红蓝对抗之信息收集（二）

本章目录：

其他信息收集

在渗透过程中需要探测目标站点网站架构包括一下信息：操作系统，中间件，脚本语言，数据库，服务器，web容器等等，可以使用以下方法查询。

服务器信息收集 网站信息收集 真实IP信息收集 旁站信息收集 C段信息收集 企业信息收集

服务器信息收集

WAF信息收集

探测WAF的原因——WAF也叫Web应用防火墙，WAF的探测很多人都会忽略掉，当我们知道是什么WAF时，可以尝试绕过WAF

常用的两种方式：可用来进行爆破或者弱口令登录以及撞库攻击

收集方法：1、手工 —— 提交恶意数据，简单粗暴 2、Kali工具——WAFW00F、Nmap

 

Nmap探测WAF方法：在Nmap中有两种脚本探测WAF。

1、http-waf-detect 脚本

命令：nmap -p80，443 --script=http-waf-detectip

2、http-waf-fingerprint 脚本

命令：nmap -p80，443 --script=http-waf-fingerprint ip

端口探测

收集到IP或者域名后，就要进行端口扫描了。观察开放端口，对每个端口进行详细的分析，判断是否存在漏洞

扫描工具：Nmap、Zenmap、masscan

Nmap常用命令

-sP/-sn 不进行端口扫描 -p指定端口扫描 -sT TCP全链接扫描，建立完整三次握手过程 -sS SYN半连接扫描，只进行三次握手的前两次 -O 显示服务的详细版本 -b 显示banner信息 -T0~-T5时序选项

操作系统判断

第一种方法： 通过常见开放端口判断

windows端口 IIS 80 RPC 135 SMB 445 Mssql 1433   linux端口 ssh 22 NetBios 137 138 139

第二种方法：通过大小写来判断

windows不敏感

www.baidu.com/abc.php

WWW.baidu.com/ABC.php

第三种方法：通过TTL值来判断

windows的TTL值是：128  

linux的TTL值是:64

例如：ping  10.10.10.x

第四种方法：

例如：asp的肯定是windows了

phpinfo 泄露

网站信息收集

CMS指纹识别

常用方式：

1、通过指定特殊目录或者特殊文件

2、底部信息@pwoered by

3、html中注释掉的内容

4、robots.txt文件中的关键字

5、wappalyzer插件

6、whatweb工具

7、潮汐指纹：http://finger.tidesec.net

8、CMS识别工具 http://whatweb.bugscaner.com/look

9、云悉：http://www.yunsee.cm

CMS漏洞利用

1、常规搜索。例如：dedecms exp/poc/exploit/bug

2、乌云漏洞库 织梦cms ddcms

3、exploit-db dedecms

4、源代码审计

判断web中间件

中间件漏洞利用

知道了服务器是什么系统，我们还要直到web服务器是什么，Apache、Nginx、Tomcat还是IIS

1、Nginx版本<0.83会有解析漏洞

2、IIS6.0会有文件名解析漏洞

3、IIS7.0会有畸形解析漏洞。

4、搜索相应版本web中间件的利用，多留意乌云

判断网站数据库类型

1、Access：数据库后缀名是.mdb的，ASP/ASPX/ACCESS页面

2、SQL Server：端口号 1433 数据库后缀名是.mdf，ASP/ASPX/ACCESS页面

3、Mysql：端口号是 3306 ，PHP

4、Oracle：端口1521  JSP

5、PostgreSQL：PHP

网站目录结构（特别是敏感目录和文件）

1、.SVN泄露

2、.git泄露

3、网站备份压缩文件

4、DS_Store文件

5、WEB-INF文件

6、配置文件泄露

常用工具：burp、dirbuster、7kbscan

Whois信息收集

常用收集网站：

国外的who.is：https://who.is/

站长之家：http://whois.chinaz.com/

爱站：https://whois.aizhan.com/

 

主要关注的信息

注册商、注册人、注册人联系电话、邮件、DNS解析服务器

可以通过邮箱、联系电话进行whois反查

真实IP

在探测IP的过程中，分为两种情况存在CDN以及不存在CDN

CDN的介绍

CDN即内容分发网络，主要解决因传输距离和不同的运营商节点造成的网络速度性能低下的问题。简单来说，就是一组在不 同运营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态资源直接缓存到节点服务器上，当用户再次请求时，会直接分发到在离用户最近的节点服务器上响应给用户。这样可以大大提高网站的响应速度以及用户体验。

不存在CDN

可以直接通过www.ip138.com获取目标的一些IP及域名信息

 

存在CDN

如果渗透目标购买了CDN服务，可以ping通目标的域名，但得到的不是真正的目标Web服务器，这就导致了我们无法直接 得到目标的真实IP段范围。

常规方法：

1、查询DNS历史解析记录

https://dnsdb.io/zh-cn

2、国外访问

可以自己搭梯子、可以通过在线代理网站访问

https://asm.ca.com/en/ping.php //可能会得到真实IP

3、查询子域名

一般情况下都是主站挂CDN，子域名流量不大的时候，可以不需要挂在CDN，因为浪费钱。

4、网站漏洞查找

扫描网站测试文件，如phpinfo、test等，从而找到真实 IP

5、网站邮件订阅查找

网站用户注册验证邮件或者RSS订阅功能，查看邮件，寻找头文件中的邮件服务器域名IP。

6、扫描全网

http://bobao.360.cn/leaming/detail/211.html

http://www.crimeflare.us/cfs.html#box

7、网络空间引擎搜索

钟馗之眼、shodan、fofa(推荐使用：https://fofa.so)

8、C段、旁站信息收集

旁站的概念：是和目标网站在同一台服务器上的其它的网站

C段的概念：是和目标服务器ip处在同一个C段的其它服务器

 

查询方式：

1、利用Bing.com，语法为：http://cn.bing.com/search?q=ip:

2、站长之家：http://s.tool.chinaz.com/same

3、利用Google，语法：site：123.123.123.*

4、利用Nmap，语法：nmap –p 80，8080 –open ip/24  5、K8工具、御剑、北极熊扫描器等

6、在线网站：http://www/webscan.cc/

http://cn.bing.com/search?q=id

http://s.tool.chinaz.com/same

site:123.123.123.*

nmap -p 80,8080 -open ip/24

http://wwww/webscan.cc

企业信息收集

转自系统安全运维 每日分享技术文章与工具

本文始发于微信公众号（LemonSec）：红蓝对抗之信息收集（二）