主动信息搜集:
与目标主机进行直接交互,通过对交互过程中的信息进行收集,优点是能够实时的得到最新的信息,缺点是会记录自己的所有操作信息。比如nmap端口扫描,scapy高级扫描,Burpsuite站点地图收集等。
被动信息搜集:
不与目标主机进行直接交互,通过搜索引擎(与服务器进行交互而非目标主机)或者社会工程等方式间接的获取目标主机的信息。比如:Google搜索,Shadan搜索,fofa搜索,钟馗之眼等。
一、whois信息
注册商、注册人、邮件、DNS解析服务器、注册人联系电话、企业备案信息【限于国内,国外无需备案】等。
①爱站
二、子域名
①Layer子域名挖掘机。
②virustotal 首选(子域名和IP都出来了)
③Sublist3r (很全面,需配置好)
三、IP段的收集
通过whois和子域名查询就可以基本得到IP段了。
四、查找真实IP(非CDN的IP)
①ping、nslookup(常规,没有绕过CDN)
②DNS历史解析记录:
③查找子域名(有时主站做了CDN而C段子域名未加入CDN)
④网站邮件头信息
(比如说,邮箱注册,邮箱找回密码、RSS 邮件订阅等功能场景,通过网站给自己发送邮件,从而让目标主动暴露他们的真实的 IP,查看邮件头信息,获取到网站的真实 IP。)
⑤网络空间安全引擎搜索(钟馗之眼、fofa)
⑥利用 SSL 证书寻找真实 IP(SSL/TLS 证书通常包含域名、子域名和电子邮件地址)
⑦国外主机解析域名
(大部分 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的 DNS 查询,很可能获取到真实 IP。)
⑧扫描全网
(通过 Zmap、masscan 等工具对整个互联网发起扫描,针对扫描结果进行关键字查找,获取网站真实 IP)
Zmap(下载)和masscan(自带)在kali都有了。
⑨配置不当导致可绕过CDN。
案例 1:为了方便用户访问,我们常常将 www.test.com 和 test.com 解析到同一个站点,而CDN 只配置了 www.test.com,通过访问 test.com,就可以绕过 CDN 了。(百度就是)
案例 2:站点同时支持 http 和 https 访问,CDN 只配置 https 协议,那么这时访问 http 就可以轻易绕过。
五、端口扫描
21 >> FTP
22 >> SSH
23 >> Telnet
53 >> DNS
80 >> HTTP
110 >> POP3
443 >> HTTPS
445 >> SMB (ServerMessage Block) 通信协议
1080 >> socket
1433 >> mssql(默认安装时留下的空口令SA用户,可以让攻 击者为所欲为)
3306 >> Mysql
… …
3389 >>Windows远程连接/RDP
6379 >>redis(Remote Dictionary Server ),即远程字典服务
8080 >>Tomcat/Jboss
9090 >>WebSphere 等
常用工具:
nmap (kali自带)
nbtscan (kali自带)
telnet kali自带 远程登录(q 退出)
portscan ?
六、网站架构探测
探测目标站点的网站架构,比如:操作系统,中间件,脚本语言,数据库,服务器,web容器等等。
服务器类型:服务器平台、版本等
网站容器: 搭建网站的服务组件,例如: iis、Apache、nginx、tomcat 等
脚本类型: ASP、PHP、JSP、aspx 等
数据库类型:access、sqlserver、mysql、oracle、postgresql 等
①CMS 指纹识别(whatweb【kali有,也有在线网站】、Webrobot 工具)
②谷歌 hacker(Google搜索语法)
③Firefox插件Wappalyzer
七、敏感文件、敏感目录探测
通常我们所说的敏感文件、敏感目录大概有以下几种:
- Git
- hg/Mercurial
- svn/Subversion
- bzr/Bazaar
- Cvs
- WEB-INF 泄露
- 备份文件泄露、配置文件泄露
敏感文件、敏感目录挖掘一般都是靠工具、脚本来找
收集方向:
robots.txt、后台目录、安装包、上传目录、mysql 管理接口、安装页面、phpinfo、编辑器
常用工具:
字典爆破 >> 御剑、dirbuster(kali自带)、dirb(kali自带,好用)、wwwscan、
IIS_shortname_Scanner等
蜘蛛爬行 >> 爬行菜刀、webrobot,burpsuite 等
后台查找:
- 弱口令默认后台:admin,admin/login.asp,manage,login.asp 等等常见后台
- 查看网页的链接:一般来说,网站的主页有管理登陆类似的东西,有些可能被管理员删掉
- 查看网站图片的属性
- 查看网站使用的管理系统,从而确定后台
- 用工具查找:wwwscan,intellitamper,御剑
- robots.txt 的帮助:robots.txt 文件告诉蜘蛛程序在服务器上什么样的文件可以被查看
- GoogleHacker
- 查看网站使用的编辑器是否有默认后台
- 短文件利用
- sqlmap –sql-shell load_file(‘d:/wwroot/index.php’);
八、目标域名邮箱收集
一定要养成收集站点邮箱账号的习惯(因为好多官方后台都是用内部邮箱账号登录的,指不定哪天你就得到一个进后台的机会)。
- 通过说明文档以及网站页面收集,或者网站发表者以及留言板信息处收集账号
- 通过 teemo,metago,burpusit,awvs,netspker 或者 google 语法收集
- 搜索相关 QQ 群收集相关企业员工的社交账号 (用途:可用来进行爆破或者弱口令登录以及撞库攻击。)
九、WAF 探测
Waf 也叫 Web 应用防火墙,是通过执行一系列针对 HTTP/HTTPS 的安全策略来专门为 Web 应用提供保护的一款产品。
常用的两种方式:
1)手工(提交恶意数据,简单粗暴)
2)Kali 工具(WAFW00F (wafw零零f)、Nmap)
十、旁站、C 段
旁站:是和目标网站在同一台服务器上的其它的网站。
C 段:是和目标服务器 ip 处在同一个 C 段的其它服务器。
常用工具:
web >> k8 旁站、御剑 1.5
端口 >> portscan
本文链接: https://kur08a.github.io/2022/03/27/fast-info-gather/
版权声明: 本作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可。转载请注明出处!
![知识共享许可协议](https://i.creativecommons.org/l/by-nc-sa/4.0/88x31.png)