如何做到更加细致的信息搜集(上)

前言

如何做好信息搜集？无论在打CTF，还是挖src，甚至是渗透测试的时候，我们都需要重视信息搜集的这个过程，因为攻击面的扩大，有可能影响了是否能成功的拿下目标，那么怎么才能更完整的做好信息搜集呢，怎么才能扩大自己的攻击面呢。本文着重讲普遍目标的适用性信息搜集，之后有时间，会出关于企业src挖掘时候的骚思路信息搜集方式。技术不高，希望看文章的各位师傅斧正。

我们需要收集哪些信息呢？

框架(cms)，网站搭建信息，子域名，端口，目录，爆破需要的信息搜集，谷歌语法，旁站，waf信息。

接下来，我会尽量详细的阐述怎么收集这些信息，包括每个里面存在的问题。

框架(cms)信息

为什么我要先谈论框架信息呢，例如，当我们拿到目标后，我们打开一看，豁然发现这不是thinkphp搭建的吗，直接rce，不就拿下目标了吗。(咳咳，理想状态)。

框架信息(cms)有什么作用呢？我们都知道，每时每刻都有漏洞在被发现，然而这些漏洞是什么呢，是不是部分是框架漏洞,若是我们发现使用了这个框架，即可用这些公布出来的poc来进行攻击渗透。

常见工具识别

whatweb:https://github.com/urbanadventurer/WhatWeb

在线cms识别:http://whatweb.bugscaner.com

潮汐指纹:http://finger.tidesec.net/

数字观星:https://fp.shuziguanxing.com/#/

云悉:http://www.yunsee.cn/finger.html

Wappalyzer:https://github.com/AliasIO/wappalyzer

上面这些工具直接查就行，有手就行。

js文件泄露：

用thinkadmin举例。经常翻翻js文件，或许有惊喜哦，有些运维人员有可能把账号和密码放进这里面。

文件路径，泄漏cms信息：

例如

wordpress框架最常见的/wp-admin

dedecms里面的一些文件，例如data/mysql_error_trace.inc,或许有意想不到的效果.

页面最下方powered by xxx

网站报错信息：

例如thinkphp

网站的ico：

例如thinkphp，或者discuz

cookie信息：

经典shiro的rememberMe或者shiroCookie

还有一些cms也都在cookie里面暴露自己是谁

一些渗透经验

所谓看的多，不如sun的多。

若依，甚至有时候都不需要经验，不过有时候会把上面的东西替换掉，不过只要记个大概样子也就可以了

小tips：遇见这种password是黑点的，可以f12，修改一下type，即可显示password

搜集到框架之后去哪里找漏洞利用exp或者poc。

https://www.cnvd.org.cn/

https://nvd.nist.gov

https://cn.0day.today/

https://www.exploit-db.com/

https://sploitus.com/

https://vuldb.com/zh/

网站搭建信息

操作系统的识别方法

大小写识别

windows对大小写不敏感，linux对大小写敏感，可以访问存在的文件

http://xxx.com/admin.php 和 http://xxx.com/Admin.php,通过能不能访问来判断操作系统。

用ping命令来测试

windows的TTL值一般大于100，linux小于100，只能粗略估计

使用nmap进行判断

nmap -O ip

收集数据库相关的信息

端口识别

常见数据库对应端口，但是一般都会进行更改等等

MySQL：3306

Mssql：1433

Oracle：1521

Microsoft SQL Server：1433

PostgreSQL：5432

MongoDB：27017

Redis：6379

sql注入识别

要是网站有sql注入，也可以判断数据库的类型。

搭建网站的脚本语言

文件后缀名

有可能遇到文件上传的时候，传相同代码类型的马上去。

php，jsp，asp，aspx，action，do

还有python搭建的网站

常见搭配

还有常见搭配脚本语言与数据库的搭配

ASP和.NET：Microsoft SQL Server

PHP：MySQL、PostgreSQL

Java：Oracle、MySQL

JSP：Mssql、Oracle

服务器的识别

常见的web服务器

nginx apache iis tomcat resin lighttpd

注意nginx，apache，iis的解析漏洞。(之后会在文件上传相关文章进行解释，新手可以去了解文件上传漏洞和解析漏洞的配合使用，这里不细说)

注：除了这些解析漏洞，还有其他相关漏洞也要尝试尝试的。

浏览器插件：

Wappalyzer：https://github.com/AliasIO/wappalyzer

使用这个插件一般都能扫出来，扫不出来，就使用搜集框架信息的那些在线工具，基本上都能识别出来。

f12查看

访问网站之后，使用f12在浏览器里面查看

phpstudy后门漏洞

小tips有一种特别的服务器，phpstudy搭建的，我也不知道我这样理解对不对，但是phpstudy搭建之后，在2016，2018版本有个后门漏洞，在渗透的时候也要注意，但是phpstudy在server这里显示的不是nginx啥的，我找的一个例子

可以发现是我们使用phpstudy搭建的服务。

子域名收集

推荐的工具：

oneforall:https://github.com/shmilylty/OneForAll

layer子域名挖掘机

subdomainBrute:https://github.com/lijiejie/subDomainsBrute

subfinder:https://github.com/projectdiscovery/subfinder

微步：https://x.threatbook.cn/

空间测绘(很多，我举了几个常用的)：

https://www.shodan.io/

https://hunter.qianxin.com/

https://fofa.info/

https://www.zoomeye.org/

爆破手段：

爆破的时候注意域名泛解析，layer子域名挖掘机和subdomainBrute都可以。

基本上很多搜集子域名的工具都可以进行子域名爆破，我推荐layer子域名挖掘机，个人喜欢有UI界面的。

谷歌搜索：

site: xxx.com  

证书，dns查询:

这个查询有在线网站可以查询，不过我推荐直接用oneforall这个工具，好用

js文件：

有些js文件里面写了一些自己的资产

例如 a.xxx.com是登录后台的，b.xxx.com是用来调用api的，c.xxx.com是用来给客户用的界面。

网站的请求：访问a.xxx.com网站的时候，有可能向b.xxx.com进行请求。

经常遇到的警告页面。