1、渗透测试之信息搜集

1、信息搜集

主动信息收集:通过直接访问、扫描网站,这种流量将流经网站,能获取更多的信息,但是目标主机可能会记录你的操作记录。

被动信息收集:利用第三方的服务对目标进行访问了解,比例:Google搜索、Shodan搜索、钟馗之眼等,你收集的信息会相对较少,但是你的行动并不会被目标主机发现。

1、Google Hacking

常用语法:

逻辑与:and
逻辑或:or 
逻辑非:-
完整匹配:"关键词" 
通配符:* ?
返回正文中含有关键字的网页 intext:
寻找标题中含有关键字的网页 intitle:
用法和intitle类似,可以指定多个词 allintitle:登录 管理
返回url中含有关键词的网页 inurl:
用法和inurl类似,可以指定多个词 allinurl:
指定站点 site:
指定文件类型 filetype:
指定链接的网页 link:
相似类型的网页 related:
网页快照 cache:
返回站点的指定信息 info:
返回某个词语的定义 define:

查找网站后台

  • site:xx.com intext:管理

  • site:xx.com inurl:login

  • site:xx.com intitle:后台

查看服务器使用的程序

  • site:xx.com filetype:asp

  • site:xx.com filetype:php

  • site:xx.com filetype:jsp

  • site:xx.com filetype:aspx

查看上传漏洞

  • site:xx.com inurl:file

  • site:xx.com inurl:load

Index of

利用 Index of 语法去发现允许目录浏览的web网站,就像在本地的普通目录一样。下面是一些有趣的查询:

  • index of /admin

  • index of /passwd

  • index of /password

  • index of /mail

  • "index of /" +passwd

  • "index of /" +password.txt

  • "index of /" +.htaccess

  • "index of /root"

  • "index of /cgi-bin"

  • "index of /logs"

  • "index of /config"

2、判断域名的真实IP

https://get-site-ip.com/

使用在线ping来测试是否存在CDN

当存在多个IP时,说明存在CDN

(1)查询子域名:毕竟 CDN 还是不便宜的,所以很多站长可能只会对主站或者流量大的子站点做了 CDN,而很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。

https://tools.ipip.net/cdn.php

https://dnsdb.io/zh-cn/

(2)查询主域名:以前用CDN的时候有个习惯,只让WWW域名使用cdn,秃域名不适用,为的是在维护网站时更方便,不用等cdn缓存。所以试着把目标网站的www去掉,ping一下看ip是不是变了,您别说,这个方法还真是屡用不爽。

(3)邮件服务器:一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP(必须是目标自己的邮件服务器,第三方或者公共邮件服务器是没有用的)。

(4)查看域名历史解析记录:也许目标很久之前没有使用CDN,所以可能会存在使用 CDN 前的记录。所以可以通过网站https://www.netcraft.com 来观察域名的IP历史记录。

(5)国外访问:国内的CDN往往只对国内用户的访问加速,而国外的CDN就不一定了。因此,通过国外在线代理网站https://asm.ca.com/en/ping.php 访问 ,可能会得到真实的ip地址。

(6)Nslookup查询:查询域名的NS记录、MX记录、TXT记录等很有可能指向的是真实ip或同C段服务器。传送门:各种解析记录

(7)网站漏洞:利用网站自身存在的漏洞,很多情况下会泄露服务器的真实IP地址

(8)Censys查询SSL证书找到真实IP:利用“Censys网络空间搜索引擎”搜索网站的SSL证书及HASH,在https://crt.sh上查找目标网站SSL证书的HASH,然后再用Censys搜索该HASH即可得到真实IP地址。

3、域名的whois信息

http://whois.chinaz.com/

4、子域名

Layer子域名爆破机

subDomainBrute

利用google查询

通过DNS查询

https://tools.ipip.net/cdn.php

https://dnsdb.io/zh-cn/

只需输入baidu.com type:A就能收集百度的子域名和ip

5、敏感信息网上搜集

百度、谷歌、Github、码云等平台上查找

6、指纹识别

在线指纹识别

7、主机扫描

Goby

Nessus

8、站点扫描

AWVS

OWASP

9、端口扫描

nmap

10、网站敏感目录和文件

网站敏感文件:robots.txt、crossdomin.xml、sitemap.xml、源码泄漏文件(.git/.svn)、网站备份文件

目录扫描工具:

御剑、dirb

11、旁站和C段

旁站:是和目标网站在同一台服务器上的其它的网站。

C段:比如192.168.1.0-255的设备都处于同一个c段。

12、Shodan

官网地址为:https://www.shodan.io

1、基本用法

直接搜索ssh、apache

1、渗透测试之信息搜集

点击相应的IP,可以查看主机详细信息

1、渗透测试之信息搜集

搜索语法    
hostname 搜索指定的主机或域名 例如hostname:"sina.com"
port 搜索指定的端口 例如 port:"80"
port 搜索指定的端口 例如 port:"80"
country 搜索指定的国家 例如country:"China"
city 搜索指定的城市 例如city:"Beijing"
product 搜索指定的操作系统/软件 例如product:"apache"
version 搜索指定的软件版本 例如version:"7.1.4"
net 搜索指定的IP地址或子网 例如 net:"117.44.67.0/24"

2、实例演示

1.查找位于北京的apache服务器

apache city:"Beijing"

2.位于美国的Nginx服务器

Nginx country:"United states"

3.查找新浪的服务器

hostname:"sina.com"

除了通过搜索以外,我们还可以点击shodan右侧的“explore”,就可以看到别人分享的搜索语法。

13、钟馗之眼

ZoomEye - Cyberspace Search Engine

14、FoFa

FOFA网络空间测绘系统

上一篇:loadrunner 游戏脚本开发


下一篇:.NET Core 3 WPF MVVM框架 Prism系列之对话框服务