渗透测试--信息收集

**

**

【实验要求】

【实验内容】

查询域名对应ip

Ping

查询真实ip

IP资产

Whois

IP反查

主机件

判断操作系统

搜索引擎：

获取子域名信息

子域名挖掘

web网站防护信息

漏洞扫描：

Nessus

指纹识别

目录&后台扫描

Wfuzz

邮箱信息收集

Infogo

代码托管

github

历史漏洞&资产

社会工程学

集成软件

Maltego

【实验总结】

Web 网站信息收集

1. 公开信息收集
2. Ip 资产
3. 子域名–>二级域名
4. 中间件（组成）
5. 主机（操作系统、 banner ）
6. 源码
7. 目录文件
8. 邮件 / 电话/ 工号
9. Github/gitee 等程序网站
10. **域名对应的 ip **

Ping

使用windows系统自带的Ping命令可以解析得出域名的ip，具体结果如下：

#渗透测试–信息收集

这里所得的IP并不一定是主站ip，可能是cdn服务提供的ip，接下来我们需要查询真实的ip.

查询真实ip

如果挖掘的目标购买了CDN服务，可以直接ping目标的域名，但得到的并非真正的目标Web服务器，只是离我们最近的一台目标节点的CDN服务器，这就导致了我们没法直接得到目标的真实IP段范围。

判断目标是否存在** CDN**

CDN** 简介**

CDN的全称是Content Delivery Network，即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。

由于CDN需要代价，一般小企业很大几率不会存在CDN服务。

假如一些企业存在CDN服务，那该如何寻找其真实IP呢，往下看，常见几种手法

Ping目标主域

两次ping出的ip地址相同,说明可能这个网站不具有cdn。

Nslookup默认解析

解析出两个地址，说明可能存在cdn。

全国/国际Ping

利用全国多地区的ping服务器操作，然后对比每个地区ping出的IP结果，查看这些IP是否一致， 如果都是一样的，极有可能不存在CDN。如果IP大多不太一样或者规律性很强，可以尝试查询这些IP的归属地，判断是否存在CDN。

Ping检测-站长工具 http://ping.chinaz.com

上图也说明该网站不具有cdn服务，另一个ip被隐藏了，可能是个内网ip，所以基本可以认定不存在cdn服务，说明其ip真实。

Whois

站长之家 http://whois.chinaz.com/csdn.com

通过whois可以查到其注册信息，注册人电话、邮箱、DNS信息。

类似的查询网站还有：

IP反查

Dnslytics

地址：https://dnslytics.com/

这个网站可以获得大量有关于这个网站的基本信息，除了上图显示的以外还有数据库类型，whois信息，开放端口信息，以及该服务器上的其他域名（也就是旁站）。

我个人觉得旁站是个非常重要的信息，当我们无法从目标正面渗透时，我们可以通过旁站拿到服务器的权限，从而获得主站的权限。

天眼查 ：

判断操作系统

Ping

Ping成功，说明主机存活，TTL值为91，说明目标主机可能是个windows的操作系统

Ttl值为47，说明该服务器的操作系统可能使Linux内核的。

Nmap

指令：nmap -o ip

扫描的信息包括，端口号、端口服务信息、服务器操作系统等信息。

可以看到倒数第一项为操作系统的预测，其中也给出了操作系统。我们在得知操作系统类型后，就可以对症下药，利用其系统特有的漏洞进行渗透。除此之外，namp还给出了端口信息等，对于渗透也很有帮助。

Banner信息：

Banner信息，欢迎语，在banner信息中可以得到软件开发商，软件名称、版本、服务类型等信息，通过这些信息可以使用某些工具直接去使用相对应的exp去攻击。

前提条件：需要和目标建立链接，只有建立了链接，我们才能获取对应的banner信息

目标服务器上可以对banner进行隐藏或者禁止读取

nmap -p 80 -vv -sV --script=banner 121.17.49.12

上述命令如果修改script等号后面的内容为vulner可以实现对漏洞的检测。

由于不能使用google所以只能使用百度提供的hacking服务，但是依然能够搜索到有关华为内部出版的论文、对外通知等文件，可以通过此种手段获得大量信息。

百度hacking

Shodan

Shodan 是一个强大的网络搜索引擎，下面显示的是华为公司的两个子域的端口开放情况以及服务商等其他基本信息。由于后续还要用到 shodan 的 api 所以在这里就不做过多的介绍了。

与此类似的软件还有fofa、zoomeye等。

子域名挖掘

1. Layer 软件挖掘

产生的结果较少，并没有采用。

1. The Harvester 社会工程工具获取

The Harvester是一个社会工程学工具，它通过搜索引擎、PGP服务器以及SHODAN数据库收集用户的email，子域名，主机，雇员名，开放端口和banner信息。

除获取子域名ip外，还能获取邮箱地址。

recon-ng 侦查框架，获取，生成报告。

生成报告：

通过以上方法，我们就有所有子域名的ip，有了ip以后我们对每个子域进行解析。

1. Oneforall

挖出来的信息很全，有ip、端口、地址、c段、存活信息等信息，这种强大的集成软件基本上能完成信息收集大部分的内容。

WAFwoof

_ WAFw00f _ 是 Python 脚本，用于检测网络服务器是否处于网络应用的防火墙（ WAF ， Web application firewall ）保护状态。不仅可以发展测试战略，而且能够开发绕过应用网络防火墙的高级技术。

WAFwoof 的工作原理

WAFw00f其工作原理是首先通过发送一个正常的http请求，然后观察其返回有没有一些特征字符，若没有再通过发送一个恶意的请求触发WAF拦截来获取其返回的特征来判断所使用的WAF。

Nessus

Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。

以上是对子域ip漏洞的扫描，根据等级可以判断服务器可能存在漏洞，以及漏洞信息。图中45.249.212.104中存在高危漏洞，我们就可以利用此漏洞拿到权限。

在漏洞挖掘中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。

还能够查到一些漏洞

以上的漏洞消息，也为后续的渗透提供了信息，我们可以利用此信息完成渗透，从而拿到服务器的控制权。

Wfuzz

Wfuzz是一款为了评估WEB应用而生的Fuzz（Fuzz是爆破的一种手段）工具，它基于一个简单的理念，即用给定的Payload去fuzz。它允许在HTTP请求里注入任何输入的值，针对不同的WEB应用组件进行多种复杂的爆破攻击。比如：参数、认证、表单、目录/文件、头部等等，这款工具在kali里面自带。

Infogo

命令： python3 infoga.py --source baidu --domain huawei.com -v 3

显然我这里就搜到了一个邮箱，但是后续就搜不到东西了，而且这个邮箱地址并搜不到什么东西。

Nslookup

下面是对华为DNS服务器的查询

下面是对huawei.com的邮件查询记录：

通过代码托管平台搜索敏感信息（内部邮箱账号密码、数据库账号密码等）

github

GitHub是一个面向开源及私有软件项目的托管平台。

平台地址：https://github.com/

GitHub敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区，安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中，github也是黑、白帽子、安全工程师的必争之地。

以及国内的镜像gitee也有很多信息。

下图中第一个项目中就有华为所有的子域名以及ip，当然这只是冰山一角，相信仔细搜索说不定可以获得内部员工的账号以及其他重要信息。

很多时候去查看目标的历史漏洞和资产信息，往往能够得到很多有价值的信息。

通过网上收集资料大致摸索出了这么一个网站，能够获取账号和密码。 登录后跳转

并将账号保存。

上述过程只是提供一个思路，我认为真正的社会工程学是要论人、论事，是用于特定的一个场景，并且不会让人引起怀疑。

集成软件 ：

Maltego

除上述在查询ip子域名的oneforall，下面这个可视化集成软件能完成大部分收集任务，是kali中自带的社会工程信息收集工具。能够自动完成拓扑并对信息进行整合，当然，该软件的注册需要一点小手段。

可以获得许多子域名ip、Dns服务器、位置、部分人员、电话号码、邮箱等信息，并可以将其生成报告输出。同时也可以导入数据成为一个信息整合的工具。还可以与搜索引擎配合成为输出更多信息，包括服务器脆弱性分析，防火墙类型、服务类型。还可以从网上搜索到相关的新闻。但是其信息也不是特别准确，一些信息早已过期，不能使用，但可以了解到一些基本架构。

下面是其生成报告中的一些重要的内容：

上图是拓扑图一下重要的节点，像这些节点就需要重点关注，一般这种节点对于整个机构整体的运作有重要的作用，而且获得这些信息后，又可以就行进一步的渗透工作。

缺点：有部分信息过期，可信度并不高。

此次收集内容很多很杂，我认为其中除实验部分说到的内容以外，我觉得主站中旁站也是我们需要关注的点，因为当我们无法从正面突破时，在考虑子域之前，旁站应该是我们最需要主要的点，因为拿到旁站就等于拿到服务器的控制权，有服务器的控制权，拿下主站就变得轻而易举。

信息收集（上）–旅行记

https://www.freebuf.com/articles/neopoints/225946.html

信息收集（下）–旅行记

https://www.freebuf.com/articles/neopoints/225981.html

社会工程学–钓鱼网站制作

https://blog.csdn.net/qq_39592869/article/details/105086648?utm_medium=distribute.pc_relevant.none-task-blog-baidujs_title-1&spm=1001.2101.3001.4242

nessus安装及使用

https://blog.csdn.net/nex1less/article/details/88407590

maltego详细使用