前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >信息搜集

信息搜集

作者头像
Ms08067安全实验室
发布2019-12-18 15:07:19
2.5K0
发布2019-12-18 15:07:19
举报
文章被收录于专栏:Ms08067安全实验室

信息收集

1.系统的信息收集

1.1.CDN

什么是CND?

内容分发式服务

CDN的优势?

隐藏源主机ip,降低延迟,提高服务响应速度,增加网络冗余,减小主机服务器压力。

1.2真实ip查询

1判断目标是否使用了CDN

利用在线网站

http://www.17ce.com

http:/ping.chinaz.com/

http:/ping.aizhan.com/ http://ce.cloud.360.cn/

进行全国多地区的ping服务器操作

然后对比每个地区ping出的ip结果,查看这些ip是否一致,如果都是一样的,极有可能不存在CDN。

如果ip大多不太一样或者规律性很强,可以尝试查询这些ip的归属地,判断是否存在CDN

2.判断是否存在CDN。使用 nslookup 进行检测,原理同上,如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

代码语言:javascript
复制
有 CDN 的示例:
nslookup www.163.com
服务器:  public1.114dns.com
Address:  114.114.114.114
非权威应答:
名称:    163.xdwscache.ourglb0.com
Addresses:  58.223.164.86  
          125.75.32.252
Aliases:  www.163.com  
          www.163.com.lxdns.com

代码语言:javascript
复制
无 CDN 的示例:
nslookup xiaix.me
服务器:  public1.114dns.com
Address:  114.114.114.114
非权威应答:
名称:    xiaix.me
Address:  192.3.168.172  
0.0.0.0 255.255.255.255

3.使用各种在线工具帮助检测目标网站是否使用了CDN

http://www.cdnplanet.com/tools/cdnfinder/

http://www.ipip.net/ip.html

1.3 绕过CDN查找真实ip

1.内部邮件邮件源ip

通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping邮件服务器的域名,就可以获得目标的真实ip,注意:,必须是目标自己的邮件服务器,第三方或者公共邮件服务器是没有用的。

以qq邮箱为列:

2.网站漏洞查找

1)目标敏感文件泄露,例如:phpinfo之类的探针、GitHub信息泄露等。

2)XSS盲打,命令执行反弹shell,SSRF等。

3)无论是用社工还是其他手段,拿到了目标网站管理员在CDN的账号,从而在从CDN的配置中找到网站的真实IP。

3.查询子域名

由于目标服务可能在主站上做好了相应的CDN,但是由于种种原因二级域名没有做,这时我们可以从这个方面入手进行查询。

1)微步在线(https://x.threatbook.cn/)

2)Dnsdb查询法。(https://dnsdb.io/zh-cn/)黑客只需输入baidu.com type:A就能收集百度的子域名和ip了

3)Google 搜索Google site:baidu.com -www就能查看除www外的子域名,

4.国外访问

代理网站App Synthetic Monitor(https://asm.ca.com/en/ping.php)

5.查询域名的解析记录:

查看 IP 与 域名绑定的历史记录,可能会存在使用 CDN 前的记录,相关查询网站有:https://dnsdb.io/zh-cn/ ###DNS查询 https://x.threatbook.cn/ ###微步在线 http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询 http://viewdns.info/ ###DNS、IP等查询 https://tools.ipip.net/cdn.php ###CDN查询IP,也可以大致分析出目标的真实IP段。

利用SecurityTrails平台,攻击者就可以精准的找到真实原始IP。他们只需在搜索字段中输入网站域名,然后按Enter键即可,这时“历史数据”就可以在左侧的菜单中找到。

如何寻找隐藏在CloudFlare或TOR背后的真实原始IP

除了过去的DNS记录,即使是当前的记录也可能泄漏原始服务器IP。例如,MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器,那么原始服务器IP将在MX记录中。

6.App

如果目标网络站有自己的App 可以尝试通过利用fiddler或Burp Suite抓取App的请求,从里面找到目标的真实ip

7.网络空间引擎搜索法

常见的有以前的钟馗之眼,shodan,fofa搜索。以fofa为例,只需输入:title:“网站的title关键字”或者body:“网站的body特征”就可以找出fofa收录的有这些关键字的ip域名,很多时候能获取网站的真实ip,

8.绕过CloudFlare CDN查找真实ip:

在线网站查询cloud Flarewatch (http://www.crimeflare.us/cfs.xhrml#box)(需要访问外国网站)

1.3验证ip

借助工具批量扫描对应ip段所有开了的80,443,8080端口的ip,

如借助工具:

然后逐个尝试ip访问,观察相应是否为目标站点。

1.4操作系统判断

1.通过大小写的敏感字

1.判断是Linux还是Windows最简单就是通过ping来探测,Windows的TTL值都是一般是128,Linux则是64。所以大于100的肯定是Windows,而几十的肯定是Linux。

2.Windows大小写不敏感,Linux大小写敏感。

表现如www.xxxx.com/index.php和www.xxxx.com/index.phP打开的一样就说明是Windows

2.对服务器进行扫描:

Nmap -O

1.5 主机扫描及端口信息

1.NMAP

对端口进行扫描

扫描某一目标地址的指定端口如:21,22,23,80 端口

如果不需要对目标主机进行全端口扫描,只想探测它是否开放了某一端口,那么使用-p参数指定端口号,将大大提升扫描速度。

nmap192.168.0.100-p21,22,23,80

目标地址的操作系统指纹识别

nmap-O192.168.0.105

目标地址提供的服务版本检测

map-sV192.168.0.100

探测防火墙状态

利用FIN扫描的方式探测防火墙的状

nmap-sF-T4192.168.0.100z

FIN扫描用于识别端口是否关闭,收到RST回复说明该端口关闭,否则就是open或filtered状态

2.无状态的扫描工具:

Masscan (可以扫描全网)

使用方法

masscan -p0-65535 28.41.0.0/16 --banners --rate 100000000

masscan --ping 28.41.0.0/16 --rate 1000000 #主机存活

默认情况下,Masscan扫描速度为每秒100个数据包

Zmap

kali安装命令:

sudo apt install zmap

默认情况下,ZMap会对于指定端口实施尽可能大速率的TCP SYN扫描。较为保守的情况下,对10,000个随机的地址的80端口以10Mbps的速度扫描,如下所示:

zmap--bandwidth=10M--target-port=80--max-targets=10000--output-file=results.csv

或者更加简洁地写成:

$ zmap-B10M-p80-n10000-o results.csv

ZMap也可用于扫描特定子网或CIDR地址块。例如,仅扫描10.0.0.0/8和192.168.0.0/16的80端口,运行指令如下:

zmap-p80-o results.csv10.0.0.0/8192.168.0.0/16

如果扫描进行的顺利,ZMap会每秒输出类似以下内容的状态更新:

  1. 0%(1h51mleft);send:28777562Kp/s(560Kp/s avg);recv:1192248p/s(231p/s avg);hits:0.04%
  2. 0%(1h51mleft);send:34320554Kp/s(559Kp/s avg);recv:1442249p/s(234p/s avg);hits:0.04%
  3. 0%(1h50mleft);send:39676535Kp/s(555Kp/s avg);recv:1663220p/s(232p/s avg);hits:0.04%
  4. 0%(1h50mleft);send:45372570Kp/s(557Kp/s avg);recv:1890226p/s(232p/s avg);hits:0.04%

这些更新信息提供了扫描的即时状态并表示成:

完成进度%(剩余时间);send:发出包的数量即时速率(平均发送速率);recv:接收包的数量接收率(平均接收率);hits:命中率

如果您不知道您所在网络能支持的扫描速率,您可能要尝试不同的扫描速率和带宽限制直到扫描效果开始下降,借此找出当前网络能够支持的最快速度。

3.御剑高速TCP端口扫描

https://github.com/foryujian/yujianportscan 解压密码:1

2.web信息搜集

1.Whois查询

站长之家,VirusTotal等

查询域名的相关信息,如域名服务商,域名拥有者,及邮箱,电话,地址等。

2.备案信息查询

Icp备案查询网:http://www.beianbeian.com

天眼查:http://www.tianyancha.com

3.搜集敏感信息

搜集敏感目录文件的目的

在渗透测试中,探测Web目录结构和隐藏的敏感文件是一个必不可少的环节,

从中可以获取网站的后台管理页面、文件上传页面、甚至可以扫描出网站的源代码。

3.1收集方向:

后台目录:弱口令,万能密码,爆破

安装包:获取数据库信息,甚至是网站源码

上传目录:截断、上传图片马等

mysql管理接口:弱口令、爆破,万能密码,然后脱裤,甚至是拿到shell

安装页面 :可以二次安装进而绕过

phpinfo:会把你配置的各种信息暴露出来

编辑器:fck、ke、等

iis短文件利用:条件比较苛刻 windows、apache等

robots.txt文件

3.2探测目标网站后台目录的工具有:

字典爆破:kali环境下的dirb如:dirb http://192.168.200.113

对目标网站进行目录扫描:DirBuster、 wwwscan 、御剑后台、Webdirscan等

蜘蛛爬行:Burp、OWASP ZAP、AWVS等

在线工具站:[webscan][http://www.webscan.cc/]

  1. 3 Google hacking

Google Hack常用语法:

site:可限制你搜索范围的域名

inurl:用于搜索网页上包含的URL,这个语法对寻找网页上的搜索,帮助之类的很有用

intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)

filetype:搜索文件的后缀或者扩展名

intitle:限制你搜索的网页标题

link: 可以得到一个所有包含了某个指定URL的页面列表

info:查找指定站点的一些基本信息

cache:搜索Google里关于某些内容的缓存

查找后台地址:site:域名 inurl:login|admin|manage|member|adminlogin|loginadmin|system|login|user|main|cms

查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

查找可注入点:site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞:site:域名 inurl:file|load|editor|Files找eweb

编辑器:site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库:site:域名 filetype:mdb|asp|#

查看脚本类型:site:域名 filetype:asp/aspx/php/jsp

迂回策略入侵:inurl:cms/data/templates/images/index/

列:尝试搜索一些学校网站的后台,语法为:”site:edu.cn intext: 后台管理”

意思为搜索网页正文中包含有“后台管理” 并且域名后缀是edu.cn的网站,

3.4.网络空间搜索引擎:

钟馗之眼www.zoomeye.com。

傻蛋www.oshadan.com(使用)

联网设备搜索引擎可以检索到许多搜索引擎不收录的页面,通常是后台等页面。

构造检索关键词时:

系统/后台类,可以搜索“xxx系统/平台/管理”。

企业类,可以搜索“xxx企业/公司/平台”。

比如我们要挖电信的系统,可以搜索“电信系统/平台/管理”。

4.指纹识别

指纹识别

常见的CMS有:

Dedecms (织梦),Discuz,PHPWEB,PHPWind,PHPCMS,ECShop,

Dvbbs,SiteWeaver,ASPCMS,帝国,Z-Blog,WordPress等。

扫描工具:御剑web指纹识别,whatweb,webRobo,椰树,轻量web指纹识别等

除了工具以为还可以利用一些在线网站查询CMS指纹识别,

在线网站查询:

BugScaner:http://whatweb.bugscaner.com/look/

云悉指纹:http://www.yunsee.cn/finger.html和whatweb:https://whatweb.net/

5.旁站和C段

旁站和C段扫描

旁站

C段

旁站和C段在线查询地址:

http://www.webscan.cc/ 、 [http://www.5kik.com/]

常用工具:

Web:k8旁站、御剑1.5

端口:portscan

6.整站分析

整站分析

服务器类型,服务器平台,版本等

网站容器,搭建网站的服务组件

列如:IIS,Apache,nginx,tomcat。

脚本类型,Asp,php,jsp,aspx等

数据库类型,mysql,mssql,oracle等

Cms类型,Dedecms(织梦),Discuz,PHPcms,Worspress等。

Waf,阿里云,安全狗,腾讯云,D盾等。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2019-12-16,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Ms08067安全实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 信息收集
    • 1.系统的信息收集
      • 2.web信息搜集
      相关产品与服务
      内容分发网络 CDN
      内容分发网络(Content Delivery Network,CDN)通过将站点内容发布至遍布全球的海量加速节点,使其用户可就近获取所需内容,避免因网络拥堵、跨运营商、跨地域、跨境等因素带来的网络不稳定、访问延迟高等问题,有效提升下载速度、降低响应时间,提供流畅的用户体验。
      领券
      问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档