ping，通過每個地區(qū)ping的結(jié)果得到IP

看這些IP是否一致伞芹，如果都是一樣的忘苛，極大可能不存在cdn，但不絕對

如果這些IP大多都不太一樣或者規(guī)律性很強唱较，可以嘗試查詢這些IP的歸屬地扎唾，判斷是否存在CDN

2、驗證IP和域名是否真實對應(yīng)最簡單的辦法

修改本地hosts文件南缓，強行將域名與IP解析對應(yīng)

然后訪問域名查看頁面是否變化

1胸遇、ping

假設(shè)如下存在cdn

? ~ pingwww.sysorem.xyz

PING 539b1c6d114eec86.360safedns.com (221.204.14.177): 56 data bytes

Request timeout for icmp_seq 0

Request timeout for icmp_seq 1

Request timeout for icmp_seq 2

可以嘗試? ~ ping sysorem.xyz

很多廠商可能讓www使用cdn，空域名不使用CDN緩存汉形。

所以直接ping sysorem.xyz可能就能得到真實IP

2纸镊、分站域名

很多網(wǎng)站主站的訪問量會比較大倍阐。所以往往主站都是掛了CDN的

但是分站就不一定了，畢竟CDN要錢逗威，而且也不便宜

所以可能一些分站就沒有掛CDN峰搪，所以有時候可以嘗試通過查看分站IP

可能是同個IP或者同個站都是沒準的。Zoomeye.org, shodan.io ,fofa.so凯旭，微步在線概耻，是我們不錯的選擇，使用api效果更佳

3尽纽、國外訪問

國內(nèi)的CDN往往只會針對國內(nèi)用戶訪問加速

所以國外就不一定了咐蚯。因此通過國外代理訪問就能查看真實IP了

或者通過國外的DNS解析，可能就能得到真實的IP

當(dāng)然還有郵件弄贿、ddos春锋、社工等等

端口掃描

這里當(dāng)然非我們的nmap莫屬了，號稱四十分鐘掃描全網(wǎng)啊

指紋識別

這個主要是主機系統(tǒng)的識別差凹，網(wǎng)站程序的識別期奔，cms等等

bt5下的whatweb、nmap危尿、windows下的御劍等等都是不錯的工具呐萌，網(wǎng)站的roboxt.txt文件有時也會有不一樣的效果

還有破曉團隊的在線識別http://whoweb.secbug.org/

敏感信息泄露

phpinfo文件泄露

.ht、.svn谊娇、.git肺孤、網(wǎng)站源碼文件信息泄露等等

自動化的腳本

基本也就這些了，希望對大家有用济欢，O(∩_∩)O哈哈哈~

（參考文章https://xianzhi.aliyun.com/forum/read/451.html）

*本文作者：冷瘠薄赠堵，轉(zhuǎn)載請注明來組FreeBuf