渗透测试之——信息收集思路

news2024/12/23 12:48:30

请遵守网络安全法

渗透测试时要和客户定好时间再使用扫描器。

渗透测试切记不要渗透客户所给域名的同级域名,可以渗透所给域名的子域名。信息收集永远是渗透测试的第一步。

1. 测试目标

xiusafe.com

2. 域名与ip

渗透测试中IP比域名更适合做渗透;

通过域名获取IP(通过站长之家获取ip);

使用站长之家通过域名找IP时,回显很多IP,就证明有CDN。

nslookup www.xiusafe.com

ping www.xiusafe.com

3. osint

    OSINT即开源情报收集,是指从媒体、网络、官方渠道等平台,整理一些公开的数据资料,形成系统性情报信息的过程。
    它分为主动和被动两种采集方式,被动采集即利用第三方平台进行收集信息,如shodan、fofa、censys等,优点在于查询成本低、行为比较隐蔽;而主动扫描需要与目标进行交互,存在一定的风险,但可以获取到更新、更多样化的数据。

4. CDN

4.1 作用

  1. 提高用户访问速率,优化用户使用体验。

  2. 隐藏真实服务器的IP。

  3. 防御功能,访问请求会先经过CDN节点的过滤,该过滤可对SQL注入、XSS、Vebshell上传、命令注入、恶意归描等攻击行为进行有效检测和拦截。CDN节点将认为无害的数据提交给真实的主机服务器。但是想使用这些防御功能得加钱。

4.2 怎么判断是否存在CDN

使用站长之家通过域名找IP时,回显很多IP,就证明有CDN。

4.3 Bypass CDN

4.3.1 多地ping

可以使用外网IP进行ping域名,如果多个外网IP进行ping域名得出的响应结果是同一个IP就证明是该域名的原IP。此情况只限于再外网没有CDN节点,如果该域名在外网也做了白名单限制(只允许CDN节点访问)那么这种绕过手法就失效了。

4.3.2 邮件服务器

服务器发送邮件给员工,是以自己的真实ip发送的

很多情况下邮件服务器和web服务器在同一个主机上

此种情况只限于邮件服务器和web服务器在同一个主机上

例如foxmail客户端:

image-20230925152255114

4.3.3 子域名

  1. 与主域名在同一台服务器上,与主域名指向的IP相同
  2. 与主域名一个网段

子域名爆破,查询子域名IP地址

4.3.4 真实IP寻找

通过域名直接查:

通过域名找IP

有的域名在没有使用CDN之前许多浏览器已经将域名和它对应的IP映射关系存储起来了。历史DNS解析记录还有的话就能从保存了映射关系的DNS服务器或主机的高速缓存中找到域名对应的IP。

如果一个公司想要搭建一个web服务,运营商会给搭建一个免费的公网IP,大多数时候一旦公网IP配置好了就不会轻易改变,所以这种手法才有用。

4.3.5 查找老域名

有的web服务换了一个新域名,但是老域名的映射关系没有解除。

4.3.6 查找关联域名

.com 多IP

​ .cn 100.1

​ .org 100.1

访问某域名时可以查找关联域名例如:访问www.baidu.com它使用了CDN响应的IP有多个,而使用www.baidu.cn或www.baidu.org访问时的响应IP都是100.1,那么就可以猜测.com映射的IP是100.1

4.3.7 信息泄露/配置文件

  • phpinfo是在源服务器上执行的
    • phpinfo中有 HTTP_HOST(HTTP地址)

image-20230925192821402

  • 网页源代码

    • 可能代码中也 有写一些地址
  • 前端代码

    • 可能代码中也有写一些地址
  • Shodan/fofa/zoomeye

4.3.8 网站漏洞

SSRF

命令执行

SQL注入

4.3.9 DNS记录,证书

DNS记录:之前被绑定过

4.3.10 域名历史

微步上有关于域名的历史解析记录

5. 搜索引擎语法

Google hacking

5.1 site

  • 查找子域名:例如site.baidu.com

image-20230925160927671

  • 限定地点

image-20230925160757324

5.2 Inurl

限制关键字出现在网址的某一部分

image-20230925161015183

5.3 Intitle

限制关键字出现在页面标题中

5.4 Filetype

限制搜索特定文件类型

5.5 Cache

查看Google对某个页面的快照

5.6 更多资料

https://ght.se7ensec.cn/#
https://github.com/K0rz3n/GoogleHacking-Page

6. Whois

站长之家

域名的whois信息可以提供以下作用:

  • 确认域名的所有者、注册商、注册日期和到期日期等基本信息。找到注册人后可以通过whois中的注册人反查找到该注册人注册的所有网站(红蓝对抗常用)。
  • 了解域名的注册历史,对于判断一个域名的可信度和信誉程度有很大帮助。
  • 判断一个域名是否正在被使用及其使用方式,是否涉及到滥用、欺诈等问题。
  • 可以通过whois信息获得自己的域名信息,及时检查域名是否即将到期,避免域名失效带来的影响。

7. 端口开放情况

端口开放越多渗透成功率越高

7.1 nmap

渗透测试中动作很大

-sS:进行TCP SYN(半开放式)/半连接扫描。这是一种常用的扫描方式,通过发送TCP SYN包,判断目标主机的端口是否开放。TCP建立三次握手才会建立一个完整的日志,但是第三个包在不给对方回复的情况下是不会建立日志的,但是会确定一点对方的端口号开放

-sT:进行TCP全连接扫描。这种扫描方式也是基于TCP,通过建立TCP连接,判断目标主机的端口是否开放。

-sU:进行UDP扫描,UDP是一种无连接的协议,因此不能像TCP一样建立连接来确定目标主机的端口是否开放。这种扫描方式需要发送UDP数据包,通过响应的数据包判断端口是否开放。

-o:进行操作系统信息探测。通过使用不同的特征扫描目标主机,判断其使用的操作系统。

-p:指定瑞口扫描范围。可以指定端口范围、单个端口或多个离散的端口。

-A:激活“操作系统指纹识别”、“版本检测”、“脚本扫描”等高级扫描选项。

-sV:进行服务版本检测。这种扫描方式可以探测出目标主机运行的具体服务以及其版本号。

-T:设置扫描速度。可以设置不同的速度等级,以适应不同的扫描环境。速度级别从0到5,级别越高,扫描速度越快,但也越容易被防火墙拦截

8. 网站的三种部署模式

  • 主域名与子域名的方式:
    a.com 1.a.com 即是通过更换不同的域名实现切换不同功能点的网站

  • 目录:
    a.com/admin/ 即是在主域名后切换不同目录名实现不同功能网站的切换

  • 端口:
    a.com:8080 即是通过在域名加不同的端口来显示不同的网页

9. 网站架构/服务器指纹/CMS识别

网页源代码
请求头/响应头
网站底部,顶部,左上角右上角
网站报错信息
域名/install
Firefox插件Wappalyzer:查看网站应用了哪些技术,可以通过查找历史版本找到相关的漏洞

9.1 CMS漏洞

CMS:网站模板

https://github.com/s7ckTeam/Glass

https://github.com/EdgeSecurityTeam/EHole

定位版本对应已知漏洞检查

CMS未知漏洞挖掘

显示网站使用的技术 :

判断是个什么CMS

image-20230925202108407

找出网站是用什么构建的

image-20230925202152375

10. 备案

备案信息资产收集
站长之家https://icp.chinaz.com
天眼查https://www.tianyancha.com/
企查查
爱企查
ICP备案查询网http://www.beianbeian.com/
爱站备案查询https://icp.aizhan.com/
域名助手备案信息查询http://cha.fute.com/index

11. 同IP网站

IP反查

渗透测试时发现同一IP下装订了多个网站,而客户提供的资产形式就是这个IP,就证明所有的域名都在测试的范围之内。

如果说客户给的资产是域名,那么这个域名对应的IP下如果还有其他网站,这些网站都不在测试的范围之内。

12. 子域名

goubuster

fofa

证书:查找子域名

13. 同样架构或源码的站

供应链攻击,如果发现某公司A的网站是其他公司B给做的,而公司B专门是给其他公司写模板的,那么我们就可以从B公司进行突破,找到B公司写的网站模板因为网站模板的一些功能写好后其他模板就直接用这个模板的功能了,通过对网络模板进行测试找到漏洞点。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1044587.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Elasticsearch 集群时的内部结构是怎样的?

Apache Lucene : Flush, Commit Elasticsearch 是一个基于 Apache Lucene 构建的搜索引擎。 它利用 Lucene 的倒排索引、查询处理和返回搜索结果等功能来执行搜索。 它还扩展了 Lucene 的功能,添加分布式处理功能以支持大型数据集的搜索。 让我们看一下 Apache Luc…

网络通信(套接字通信)(C/C++)

1.网络编程必知概念 1.广域网和局域网 广域网:又称外网、公网。是连接不同地区局域网或城域网进行计算机通信的远程公共网络。 局域网:在一定的通信范围内,有很个多计算机组成的私有网络就叫局域网。(这些计算机相互之间是可以通信的,但是不能直接访问外网(可以通过网线…

ElementUI -- Mock.js介绍和使用与首页导航栏左侧菜单搭建

1.1 mockjs介绍 Mock.js是一个用于生成随机数据和模拟接口请求的JavaScript库。它可以帮助开发人员在前端开发过程中模拟后端接口的返回数据,以便进行前端页面的开发和测试。 Mock.js有两个重要的特性风靡前端: 数据类型丰富 Mock.js提供了一套简单易用的API&#x…

FL Studio21编曲软件好不好用?值得下载吗

现在的编曲界,鱼龙混杂,很多垃圾软件都来滥竽充数,能入流的编曲软件真的是屈指可数。而编曲业的缺口却又如此之大,所以各类货色都想入行分一杯羹。然而没有实力注定就没有市场而FL Studio又是一款非常著名,实力超群的编…

CTF_BUUCTF_MIS解题_05大白

题目地址:BUUCTF在线评测 文件下载解压之后发现真是一个大白 但是这个大白越看越不对劲,怎么下半身给整没了呢? 随机考虑到图片高度的隐写,杀手锏winhex上场,高度改高一下看看 flag已出现:flag{He1l0_d4_…

面试打底稿③ 专业技能的第三部分

简历原文 抽查部分 基本了解RabbitMQ、Elasticsearch等微服务技术,对分布式事务、分布式缓存等有所学习;熟悉数据库的基本操作,写过C#与数据库交互的项目; 模拟问答 1.你是如何保障消息可靠性的 从消息生产者到交换机&#x…

C语言 数据类型

变量声明 格式(变量类型变量名称) 变量类型:整数类型(int),浮点数类型(float) float类型可以存储带小数的数字。 用printf()打印变量,使用%d来处理整数值&#xff0c…

AI指令百科全书:1000条AI指令,一次性全给你!

这是一位,国外博主哈桑 整理的,1000条ChatGPT实用指令,涵盖目前几乎所有的,主流提示需求。 全文超过40000字。 我把它们翻译成更适合大家理解的「中文版Prompt」,并根据具体的内容,拆解成一二级目录&…

【C++STL基础入门】list交换、翻转,排序、合并和拼接操作

文章目录 前言一、交换list二、翻转list三、排序list四、合并list五、拼接list总结 前言 在C的标准模板库(STL)中,list是一个双向链表容器,提供了丰富的功能和操作。本文将介绍list容器在交换、翻转、排序、合并和拼接等方面的基…

Sip多按键对讲分机,洁净室专用对讲终端

Sip多按键对讲分机,洁净室专用对讲终端 嵌入式洁净室电话机广泛应用于手术室,实验室,制药厂车间,无尘车间等 环境要求高的场所,整机是SUS304不锈钢工艺,喇叭,按键,麦克风无间隙&…

三维模型3DTile格式轻量化顶点压缩主要技术方法分析

三维模型3DTile格式轻量化顶点压缩主要技术方法分析 三维模型顶点压缩是3DTile格式轻量化压缩的重要组成部分,能有效减小数据大小,提高数据处理效率。下面将详细分析几种主要的顶点压缩技术方法: 预测性编码:预测性编码也被称为差…

串口电平信号分析--一下看懂不同的串口通信信号

串口电平信号分析–一下看懂不同的串口通信信号

C#,数值计算——Primpolytest的计算方法与源程序

1 文本格式 using System; namespace Legalsoft.Truffer { public class Primpolytest { private int N { get; set; } 32; private int nfactors { get; set; } 5; private ulong[] factors { get; set; } private int[] t { get…

九日集训 LCR.190 加密运算

计算机安全专家正在开发一款高度安全的加密通信软件,需要在进行数据传输时对数据进行加密和解密操作。假定 dataA 和 dataB 分别为随机抽样的两次通信的数据量: 正数为发送量负数为接受量0 为数据遗失 请不使用四则运算符的情况下实现一个函数计算两次…

MySQL索引看这篇就够了

能简单说一下索引的分类吗? 例如从基本使用使用的角度来讲: 主键索引: InnoDB 主键是默认的索引,数据列不允许重复,不允许为 NULL,一个表只能有一个主键。唯一索引: 数据列不允许重复,允许为 NULL 值&…

Vue.js2+Cesium1.103.0 十二、绑定多个 DOM 弹窗,并跟随视角实时更新位置

Vue.js2Cesium1.103.0 十二、绑定多个 DOM 弹窗&#xff0c;并跟随视角实时更新位置 Demo 基于 element-ui 的 Message 封装一个自定义弹窗&#xff0c;添加到页面中&#xff0c;并实时更新位置。 <template><divid"cesium-container"style"width: 1…

【RocketMQ】浅谈消息发送机制

【RocketMQ】浅谈消息发送机制 参考资料&#xff1a; 消息发送核心参数与工作原理详解 RocketMQ消息发送流程 RocketMQ 消息发送 原理详解 源码剖析 结合实际应用场景谈消息发送 《RocketMQ技术内幕》 文章目录 【RocketMQ】浅谈消息发送机制一、认识RocketMQ消息——Message二…

java语言对异常处理运行的初步探索(try-catch-finally)

​​​​​​异常处理机制 java中的异常处理机制使得即使程序出现异常&#xff0c;代码也能够继续执行下去而不是直接退出程序。下面我们先来简单的了解一下异常处理是怎么使用。 在引用异常处理之前&#xff0c;代码运行中存在异常会导致JVM直接中断该程序并输出异常信息&am…

stack的使用以及模拟实现

&#x1f388;个人主页:&#x1f388; :✨✨✨初阶牛✨✨✨ &#x1f43b;强烈推荐优质专栏: &#x1f354;&#x1f35f;&#x1f32f;C的世界(持续更新中) &#x1f43b;推荐专栏1: &#x1f354;&#x1f35f;&#x1f32f;C语言初阶 &#x1f43b;推荐专栏2: &#x1f354;…

活动预告|Dragonfly 与你相约 2023 KubeCon Shanghai!

KubeCon CloudNativeCon Open Source Summit China 2023&#xff0c;由 Linux 基金会、CNCF 主办&#xff0c;将在 9 月 26-28 日于上海跨国采购会展中心盛大开幕。本次峰会将聚集全球社区&#xff0c;共同探讨云原生和开源领域的前沿洞察、核心技术与最佳实践&#xff0c;会…