被动信息收集
基本的测试流程介绍
==
- 准备相应的⼯具和材料 cs 免杀⻢ frp nps proxifi. 服务器。
goby xray
。one for all Behinder
加密算法。 - nginx ,域前置。上线提醒
- 做第⼀次信息收集 //快速打点
shuize
,Eeyes
,Ehole
- 做漏洞扫描或攻击⾯测试
- 针对突出的攻击⾯做具体的渗透。 //详细的信息收集
- 进⼊环境之后的第⼆次信息收集
- 提升权限
- 维持权限
- 寻找扩⼤攻击⾯的渠道
- 清理攻击痕迹
- 编写报告
信息收集在整个流程中的定位
渗透的本质是信息收集,攻防的体系是知识点的串联。
内⽹ | 外⽹ 资产
每⼀步的攻击流程⽬的都是⾮常重要的。
如果最终达到的⽬的不需要某⼏步流程,那么就完全不⽤去做。
信息收集在整个渗透测试流程中是⾮常重要的步骤,是决定攻击是否成功的决定点。
信息收集决定之后的攻击⾯或漏洞扫描的范围,也决定整个攻击过程中对⾃⼰和⽬标的定位。
信息收集的基本要求:
- 全⾯:
做到对⽬标所有的业务⾯和⾮业务⾯的存在点进⾏全⾯的信息收集。 - 准确: 注意
对于收集到的信息尤其是重要信息要再三确认其信息的准确性,对信息的内容中所涉及的技术点要⼿动查看。 - 时效:
对于收集到的信息要注意信息产⽣的时间和收集到的时间,是否具有时间差,时间差能否接受,如果存在失效
的信息要及时清除。 - 隐匿:
降低被发现度,提⾼隐蔽性。
细⼼,耐⼼,这两点⾮常⾮常重要。
分类:
- 主动信息收集
- 被动信息收集
被动信息收集
- 公开渠道可获得的信息
- 与目标系统不产生直接交互
- 尽量避免留下一切痕迹
- OSINT
信息收集内容
- ip地址段
- 域名信息
- 邮件地址
- 文档图片数据
- 公司地址
- 公司组织架构
- 联系电话/传真号码
- 人员姓名/职务
- 目标系统使用的技术架构
- 公开的商业信息
信息用途
- 用信息描述目标
- 发现系统
- 社会工程学攻击
- 物理缺口
被动信息收集的特点和应⽤场景
被动信息收集的优缺点:
- 优点:
- 隐蔽性⾼,不容易被发现
- 收集的信息量和覆盖⾯⽐较⼤
- 缺点:
- 收集到的信息中时效性和准确性不⾼
- ⽆法收集到敏感或者未公开的信息
被动信息收集在实战中⾮常常⽤,尤其是在⽹络安全的攻防对抗中,我们通常⻅到的各种渗透流程也会经常使⽤被动信息收集,⽐如通过被动信息收集获得⽬标的基本要素,然后根据信息要素判断⽬标特点并分析弱点,最后根据弱点针对性地做下⼀步的攻击活动。
信息收集的介绍
渗透测试,是渗透测试⼯程师完全模拟⿊客可能使⽤的攻击技术和漏洞发现技术,对⽬标⽹络、主机、应⽤的安全作深⼊的探测,帮助企业挖掘出正常业务流程中的安全缺陷和漏洞,助⼒企业先于⿊客发现安全⻛险,防患于未然。进⾏web渗透测试之前,最重要的⼀步那就是就是信息收集了,俗话说“渗透的本质也就是信息收集”,信息收集的深度,直接关系到渗透测试的成败。打好信息收集这⼀基础可以让测试者选择合适和准确的渗透测试攻击⽅式,缩短渗透测试的时间,⼀般来说收集的信息越多越好,通常包括以下⼏个部分:
- checklist
- 域名信息收集
- ⼦域名信息收集
- 站点信息收集
- 敏感信息收集
- 应⽤信息收集
- 端⼝信息收集
- 真实IP地址识别 cdn
域名信息收集
渗透过程当中,信息收集需要⼀个⼊⼿点,以此为点再由点到⾯。
- 通过百度直接搜索⽬标关键字
- 通过fofa中title关键字
- 通过企查查
- 微信公众号
- app商城
- ⼩程序
⼦域名信息收集
- fofa
- https://scan.javasec.cn (虽然是爆破,但是是第三⽅)
- site:beijing.gov.cn 通过⾕歌语法
domain="beijing.gov.cn"
host="beijing.gov.cn"
两者的区别:host更推荐使⽤,路径包含
4. Eeyes 棱眼(c段)
5. quake 360
6. 鹰图
domain="beijing.gov.cn"
domain="beijing.gov.cn"
- fofa_viewer
- Kunyu
- InfoSearchAll
- ⼩蓝本
- 零零信安
站点信息 (通常⽤做资产证明)
- http://whois.chinaz.com/ Whois站⻓之家查询
- https://whois.aliyun.com/ 阿⾥云中国万⽹查询
- http://whois.domaintools.com/ Whois Lookup 查找⽬标⽹站所有者
- https://whois.aizhan.com/ 站⻓⼯具爱站查询
- 爱企查 企查查
敏感信息收集
- robots.txt
- google语法
intext 指定⽹⻚中是否存在某些关键字 例如:intext:⽹站管理
inurl 指定URL中是否存在某些关键字 例如:inurl:.php?id=
filetype 指定搜索⽂件类型 例如:filetype:txt
intitle 指定⽹⻚标题是否存在某些关键字 例如:intitle:后台管理
link 指定⽹⻚链接 例如:link:baidu.com 指定与百度做了外链的站点
info 指定搜索⽹⻚信息 info:baidu.com 百度接⼝:https://www.baidu.com/s?wd=1&pn=00&tn=js
on intitle:"index of"
结合使⽤例⼦:wordpress下的alfa插件的敏感信息泄露查询
应⽤信息收集
CMS(内容管理系统)⼜称为整站系统或⽂章系统,⽤于⽹站内容管理。⽤户只需要下载对应的CMS软件包,就能部署搭建,并直接利⽤CMS。但是各种CMS都具有其独特的结构命名规则和特定的⽂件内容,因此可以利⽤这些内容来获取CMS站点的具体软件CMS与版本。在渗透测试中,对进⾏指纹识别是相当有必要的,识别出相应的CMS,才能查找与其相关的漏洞,然后才能进⾏相应的渗透操作。常⻅的CMS有泛微、通达、⽤友、致远等重点
- wappalyzer
https://github.com/fofapro/fofa_view/releases/tag/v0.0.5
- 在线指纹
BugScaner:
http://whatweb.bugscaner.com/look/
潮汐指纹:
http://finger.tidesec.net/
云悉:
http://www.yunsee.cn/info.html
4.棱洞
端⼝信息收集
- fofa
- 鹰图
CDN
CDN检测
- 站⻓之家直接ping
https://ping.chinaz.com/
多地ping的结果不⼀致就是存在 - nslookup
nslookup的地址为多个就是存在
CDN绕过
-
⼦域名在线。
http://z.zcjun.com/
通过⼦域名获取真实ip,⼦域名与主站点为同⼀个ip服务器,但是主域有cdn服务,2.c。 -
国外ping
https://check-host.net/check-ping
https://tcp.ping.pe/ -
DNS历史解析
https://viewdns.info/iphistory/?domain= -
通过ico图标哈希
原理:图⽚有⼀串唯⼀的哈希,⽹络空间搜索引擎会收录全⽹ip信息进⾏排序收录,那么这些图标信息,也⾃然会
采集在测绘解析的⽬标中。
https://istudio.igskapp.com/favicon.ico -
邮件
-
通过⽹站证书
将序列化:替换为空转化为10进制,然后cert="⼗进制"
https://tool.lu/hexconvert/ -
ssl证书
https://search.censys.io/certificates?q= -
app端、⼩程序
通过抓包⼯具来抓取APP的请求包,寻找真实IP。 -
⽹站中的信息泄露
⽐如js的内容,ajax的内容
验证IP真实
直接通过IP访问⽬标
直接访问有时候也不⾏,如果对⽅设置了禁⽌ip访问。
DNS
介绍
域名解析成ip地址
- 域名与FQDN的区别
- 域名: baidu.com
- FQDN:smtp.baidu.com www.baidu.com
- 域名记录:A 、C name (别名记录)、NS 、MX 、ptr(ip到域名 反向解析域名)
名词解释
- 域名:`www.google.com`
- 客户端配置的本地名称服务器:`dns.google.com`
- 域名根目录名称服务器`a.rootserver.net`
- 主要角色
- DNS 客户 -> `DNS 客户`
- 本地名称服务器 -> `Local DNS`
- 根名称服务器 ->`.`
- 一级(顶级)名称服务器 -> `com`
- 二级名称服务器 -> `google.com`
- 权威名称服务器 -> `www.google.com`
- 抓包分析迭代查询和递归查询
nslookup
基操
A记录
nslookup www.baidu.com
cnmae记录
nslookup www.a.shifen.com
- 指定类型查询
set type=
set type=cname
域名服务器
域名服务器的地址 set type=ns
任何记录 set type=any
- 指定dns服务器
server 8.8.8.8
#53 谷歌DNS域名服务器
补充 : spf记录 https://www.renfei.org/blog/introduction-to-spf.html
nslookup -q=any sheep0818.xyz 8.8.8.8
DIG
dig sheep0818.xyz ant @8.8.8.8
-
输出结果筛选
dig +noall +answer mail.163.com any | awk '{print $5}'
-
反向查询( ptr记录 )
dig -x 220.181.14.157
-
bind版本信息
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
查询dns版本信息
如果存在漏洞
然后脱dns的记录
- DNS追踪(先向本地dns服务器查根域地址,然后由本机进行迭代查询)
A 记录 ipv4
AAAA 记录 ipv6
抓包分析网络信息去学习!
dig +trace www.baidu.com
- DNS区域传输
dns: udp 53端口
区域传输:tcp 53
dig @ns1.example.com example.com axfr
host -T -l sina.com 8.8.8.8
DNS字典爆破
fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlist a.txt
dnsdict6 -d4 -t 16 -x sina.com
dnsenum -f dnsbig.txt -dnserver 8.8.8.8 sina.com -o sina.xml
DNS注册信息
whois
whois -h whois.apnic.net 192.0.43.10
参考
https://github.com/Threekiii/Awesome-POC/tree/master