本文原创作者:icq6a70641f
原文地址:http://bbs.ichunqiu.com/thread-16020-1-1.html

0X00前言

渗透测试按照PETS执行标准(http://www.doc88.com/p-7784047461299.html)来说,分为7个阶段,信息搜集阶段占很大的比重,本篇结合自己的一些实例来展开渗透测试中的信息搜集阶段。

0X01我们都关注什么

Whois,真实ip,子域,端口,服务,关联度高的目标,备案,企业资料,历史漏洞,员工邮箱

whois和子域,备案

http://www.freebuf.com/articles/system/58096.htmlhttp://www.dmzlab.com/77396.html
关于kali下的信息搜集,其实这类文章都很齐全了,上面链接可以参考,主要涉及到whois,dnsenum,dig,host,dnsdict6,fierce,dmitry,maltego,theharvester,foca

[关于kali下使用信息搜集系列工具,需要调用google,所以kali连上vpn,笔者采用的是自己的美国vps,搭的一个基于pptp协议的vpn,当然你也可以用物理机翻墙,虚拟机nat连接,都是可行的方案]

子域搜集篇参考(http://www.freebuf.com/articles/web/117006.html)
主要涉及google hacking语法采集,暴力猜解,基于https证书,DNS,遇到域传送就更好了,crossdomain.xml文件
需要补充的一几点(ICP备案和app里的子域和威胁情报平台子域及第三方子域)

http://www.beianbeian.com/search-1/%E4%BA%ACICP%E8%AF%81030173%E5%8F%B7查备案

App里的那些二级或者多级子域


威胁情报平台里的那些子域

威胁感知里的那些子域


第三方

端口和服务

nmap -sT -P0 -sV -O --script=banner -p T:21-25,80-89,110,143,443,513,873,1080,1433,1521,1158,3306-3308,3389,3690,5900,6379,7001,8000-8090,9000,9418,27017-27019,50060,111,11211,2049 只扫一些常见端口,极大增强效率
nmap检测web漏洞

cd /usr/share/nmap/scripts/

wget http://www.computec.ch/projekte/ ... _vulscan-2.0.tar.gz && tar xzf nmap_nse_vulscan-2.0.tar.gz

nmap -sS -sV --script=vulscan/vulscan.nse target

nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv target

nmap -sS -sV --script=vulscan/vulscan.nse –script-args vulscandb=scipvuldb.csv -p80 target

nmap -PN -sS -sV --script=vulscan –script-args vulscancorrelation=1 -p80 target

nmap -sV --script=vuln target

nmap -PN -sS -sV --script=all –script-args vulscancorrelation=1 target

根据端口服务来方便下一个阶段的攻击

github和svn

http://www.freebuf.com/sectool/107996.htmlgithub技巧
http://www.2cto.com/article/201407/318742.htmlgithub使用技巧http://www.myhack58.com/Article/html/3/7/2015/69241.htmBBscan敏感信息及文件扫描

真实ip

绕过CDN查看网站真实IP的一些办法 (参考lovesec公众号的)

1、验证是否存在CDN最简单的办法
通过在线的多地ping,通过每个地区ping的结果得到IP
看这些IP是否一致,如果都是一样的,极大可能不存在cdn,但不绝对
如果这些IP大多都不太一样或者规律性很强,可以尝试查询这些IP的归属地,判断是否存在CDN

0、验证IP和域名是否真实对应最简单的办法 修改本地hosts文件,强行将域名与IP解析对应
然后访问域名查看页面是否变化

1、ping
假设如下存在cdn
? ~ ping www.sysorem.xyz
PING 539b1c6d114eec86.360safedns.com (221.204.14.177): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
可以尝试? ~ ping sysorem.xyz
很多厂商可能让www使用cdn,空域名不使用CDN缓存。
所以直接ping sysorem.xyz可能就能得到真实IP

2、分站域名
很多网站主站的访问量会比较大。所以往往主站都是挂了CDN的
但是分站就不一定了,毕竟CDN要钱,而且也不便宜
所以可能一些分站就没有挂CDN,所以有时候可以尝试通过查看分站IP
可能是同个IP或者同个站都是没准的。Zoomeye.org, shodan.io ,fofa.so,微步在线,是我们不错的选择,使用api效果更佳

3、国外访问
国内的CDN往往只会针对国内用户访问加速
所以国外就不一定了。因此通过国外代理访问就能查看真实IP了
或者通过国外的DNS解析,可能就能得到真实的IP

4、MX 及 邮件
mx记录查询,一般会是c段。
一些网提供注册服务,可能会验证邮件,
还有RSS订阅邮件、忘记密码等等
可能服务器本身自带sendmail可以直接发送邮件,当然使用第三方的除外(如网易、腾讯的等)
通过邮件发送地址往往也能得到服务器IP
当然这个IP也要验证是否为主站的
Web版的邮件管理,可以通过常看网页源代码看到IP

5、xss
同4、是让服务器主动连接我们的一种方式

6、找彩蛋phpinfo();之类的探针
你懂的,不解释

7、DOS
DDOS耗尽CDN流量、那么就会回源,这样就能得到真实IP
不设防的cdn 量大就会挂,高防cdn 要增大流量。

8、社会工程学
比如勾搭卖这CDN的客服妹子,他们可能有权限
或者查看域名注册方的一些信息如电话啊、邮件地址啊、姓名啊,
有时候会有些人注册一堆域名可以尝试从这些突破

9、查看历史
查看IP与域名绑定的历史记录,说不定就能找到使用CDN前的记录
http://www.17ce.com
http://toolbar.netcraft.com/site_report?url=

10、DNS社工库
这个同9,传闻有些人去买dns解析记录

11、cloudflare
http://www.freebuf.com/articles/web/41533.html

12.全网扫描
Zmap号称44分钟扫完全网。。

企业资料

详细的企业信息查询

历史漏洞

查询历史漏洞,我们就要借助乌云和补天了,nosec.org有一个乌云9W版本的,其他的乌云历史漏洞查询在cmcc.ml

Nosec.org你需要基础版才能体验哦,不过你可以提交威胁情报去获取金币兑换基础版的使用时间。

以前没改标题前,效果很好的,后来改标题了,大家懂的

社工库

S.70sec.org

Findmima.com

总结

总之以上是笔者在信息搜集阶段主要使用到的一些方法和技巧,有更多的技巧欢迎您的精彩回复哦。

0X02参考

http://www.freebuf.com/articles/system/58096.html
http://www.dmzlab.com/77396.html
http://www.freebuf.com/articles/web/117006.html
http://www.beianbeian.com
http://www.bangcle.com

http://haosec.cn

https://x.threatbook.cn/

http://www.zoomeye.org

http://www.shodan.io

http://www.fofa.so

http://www.haosec.cn

http://www.17ce.com
http://toolbar.netcraft.com/site_report?url=

http://www.17ce.com
http://www.tianyancha.com
http://nosec.org

http://cmcc.ml

点击收藏 | 5 关注 | 1
登录 后跟帖