文章 - 我眼中的渗透测试信息搜集

本文原创作者：icq6a70641f
原文地址：http://bbs.ichunqiu.com/thread-16020-1-1.html

0X00前言

渗透测试按照PETS执行标准(http://www.doc88.com/p-7784047461299.html)来说，分为7个阶段，信息搜集阶段占很大的比重，本篇结合自己的一些实例来展开渗透测试中的信息搜集阶段。

0X01我们都关注什么

Whois,真实ip,子域，端口，服务，关联度高的目标，备案，企业资料，历史漏洞，员工邮箱

whois和子域，备案

http://www.freebuf.com/articles/system/58096.html http://www.dmzlab.com/77396.html
关于kali下的信息搜集，其实这类文章都很齐全了，上面链接可以参考，主要涉及到whois,dnsenum,dig,host,dnsdict6,fierce,dmitry,maltego,theharvester,foca

[关于kali下使用信息搜集系列工具，需要调用google,所以kali连上代理,笔者采用的是自己的美国vps,搭的一个基于pptp协议的转发，虚拟机nat连接，都是可行的方案]

子域搜集篇参考（http://www.freebuf.com/articles/web/117006.html)
主要涉及google hacking语法采集，暴力猜解，基于https证书，DNS，遇到域传送就更好了，crossdomain.xml文件
需要补充的一几点（ICP备案和app里的子域和威胁情报平台子域及第三方子域）

http://www.beianbeian.com/search-1/%E4%BA%ACICP%E8%AF%81030173%E5%8F%B7查备案

App里的那些二级或者多级子域

威胁情报平台里的那些子域

威胁感知里的那些子域

第三方

端口和服务

nmap -sT -P0 -sV -O --script=banner -p T:21-25,80-89,110,143,443,513,873,1080,1433,1521,1158,3306-3308,3389,3690,5900,6379,7001,8000-8090,9000,9418,27017-27019,50060,111,11211,2049 只扫一些常见端口，极大增强效率
nmap检测web漏洞

cd /usr/share/nmap/scripts/

wget http://www.computec.ch/projekte/ ... _vulscan-2.0.tar.gz && tar xzf nmap_nse_vulscan-2.0.tar.gz

nmap -sS -sV --script=vulscan/vulscan.nse target

nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv target

nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv -p80 target

nmap -PN -sS -sV --script=vulscan –script-args vulscancorrelation=1 -p80 target

nmap -sV --script=vuln target

nmap -PN -sS -sV --script=all –script-args vulscancorrelation=1 target

根据端口服务来方便下一个阶段的攻击

github和svn

http://www.freebuf.com/sectool/107996.htmlgithub技巧
http://www.2cto.com/article/201407/318742.htmlgithub使用技巧http://www.myhack58.com/Article/html/3/7/2015/69241.htmBBscan敏感信息及文件扫描

真实ip

绕过CDN查看网站真实IP的一些办法 (参考lovesec公众号的）

1、验证是否存在CDN最简单的办法
通过在线的多地ping，通过每个地区ping的结果得到IP
看这些IP是否一致，如果都是一样的，极大可能不存在cdn，但不绝对
如果这些IP大多都不太一样或者规律性很强，可以尝试查询这些IP的归属地，判断是否存在CDN

0、验证IP和域名是否真实对应最简单的办法 修改本地hosts文件，强行将域名与IP解析对应
然后访问域名查看页面是否变化

1、ping
假设如下存在cdn
? ~ ping www.sysorem.xyz
PING 539b1c6d114eec86.360safedns.com (221.204.14.177): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
可以尝试? ~ ping sysorem.xyz
很多厂商可能让www使用cdn，空域名不使用CDN缓存。
所以直接ping sysorem.xyz可能就能得到真实IP

2、分站域名
很多网站主站的访问量会比较大。所以往往主站都是挂了CDN的
但是分站就不一定了，毕竟CDN要钱，而且也不便宜
所以可能一些分站就没有挂CDN，所以有时候可以尝试通过查看分站IP
可能是同个IP或者同个站都是没准的。Zoomeye.org, shodan.io ,fofa.so，微步在线，是我们不错的选择，使用api效果更佳

3、国外访问
国内的CDN往往只会针对国内用户访问加速
所以国外就不一定了。因此通过国外代理访问就能查看真实IP了
或者通过国外的DNS解析，可能就能得到真实的IP

4、MX 及邮件
mx记录查询，一般会是c段。
一些网提供注册服务，可能会验证邮件，
还有RSS订阅邮件、忘记密码等等
可能服务器本身自带sendmail可以直接发送邮件，当然使用第三方的除外（如网易、腾讯的等）
通过邮件发送地址往往也能得到服务器IP
当然这个IP也要验证是否为主站的
Web版的邮件管理，可以通过常看网页源代码看到IP

5、xss
同4、是让服务器主动连接我们的一种方式

6、找彩蛋phpinfo();之类的探针
你懂的，不解释

7、DOS
DDOS耗尽CDN流量、那么就会回源，这样就能得到真实IP
不设防的cdn 量大就会挂，高防cdn 要增大流量。

8、社会工程学
比如勾搭卖这CDN的客服妹子，他们可能有权限
或者查看域名注册方的一些信息如电话啊、邮件地址啊、姓名啊，
有时候会有些人注册一堆域名可以尝试从这些突破

9、查看历史
查看IP与域名绑定的历史记录，说不定就能找到使用CDN前的记录
http://www.17ce.com
http://toolbar.netcraft.com/site_report?url=

10、DNS社工库
这个同9，传闻有些人去买dns解析记录

11、cloudflare
http://www.freebuf.com/articles/web/41533.html

12.全网扫描
Zmap号称44分钟扫完全网。。

企业资料