渗透测试之信息搜集思路及技巧
信息搜集对于后续的渗透测试至关重要,信息的完整性决定着能否挖掘出网站漏洞,本篇文章将从几个方面讲解信息搜集的思路及技巧和具体的防范方法。
1、Whois查询、网站分析:
我们第一步先是信息收集,先去站长之家Whois查询网站的相关信息,
如上图查询到了域名所有人的邮箱、姓名以及注册域名的IDC服务商,往下查看详细的信息,
这样就暴露了管理员的联系方式等信息,我们通过搜集这些信息可以做很多事了。
防范:
大部分IDC服务商都给可以保护域名信息,这里以腾讯云为例子,在域名管理的地方就有开启域名隐私保护的选项,根据不同情况开启即可。
然后我们来分析下网站的结构,容器,脚本和WAF探测,这样有利于我们对网站的了解。
0x1、快速探测网站使用的脚本
当我们输入index.asp时,页面报错了,证明网站使用的并不是asp脚本,我们输入index.jsp、index.aspx时也进行了报错,当我们输入index.php时,页面变成正常了,证明网站使用的是PHP脚本。
0x2、快速辨别网站数据库类型
大部分网站是这样搭载数据库的:ASP-access数据库 ASPX-sql server数据库 JSP-oracle数据库
PHP-mysql数据库
但上列的也可能不准确,所以可以进行端口扫描,1433端口开放则代表使用了sql server数据库,3306端口开放则使用mysql数据库。
防范:
为了防止数据库被入侵,管理员可以选择使用站库分离或者只开启内网的数据库端口等,这样就防止了端口被入侵的风险。
0x3、利用OWASP开放的火狐浏览器快速辨别网站容器等信息
可以看到网站使用的是IIS容器、服务器系统为windows等一些信息,也可以使用Namp等扫描器进行探测。
防范:
管理员可以禁止网站ping功能,这样可以有效防止被各种扫描器频繁扫描的风险(许多扫描器是利用ping功能确认网站是否为存活状态,然后再进行扫描)。
0x4、快速确定网站使用的WAF
在网站URL或者其他地方输入恶意的代码(如在URL后输入SQL注入检测语句等)时会被WAF拦截,从而确定网站使用的WAF。
这里便暴露出了网站使用的WAF,探测WAF有利于后期使用不同的免杀马。
防范:
这里管理员可以使用较安全的服务器防护软件(如:安全狗、云锁、创宇盾、360网站卫士等),并实时对相应的WAF进行更新,避免被入侵的风险。
2、密码撞库
我们可以将邮箱丢进社工库里进行查询,运气好的话可以查询到管理员之前用的老密。
去cmd5等解密网站把MD5给解出来,然后进行邮箱尝试登陆,登陆成功就可以重置IDC平台密码了。
也可以把搜集到的管理员邮箱或手机号码放到www.zhaohuini.com等一些站点查询管理员注册过的网站,
利用上面泄露的老密对注册的网站进行撞库,搜集域名所有者的更多信息。
可以利用搜集来的管理员信息生成对应的密码字典
生成字典后可以用Burpsuite中的Intruder模块对登录界面进行枚举
防范:
管理员需定期对常登陆站点账户密码修改,并在不同站点使用不同的高强度密码,这样就有效防止了攻击者撞库的风险。
3、社工劫持
在Whois查询中,我们知道了管理员的邮箱和域名注册商,那么我们可以对域名注册商客服或者管理员进行社工。
对域名注册商的社工我这里分为两种,一种是邮箱伪造欺骗客服,二是说服力欺骗客服。
防范:
1、选择安全性较高的IDC服务商(如:阿里云、景安、新网、腾讯云等)注册域名,防止服务商被欺骗的可能。
2、提高个人安全意识,如服务商联系索要个人信息,需确认服务商账号是否为官方账号。
4、子域名、旁站、C段查询:
在上面几种方法失败后,你是不是打算放弃了?那么接下来就是实用的技巧了。
通过字典枚举主域名的子域名,搜集子域名有利于我们进行进一步的渗透测试,许多子域名使用的是不同的服务器,可以拿下较弱的服务器,搜集较弱服务器上的管理员敏感信息,然后有利于对主站进行渗透测试。
通过查询旁站我们知道主站服务器下存在的站点,有些主站安全性较高,那么我们便可以通过拿下主站服务器下的其他站点,通过提权得到主站服务器权限,从而拿下主站。
查询C段下存在的站点,将站点批量导入扫描器中进行CMS漏洞扫描,通过各种方法拿下C段下的一些服务器,然后就可以用Cain搞事情了。
防范:
对子域名、旁站下的站点进行维护,加强其安全程度,使用WAF等
5、目录扫描、CMS识别、端口扫描、爬虫
扫描网站目录,运气好可以直接下载站点数据库等配置文件、发现网站敏感目录、网站后台等。
在线指纹识别
http://whatweb.bugscaner.com/look/
通过指纹识别知道网站使用的CMS,通过网上公开的CMS漏洞就可以拿下该网站,CMS识别也是非常重要的。
通过端口扫描知道网站开启的服务,可以运用扫描器对这些端口进行爆破,有些站点也喜欢把不同的站搭建在不同的端口上,用Namp可以扫描出来,然后对不同端口的站进行渗透。
通过爬虫熟悉网站的结构,可以爬出后台等敏感目录,也可以利用文件任意下载漏洞和文件包含漏洞下载该网站的源码进行代码审计,从而拿下站点。
防范:
1、使用较安全的CMS,并定期对CMS进行更新。
2、敏感文件(网站备份文件、数据库备份文件等)尽量存放在本地,敏感目录设置权限访问。
3、关闭相应的可以利用的端口(如21、3389、3306端口等),如需要则在内网开启。
4、屏蔽访问网站频繁的IP(使用WAF即可),可有效防止被扫描目录、爬虫等。
6、谷歌Hack
通过搜索引擎往往能查找到我们需要的网站信息,如后台界面、敏感文件,目录遍历等,但是百度屏蔽了许多关键字,在必要时可以使用谷歌进行搜索,语法是一样的。
1. intext:后台管理
查询页面中含有后台管理的网站
2.intitle:管理登录
查找网站标题中存在管理登录的页面
3. filetype: pdf
查找网站中pdf格式的文件
4. inurl: php?id=
查找url中带有php?id=的网站
5.site:baidu.com
指定查找baidu.com网站的信息
6. filetype:pdf site:baidu.com
查找baidu.com网站内所有pdf格式的文件, filetype:pdf 可以替换成其他语法。
防范:
1、对敏感目录设置权限,敏感文件放置本地。
2、加强对网站的维护。