基于此大纲做详细描述补充
3.IP资产收集
接上文,渗透测试完整思路及详解-信息收集第1篇(https://mp.weixin.qq.com/s/jaD9C-AUOYnLT1iy1TcgUA)
经过前期公司、主域名、子域名收集,现在获得了一批域名,针对获取到的域名我们可以进一步获取IP资产。
3.1 获取域名真实IP
有些站点可能做了CDN(https://cloud.tencent.com/developer/article/2090707),我们直接无法找到他的真实IP,自然也无法找到他真实IP上的资产,如后台、服务器权限;所以相比于对域名做渗透,个人更喜欢对IP进行渗透,因此,在很多情况下,我们需要首先确定他是否为真实IP。
超级ping
推荐站长之家(https://ping.chinaz.com),最常用。
当从各地ping解析IP均为同一个IP时,说明该网站不存在CDN,反之,若解析IP有很多个不同的IP那么基本上该网站是存在CDN的,我们可以随机选一个IP放到微步去查询,会显示xx数据中心或xxCDN网络节点,对于这种,我们可以选择国际测速、超级ping他的子域名来尝试寻找真实IP,原理是因为做CDN是需要成本的,为了节约成本可能只做了国内的、主域名的CDN。
历史解析
通过查询域名的历史解析记录来寻找真实IP,原理是因为在网站流量较小或建站初期时,没有做CDN服务,故在DNS历史解析记录中留下了真实IP。
# IP查询、DNS历史解析查询相关网站
https://site.ip138.com/ # 查历史IP好用
http://viewdns.info/ # 查历史IP好用
https://rapiddns.io/
https://www.ipshudi.com/
https://centralops.net/co/DomainDossier.aspx
https://crimeflare.com/ # 查cloudflare真实IP好用
被访问
当我们直接访问有CDN的域名的时候,要先经过CDN,再到目标服务器,那如果让服务器来找我们访问我们是不是就能直接得到真实IP了呢,如果对方有邮件服务,可以让对方给我们的邮箱发一封邮件,通过查看邮件源码即可得到服务器真实IP;其次,比如目标服务有url跳转、有加载外部资源等功能点时,均可利用该思想来获取真实IP,核心在于对方访问我们,具体实现路径有很多可结合业务具体功能点实现。
网上对于CDN绕过有很多种方式,以上三种是个人最为常用且实用的方式。
3.2 端口服务扫描
网络资产测绘引擎:直接使用网络测绘引擎(fofa、hunter、quake等搜索IP;此类网络资产测绘引擎都是每隔一段时间会对全网的网络资产去做一个轮询,那可能每个引擎的轮询周期、扫描精准度都不同,故建议可使用不同的搜索引擎以获取更多资产。
在线端口扫描:百度或google直接搜索在线端口扫描就会有一些网站,同理很多功能都可以直接搜索在线xxx;例如在线正则提取解析、在线编码转换等等。
离线工具:推荐使用Nmap、Masscan、Fscan、KScan,其中Nmap最为准确,但最慢;Masscan最快,误报相对更高;对于Fscan大家有一个误区,很多师傅只会在内网使用,但在外网使用也是十分方便快捷的、一键端口扫描、web探测、指纹识别、POC验证。
以上三种也是个人最为常用端口服务扫描的方式
4.信息泄露
信息泄露在渗透测试过程中具有非常重要的作用,渗透的本质在于信息收集,无论是在外网还是内网,信息收集都是非常重要的。
4.1源码泄漏
主要针对一些代码托管平台如Github、gitee、gitlab等,部分开发者会讲代码托管到这些平台,由于权限配置问题可能导致源码泄漏,常见于一些写的较早的系统,早期开发人员没有这个意识,这里拿gitlab作为举例:
这里便获取到了项目的源代码,同样比如很多师傅会去购买fofa或fofakey,那github上不是有很多调用fofa的接口的项目吗?或许里面就有fofakey?爬虫一爬,应该用不完吧....这里以gitlab为例,其余各位可自行探索。
4.2 网盘泄漏
日常中我们都会使用一些网盘来分享资源,如百度、阿里、迅雷云盘等,分享时产生的链接也是会被某些平台给爬取收录的,就造成了网盘泄漏。这里推荐两个平台:
凌风云 https://www.lingfengyun.com/ #支持十大网盘搜索,云盘资源等
乌鸦网盘 http://wp.soshoulu.com/
4.3 社工信息收集
邮箱收集
针对企业邮箱后缀来进行收集,推荐以下几个网站
https://0.zone/
https://app.snov.io/login
http://www.veryvp.com/
http://www.skymem.info/
Telegram的社工库
个人信息收集
这是很多师傅容易忽略的点,针对个人的信息收集,先看一个案例, 这是在一次hw中通过社工信息收集生成弱口令字典成功进入后台的案例,如图,通过地名、域名、年份、连接符组合生成了一份复杂密码字典。
如图将生成的字典进行弱口令爆破,成功爆破出密码,然后进入了后台
4.4 文档、资源泄漏
这一点主要是提一下Google语法,实战还是比较好用的,个人常用的有这些
site:domain.com filetype:xls|doc|pdf
site:domain.com inurl:admin|login|manage
site:domain.com intitle:管理|后台|登录
site:domain.com intext:登录|后台、管理|error|debug
推荐阅读
欢迎关注我的公众号“长风安全”,原创技术文章第一时间推送。
往期信息收集作业
往期直播部分录屏
内部链接:![渗透测试完整思路及详解-信息收集第2篇 渗透测试完整思路及详解-信息收集第2篇]()
B站搜索:长风安全、小K安全
原文始发于微信公众号(赤弋安全团队):渗透测试完整思路及详解-信息收集第2篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论