论坛 › 技巧探讨 › 和nanako一起学习网页渗透 - Information Gathering

nanako 发表于 2020-8-15 14:17:51

和nanako一起学习网页渗透 - Information Gathering

# Web hacking - Information Gathering

>本文章由网络安全研究者nanako原创，仅在(https://www.0xaa55.com/)公开发布，转载请标明原出处。本系列文章仅用于技术知识普及，请读者在学习和实践时严格按照[《中华人民共和国网络安全法》](http://gkhy.jiujiang.gov.cn/zwgk_228/jc/zcwj/202006/t20200618_4040476.html)所规定的项目合理行使权力，坚决履行义务。请勿将技术用于违法行业，请勿在未授权的情况下在规定以外的网络环境滥用技术。由于内容特殊性，目前仅对初·技术宅及以上用户开发阅读。



## 信息收集是什么

​        **信息收集**（Information Gathering）是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步，也是关键的一步。

​        在渗透测试过程中信息搜集也称**踩点**，目标是尽可能的搜集目标的信息，包括端口信息、DNS信息、CMS信息、员工邮箱、等等看似并不起眼的信息元素，通过不断地组合这些信息元素勾画出被收集者轮廓。这些看似微乎其微的信息，对于渗透测试起着先决性的作用。

## 信息收集的分类

信息收集的方式可以分为两种：**主动**和**被动**。

- 主动信息收集：与目标主机进行直接交互，从而拿到我们的目标信息。可以获取到的信息比较多，但是会被记录自己的操作信息，容易被发现。通过直接访问，扫描网站，这种流量将流经网站。
- 被动信息收集：不与目标主机进行直接交互，通过搜索引擎或者社工等方式间接的获取目标主机的信息。可以获取到的信息比较少，但是不容易被发现。如：Google搜索等。

这两种方式都没有完美的，都有优点也有缺点。一般在一个渗透测试项目过程中，我们需要进行很多次的信息收集，同时也要运用不同的收集方式，才能保证信息收集的完整性。

## 信息收集的分类

### whois

>whois（是用来查询[域名](https://baike.baidu.com/item/域名/86062)的IP以及[所有者](https://baike.baidu.com/item/所有者/2193463)等信息的[传输协议](https://baike.baidu.com/item/传输协议/8048821)。简单说，whois就是一个用来查询[域名](https://baike.baidu.com/item/域名/86062)是否已经被注册，以及注册域名的详细信息的数据库。

1. 主要用于得到**域名注册**信息：

- 所有者、所有者联系邮箱、联系电话
- 域名注册时间、域名到期时间、域名状态
- DNS服务器等

2. 以上的whois信息经过获取后可以对其进行邮箱反查域名、爆破邮箱、域名劫持、寻找旁站、**社会工程学-密码研究**等。

> 在此强烈推荐MOon的文章：《[一点社工密码经验](https://blog.csdn.net/nzjdsds/article/details/87979857)》，通过此文章可以对社工密码学有一定认识。

### 子域名

- 子域名收集可以发现更多渗透测试范围内的域名/子域名，以增加漏洞发现机率；探测到更多隐藏或遗忘的应用服务，这些应用往往可导致一些严重漏洞。子域名收集是为一个或多个域查找子域的过程，他是收集阶段的重要组成部分。
1. 子域名探测可以帮助我们发现渗透测试中更多的服务，他们在安全评估范围内，从而也就增加了发现漏洞的机会。
2. 查找一些用户上较少，被人遗忘的子域名，其上运行的应用程序可能会使我们发现关键漏洞。
3. 通常，同一组织的不同域名/应用程序中存在相同的漏洞。
- 重要性：子域名是某个主域的二级域名或者多级域名，在防御措施严密的情况下无法直接拿下主域，那么就可以采用迂回战术拿下子域，然后无限靠近主域。

### 端口探测

- 一个IP可能搭建了多个网站，分布在不同的端口。一些常见的端口的标识出服务器开启了什么样的功能，常见的135、137、138 、139 、445，这几个端口经常爆发漏洞。
        22————>ssh弱口令
        873————>rsync 未授权访问漏洞
        3306————>mysql弱口令
        6379————>redis未授权访问漏洞



### 目录扫描

- 其他站点由于发布网站时，服务器配置问题，导致目录浏览器能打开，从而引起信息泄露，造成安全隐患。在信息收集过程中，需要收集的敏感目录/文件包括：

- 后台目录:弱口令，万能密码，爆破
- 安装包：获取数据库信息，甚至是网站源码
- 上传目录：截断、上传木马等
- mysql管理接口：弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell
- 安装页面 ：可以二次安装进而绕过
- phpinfo：会把你配置的各种信息暴露出来
- 网站文本编辑器：fck、ke等
- IIS短文件利用：条件比较苛刻 windows、apache等
- 测试文件
- 网站备份文件

---

**Tips:**君子协定：robots.txt文件。

robots.txt 文件是专门针对搜索引擎机器人robot 编写的一个纯文本文件。我们可以在这个文件中指定网站中不想被robot访问的目录。这样，我们网站的部分或全部内容就可以不被搜索引擎收录了，或者让搜索引擎只收录指定的内容。因此我们可以利用robots.txt让Google的机器人访问不了我们网站上的重要文件，GoogleHack的威胁也就不存在了。
假如robots.txt文件内容如下：
···
User-agent：*
Disallow: /data/
Disallow: /db/
Disallow: /admin/
Disallow: /manager/
···

其中“Disallow”参数后面的是禁止robot收录部分的路径，例如我们要让robot禁止收录网站目录下的“data”文件夹，只需要在Disallow参数后面加上 /data/ 即可。如果想增加其他目录，只需按此格式继续添加。文件编写完成后将其上传到网站的根目录，就可以让网站远离Google Hack了。

PS:虽然robots文件目的是让搜索蜘蛛不想爬取想要保护的页面，但是如果我们知道了robots文件的内容的话，我们就可以知道目标网站那些文件夹不让访问，从侧面来说这些文件夹就是非常重要的了。

---

### 指纹识别

- 识别CMS，寻找通杀漏洞。在渗透测试中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。CMS又称整站系统。常见的CMS有：WordPress、Dedecms、Discuz、PhpWeb、PhpWind、Dvbbs、PhpCMS、ECShop、SiteWeaver、AspCMS、帝国、Z-Blog等。

### 旁站查询

- 旁站即同IP站点，一定和目标站点在同一个内网或者是同一台服务器。
- 旁站信息：旁站是和目标网站在同一台服务器上的其它的网站，主站无法获取权限的情况下，旁站便可以作为攻击入口，然后再想办法跨到真正目标的站点目录中。

### C段查询

- C段是和目标机器IP处在同一个C段的其他机器；通过目标所在C段的其他任一台机器，想办法跨到我们的目标机器上。对于红蓝对抗和护网，C段扫描比较有意义。但是对于单独网站的渗透测试，C段扫描意义则不大。每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务器。
- C段可能是同一个内网，同一个公司的服务器。
- **C段探测属于极高危险内容，无论是否经过授权都请不要轻易使用。**

### 内容敏感信息泄露

- 利用Google语法得到其他信息，如：

搜索文件

```site：target filetype:doc/filetype:docx```

寻找参数传参

```site: target.com inurl:.php?id=```

寻找登录点：

```site: target.com inurl:login.php```

寻找目录：

```site: target.com intext: "index of /"```

寻找重要的东西：

```site: target.com filetype:txt```

### 其他

- 如网站架构、Github信息泄露

---

## 怎么去收集

> **已删除。应坛主意见暂不予以公开，如果各位对于本章及网页渗透知识有一定兴趣，或者并且希望能深入了解，可以在本篇文章下评分或发表意见。**

>**Tips**: 本文章只提供给各位读者思路，希望各位站长通过以上的通用渗透方式加强自身网站建设，关注网络上公开的漏洞动向。同时希望各位在进行渗透时一定要获得相关授权，切忌私自攻击他人网站。

---

本文章由网络安全研究者nanako原创，仅在(https://www.0xaa55.com/)公开发布，转载请标明原出处。本系列文章仅用于技术知识普及，请读者在学习和实践时严格按照[《中华人民共和国网络安全法》](http://gkhy.jiujiang.gov.cn/zwgk_228/jc/zcwj/202006/t20200618_4040476.html)所规定的项目合理行使权力，坚决履行义务。请勿将技术用于违法行业，请勿在未授权的情况下在规定以外的网络环境滥用技术。由于内容特殊性，目前仅对初·技术宅及以上用户开发阅读。

Misakei 发表于 2020-10-8 21:37:11

这次应该是找到我想要的了,一直以来就想找一种完全代替搜索引擎的办法,搜索引擎局限太大了,总是找不到我想要的东西,希望大佬能给小白指下路.

nanako 发表于 2020-10-29 15:24:10

Misakei2020 发表于 2020-10-8 21:37
这次应该是找到我想要的了,一直以来就想找一种完全代替搜索引擎的办法,搜索引擎局限太大了,总是找不到我想 ...

主要是看你想要检索什么样的网络资源。代替通用搜索引擎的方式有很多，比如说垂直搜索引擎、元搜索引擎、目录型检索工具和网络空间探测工具等。通用搜索引擎在谷歌语法的加持下也能变得非常易用，可以深入了解一下。网络空间搜索引擎的话推荐FOFA。

Misakei 发表于 2020-12-6 23:27:49

nanako 发表于 2020-10-29 15:24
主要是看你想要检索什么样的网络资源。代替通用搜索引擎的方式有很多，比如说垂直搜索引擎、元搜索引擎、 ...

谢谢大佬,我去了解一下.

查看完整版本: 和nanako一起学习网页渗透 - Information Gathering