文章來源：知了堂馮老師

1?收集子域信息

子域名也就是二級(jí)域名，是指頂級(jí)域名的域名。假設(shè)我們的目標(biāo)網(wǎng)絡(luò)規(guī)模比較大，直接從主域入手顯然不明智，因?yàn)閷τ谶@種規(guī)模的目標(biāo)，一般其主域都是重點(diǎn)防護(hù)的區(qū)域，所以不如選擇進(jìn)入目標(biāo)的某個(gè)子域，然后再想辦法迂回接近正真的目標(biāo)，這無疑是一個(gè)比較好的選擇。那么怎樣才能盡可能多地搜集目標(biāo)的高價(jià)值子域呢？

（1）子域名檢測工具

Layer子域名挖掘機(jī)，K8，wydomain，Sublist3r，dnsmaper，subDomainsBrute，Maltego CE

（2）搜索引擎枚舉

可以利用前面的google黑客語法。列如：搜索百度旗下的子域名就可以使用“site:baidu.com”，

site:http://baidu.com?–www 不包含www

（3）第三方聚合應(yīng)用枚舉

很多第三方服務(wù)匯聚了大量DNS數(shù)據(jù)集，可通過它們檢索某個(gè)給定域名的子域名。只要往其搜索欄中輸入域名，就可以檢索到相關(guān)的域名信息。

·DNSdumpster網(wǎng)站：http://dnsdumpster.com/

（4）證書透明度公開日志枚舉

證書透明度(Certificate Transparency,CT)是證書授權(quán)機(jī)構(gòu)(CA)的一個(gè)項(xiàng)目，證書授權(quán)機(jī)構(gòu)會(huì)為每一個(gè)SSL/TLS證書發(fā)布到公共日志中。一個(gè)SSL/TLS證書通常包含域名、子域名和郵箱地址，這些也經(jīng)常成為攻擊者非常希望獲得的有用信息。查找某個(gè)域名所屬證書的最簡單的方法就是使用搜索引擎搜索一些公開的CT日志。

Crt.sh:?http://crt.sh

Censys:?https://censys.io

（5）在線子域爆破

子域名爆破網(wǎng)站https://phpinfo.me/domain

Ip反查綁定域名網(wǎng)站:http://dns.aizhan.com

2?指紋識(shí)別

指紋由于其終身不變性、唯一性和方便性，幾乎成為生物特征的代名詞。這里所指的是網(wǎng)站CMS指紋識(shí)別、計(jì)算機(jī)操作系統(tǒng)及Web容器的指紋識(shí)別等。

在滲透測試中，對目標(biāo)服務(wù)器進(jìn)行指紋識(shí)別是相當(dāng)有必要的，因?yàn)橹挥凶R(shí)別出相應(yīng)的Web容器或者CMS，才能查找與其相關(guān)的漏洞，然后才能進(jìn)行相應(yīng)的滲透操作。

CMS(Content Management System)又稱整站系統(tǒng)或文章系統(tǒng)。在2004年以前，如果想要進(jìn)行網(wǎng)站內(nèi)容管理，基本上都靠手工維護(hù)，但在信息爆炸的時(shí)代，完全靠人維護(hù)相當(dāng)困難。所以就出現(xiàn)了CMS，開放者只要給客戶一個(gè)軟件包，客戶自己安裝配置好，就可以定期更新數(shù)據(jù)來維護(hù)網(wǎng)站，節(jié)省了大量的人力和物力。

常見的CMS有：

Dedecms （織夢），Discuz，PHPWEB，PHPWind，PHPCMS，ECShop，Dvbbs，SiteWeaver，ASPCMS，帝國，Z-Blog，WordPress等。

·掃描工具：

御劍web指紋識(shí)別，whatweb，WebRobo，椰樹，輕量web指紋識(shí)別等

·在線查詢

[BugScaner][http://whatweb.bugscaner.com/look/]

[云悉指紋][http://www.yunsee.cn/finger.html]

[whatweb][https://whatweb.net/] [http://whatweb.bugscaner.com/]

3?真實(shí)IP查詢

在滲透測試過程中，目標(biāo)服務(wù)器可能只有一個(gè)域名，那么如何通過這個(gè)域名來確定目標(biāo)服務(wù)器的真實(shí)IP對滲透測試來說就很重要。如果目標(biāo)服務(wù)器不存在CDN

可以同通過以下地址進(jìn)行查詢，也可以通過nslookup等獲取IP及域名信息。

http://www.ip138.com/

假如目標(biāo)存在CDN服務(wù)器呢？我們需要找到目標(biāo)真實(shí)的服務(wù)器的IP。

1.什么是CDN

CDN就是內(nèi)容分發(fā)網(wǎng)絡(luò)，主要解決因傳輸距離和不同運(yùn)營商節(jié)點(diǎn)造成的網(wǎng)絡(luò)速度性能低下的問題。說的簡單點(diǎn)，就是一組在不同運(yùn)營商之間的對接節(jié)點(diǎn)上的高速緩存服務(wù)器，把用戶經(jīng)常訪問的靜態(tài)數(shù)據(jù)資源(html、css、js圖片、視頻、聲音等文件)直接緩存到節(jié)點(diǎn)服務(wù)器上，當(dāng)用戶再次請求時(shí)，會(huì)直接分發(fā)到離用戶近的節(jié)點(diǎn)服務(wù)器響應(yīng)給用戶，當(dāng)用戶又實(shí)際數(shù)據(jù)交互時(shí)才會(huì)從遠(yuǎn)程Web服務(wù)器上響應(yīng)，這樣可以大大提高網(wǎng)站的響應(yīng)速度及用戶體驗(yàn)。

如果目標(biāo)網(wǎng)站有CDN服務(wù)器，ping域名不一定獲取到目標(biāo)真正的Web服務(wù)器，只是離我們最近的節(jié)點(diǎn)上的CDN，這樣導(dǎo)致我們無法得到目標(biāo)的真實(shí)IP段范圍。

2.CDN判斷

·ping某個(gè) URL：

C:\Users\86135>ping?http://www.baidu.com

正在 Ping?http://www.a.shifen.com?[14.215.177.39] 具有 32 字節(jié)的數(shù)據(jù):

來自 14.215.177.39 的回復(fù): 字節(jié)=32 時(shí)間=32ms TTL=1

但顯然，這里的 IP 是 CDN 的 IP。

·我們可以使用多地ping工具來判斷：

利用在線網(wǎng)站17CE進(jìn)行全國多地區(qū)的ping服務(wù)器操作，然后對比每個(gè)地區(qū)ping出的ip結(jié)果，查看這些ip是否一致，如果都是一樣的，極有可能不存在CDN。如果ip大多不太一樣或者規(guī)律性很強(qiáng)，可以嘗試查詢這些ip的歸屬地，判斷是否存在CDN

·使用nslookup 進(jìn)行檢測，原理同上，如果返回域名解析對應(yīng)多個(gè)IP地址多半是使用了CDN。

（經(jīng)驗(yàn)：，如果是2個(gè)或者3個(gè)，并且這幾個(gè)地址是同一地區(qū)的不同運(yùn)營商的話，則很有可能這幾個(gè)地址是服務(wù)器的出口地址，該服務(wù)器在內(nèi)網(wǎng)中，通過不同運(yùn)營商N(yùn)AT映射供互聯(lián)網(wǎng)訪問，同時(shí)采用幾個(gè)不同的運(yùn)營商可以負(fù)載均衡和熱備份。如果是多個(gè)ip地址，并且這些ip地址分布在不同地區(qū)的話，則基本上可以斷定就是采用了CDN了。）

1.有 CDN 的示例：

nslookup?http://www.163.com

名稱:?http://163.xdwscache.ourglb0.com

Addresses: 58.223.164.86

125.75.32.252

2.無 CDN 的示例：

nslookup?http://xiaix.me

Address: 192.3.168.172

0.0.0.0 255.255.255.255

·使用各種在線工具幫助檢測目標(biāo)網(wǎng)站是否使用了CDN

http://www.cdnplanet.com/tools/cdnfinder/

http://www.ipip.net/ip.html

3.繞過CDN

·查詢子域：

許多情況下只有主站使了CDN，二級(jí)站點(diǎn)并沒有，所以我們就可以直接查詢分站的IP。分站的搜索方法見下文。也可以用我們可以使用搜索引擎輸入site:http://baidu.com或者inurl:http://baidu.com來搜索http://baidu.com的子域名

·國外訪問

1.國內(nèi)部分 CDN 服務(wù)只針對國內(nèi)，對國外的訪問幾乎不使用 CDN。所以我們可以通過國外冷門 DNS 查詢域名。比如，nslookup?http://xxx.com?199.89.126.10

C:\Users\asus\Desktop> nslookup?http://hi-ourlife.com?199.89.126.10

名稱:?http://hi-ourlife.com

Address: 45.64.65.85

2.國外代理網(wǎng)站App Synthetic Monitor（https://asm.ca.com/en/ping.php）

·歷史解析記錄

CDN 的 IP 地址之前所用的 IP 就是真實(shí) IP。

https://toolbar.netcraft.com/site_report?url=www.baidu.com

·查詢郵件

很多服務(wù)器自帶郵件發(fā)送功能，可以利用它來獲取真實(shí) IP。讓站點(diǎn)主動(dòng)發(fā)送郵件，然后右鍵查詢源代碼，就能獲得真實(shí) IP。

·抓取App的請求

如果目標(biāo)網(wǎng)絡(luò)站有自己的App 可以嘗試通過利用fiddler或Burp Suite抓取App的請求，從里面找到目標(biāo)的真實(shí)ip

4?驗(yàn)證IP

我們找到目標(biāo)真實(shí)IP之后，如何驗(yàn)證其真實(shí)性呢？

1. 直接IP地址訪問，看響應(yīng)的頁面是不是和訪問的域名返回一樣；

2. 目標(biāo)段比較大的情況下，借助類似Masscan的工具批掃描對應(yīng)IP段中所有開放了80、443、8080端口IP，然后逐個(gè)嘗試ip訪問，觀察相應(yīng)是否為目標(biāo)站點(diǎn)。

5?整站分析

·服務(wù)器類型(Linux/Windows)

服務(wù)器信息包括服務(wù)器用的操作系統(tǒng)：Linux 還是 Windows ?，F(xiàn)在企業(yè)網(wǎng)站服務(wù)器的操作系統(tǒng)有百分之九十以上用的是Linux操作系統(tǒng)。知道了服務(wù)器的操作系統(tǒng)之后，還需要知道操作系統(tǒng)使用的具體版本。因?yàn)楹芏嗟桶姹镜牟僮飨到y(tǒng)都存在已知的漏洞。

1.判斷是Linux還是Windows最簡單就是通過ping來探測，Windows的TTL值都是一般是128，Linux則是64。所以大于100的肯定是Windows，而幾十的肯定是Linux。

2.Windows大小寫不敏感，Linux大小寫敏感。

如http://www.xxxx.com/index.php和http://www.xxxx.com/index.phP打開的一樣就說明是Windows

而判斷目標(biāo)網(wǎng)站服務(wù)器的具體的版本的話，可以采用 nmap 進(jìn)行掃描， -O 和 -A 參數(shù)都能掃描出來。

·網(wǎng)站容器(Apache/Nginx/Tomcat/IIS)

知道了這些信息之后，我們就需要知道網(wǎng)站用的web服務(wù)器是什么類型的：Apache、Nginx、Tomcat 還是 IIS。知道了web服務(wù)器是哪種類型后，我們還要探測web服務(wù)器具體的版本。比如Ngnix版本<0.83會(huì)有解析漏洞 ，IIS6.0會(huì)有文件名解析漏洞、IIS7.0會(huì)有畸形解析漏洞等。不同的web服務(wù)器版本，存在著不同漏洞。

探測網(wǎng)站是哪種web服務(wù)器，可以使用工具whatweb。

·腳本類型(php/jsp/asp/aspx)

我們需要知道網(wǎng)站用的腳本類型：php 、Jsp 、Asp 、Aspx 。

1.可以根據(jù)網(wǎng)站URL來判斷

2.site:xxx filetype:php

3.可以根據(jù)Firefox的插件來判斷

·數(shù)據(jù)庫類型(Mysql/Oracle/Accees/Mqlserver)

我們需要知道網(wǎng)站用的是哪種類型的數(shù)據(jù)庫：Mysql、Oracle、SqlServer 還是 Access 。雖然這幾種數(shù)據(jù)庫的語法大體上相同，但是還是有區(qū)別的。所以我們還是要知道目標(biāo)網(wǎng)站用的是哪種數(shù)據(jù)庫，并且數(shù)據(jù)庫是哪個(gè)版本的

幾種數(shù)據(jù)庫的區(qū)別：

1.Access 全名是Microsoft Office Access，是由微軟發(fā)布的關(guān)聯(lián)式數(shù)據(jù)庫管理系統(tǒng)。小型數(shù)據(jù)庫，當(dāng)數(shù)據(jù)庫達(dá)到100M左右的時(shí)候性能就會(huì)下降。數(shù)據(jù)庫后綴名： .mdb 一般是asp的網(wǎng)頁文件用access數(shù)據(jù)庫

2.SQL Server是由Microsoft開發(fā)和推廣的關(guān)系數(shù)據(jù)庫管理系統(tǒng)（DBMS），是一個(gè)比較大型的數(shù)據(jù)庫。端口號(hào)為1433。數(shù)據(jù)庫后綴名 .mdf

3.MySQL 是一個(gè)關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，由瑞典MySQL AB 公司開發(fā)，目前屬于 Oracle 旗下產(chǎn)品。MySQL是最流行的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)，在 WEB 應(yīng)用方面MySQL是最好的應(yīng)用軟件之一，MySQL數(shù)據(jù)庫大部分是php的頁面。默認(rèn)端口是3306

4.Oracle又名Oracle RDBMS，或簡稱Oracle。是甲骨文公司的一款關(guān)系數(shù)據(jù)庫管理系統(tǒng)。常用于比較大的網(wǎng)站。默認(rèn)端口是1521

首先，成本上的差距，access是不要錢的，mysql也是開源的，sql server 是收費(fèi)的一般也就幾千，Oracle的費(fèi)用則數(shù)萬。其次，處理能力，access支持千以內(nèi)的訪問量，sql server支持幾千到上萬的訪問，而Oracle則支持海量的訪 問。再次，從數(shù)據(jù)庫的規(guī)模來看，access是小型數(shù)據(jù)庫，，mysql 是中小型數(shù)據(jù)庫，sql server是中型數(shù)據(jù)庫，Oracle是大型數(shù)據(jù)庫。

常見搭配

ASP 和 ASPX：ACCESS、SQL Server

PHP：MySQL、PostgreSQL

JSP：Oracle、MySQL

6?收集敏感目錄文件

在滲透測試中，探測Web目錄結(jié)構(gòu)和隱藏的敏感文件是一個(gè)必不可少的環(huán)節(jié)，從中可以獲取網(wǎng)站的后臺(tái)管理頁面、文件上傳頁面、甚至可以掃描出網(wǎng)站的源代碼。

·收集方向

后臺(tái)目錄：弱口令，萬能密碼，爆破

安裝包：獲取數(shù)據(jù)庫信息，甚至是網(wǎng)站源碼

上傳目錄：截?cái)唷⑸蟼鲌D片馬等

mysql管理接口：弱口令、爆破，萬能密碼，然后脫褲，甚至是拿到shell

安裝頁面?：可以二次安裝進(jìn)而繞過

phpinfo：會(huì)把你配置的各種信息暴露出來

編輯器：fck、ke、等

iis短文件利用：條件比較苛刻 windows、apache等

robots.txt文件

robots.txt 文件是專門針對搜索引擎機(jī)器人robot 編寫的一個(gè)純文本文件。我們可以在這個(gè)文件中指定網(wǎng)站中不想被robot訪問的目錄。這樣，我們網(wǎng)站的部分或全部內(nèi)容就可以不被搜索引擎收錄了，或者讓搜索引擎只收錄指定的內(nèi)容。因此我們可 以利用robots.txt讓Google的機(jī)器人訪問不了我們網(wǎng)站上的重要文件，GoogleHack的威脅也就不存在了。 假如編寫的robots.txt文件內(nèi)容如下：

User-agent: *

Disallow: /data/

Disallow: /db/

Disallow: /admin/

Disallow: /manager/

Allow:/images/

其中“Disallow”參數(shù)后面的是禁止robot收錄部分的路徑，例如我們要讓robot禁止收錄網(wǎng)站目錄下的“data”文件夾，只需要在Disallow參數(shù)后面加上 /data/ 即可。如果想增加其他目錄，只需按此格式繼續(xù)添加。文件編寫完成后將其上傳到網(wǎng)站的根目錄，就可以讓網(wǎng)站遠(yuǎn)離Google Hack了。

雖然robots文件目的是讓搜索蜘蛛不爬取想要保護(hù)的頁面，但是如果我們知道了robots文件的內(nèi)容的話，我們就可以知道目標(biāo)網(wǎng)站哪些文件夾不讓訪問，從側(cè)面說明這些文件夾是很重要的了。

如：https://www.baidu.com/robots.txt

·常用工具

探測目標(biāo)網(wǎng)站后臺(tái)目錄的工具有：

字典爆破：dirb[kali如：dirb?http://192.168.200.113]對目標(biāo)網(wǎng)站進(jìn)行目錄掃描]、DirBuster、 wwwscan 、御劍后臺(tái)、Webdirscan等

蜘蛛爬行：Burp、OWASP ZAP、AWVS等

在線工具站：[webscan][http://www.webscan.cc/]

·聯(lián)網(wǎng)設(shè)備搜索

鐘馗之眼http://www.zoomeye.com。

傻蛋www.oshadan.com(使用)

聯(lián)網(wǎng)設(shè)備搜索引擎可以檢索到許多搜索引擎不收錄的頁面，通常是后臺(tái)等頁面。

構(gòu)造檢索關(guān)鍵詞時(shí)：

系統(tǒng)/后臺(tái)類，可以搜索“xxx系統(tǒng)/平臺(tái)/管理”。

企業(yè)類，可以搜索“xxx企業(yè)/公司/平臺(tái)”。

比如我們要挖電信的系統(tǒng)，可以搜索“電信系統(tǒng)/平臺(tái)/管理”。

10 旁站和C段掃描

旁站指的是同一服務(wù)器上的其他網(wǎng)站，很多時(shí)候，有些網(wǎng)站可能不是那么容易入侵。那么，可以查看該網(wǎng)站所在的服務(wù)器上是否還有其他網(wǎng)站。如果有其他網(wǎng)站的話，可以先拿下其他網(wǎng)站的webshell，然后再提權(quán)拿到服務(wù)器的權(quán)限，最后就自然可以拿下該網(wǎng)站了！

C段指的是同一內(nèi)網(wǎng)段內(nèi)的其他服務(wù)器，每個(gè)IP有ABCD四個(gè)段，舉個(gè)例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一臺(tái)服務(wù)器，也就是說是D段1-255中的一臺(tái)服務(wù)器，然后利用工具嗅探拿下該服務(wù)器。

旁站和C段在線查詢地址：http://www.webscan.cc/?、 [http://www.5kik.com/]

常用工具：

web>>k8旁站、御劍1.5

端口>>portscan

11 主機(jī)掃描及端口信息?(請參考：<NMAP使用案例>)

在滲透測試中，對端口信息的收集是一個(gè)很重要的過程，通過掃描服務(wù)器開放的端口以及從該端口判斷服務(wù)器上存在的服務(wù)，就可以對癥下藥，便于我們滲透目標(biāo)服務(wù)器。

所以在端口滲透信息的收集過程中，我們需要關(guān)注常見應(yīng)用的默認(rèn)端口和在端口上運(yùn)行的服務(wù)。最常見的掃描工具就是NMAP、無狀態(tài)端口掃描工具M(jìn)asscan、ZMap和御劍高速TCP端口掃描工具。

常見的端口及其說明，以及攻擊方法匯總：

·文件共享服務(wù)端口

·遠(yuǎn)程連接服務(wù)端口

·Web應(yīng)用服務(wù)端口

·數(shù)據(jù)庫服務(wù)端口

·郵件服務(wù)端口

·網(wǎng)絡(luò)常見協(xié)議端口

·特殊服務(wù)端口號(hào)

本文來自知了堂馮老師，原創(chuàng)整理，轉(zhuǎn)載請注明出處，喜歡請分享給更多人。