0x00:前言
關於滲透測試的資訊收集相信大家在網上應該也看到很多。這裡講講作為小白的我是如何利用工具進行資訊收集的。畢竟對於我們這種菜鳥而言,工具的準確度還是比我們自己用谷歌語法,FOFA找的要高。
資訊收集是滲透測試的本質。只要收集目標網站的資訊越多,越有可能找到漏洞出來。
目錄:
0x00:前言
0x01:網站基本資訊查詢
0x02:WEB資訊探測
0x03:利用工具/線上網站進行子域名挖掘
0x04:資產收集
0x05:埠掃描
0x06:後臺掃描
0x07:自動化挖掘漏洞
0x01:網站基本資訊查詢當拿到一個網站的URL的時候第一步先儘量進行網站資訊查詢。這裡推薦幾個網站,第一個是站長工具。強推站長工具。準確度比愛站稍高一點。主要用到的是whois查詢,郵箱反查和超級PING。接下來逐一介紹。
這裡我從網上隨便找一個個人部落格的URL輸進去。可以看到一些基礎資訊。
而超級PING,主要用來檢測網站是否存在CDN(一種保護機制隱藏真實IP)。進入站長工具裡面選擇PING檢測。把剛才的URL也順便放進去
然後拉到下面。如果不同的監測點和響應IP相同的話證明無CDN保護為真實IP。如果不一樣可能要考慮用國外的網站PING一波。
繞過CDN
這裡再講講繞過CDN查詢真實IP的方法。因為有時候你查的並不一定是真實IP,可能會對後面的目錄掃描,埠探測造成一定的影響。所以需要一波簡單的繞過查找出真實的IP出來。
這裡拿一個CTF的網站做為例子
首先我們要檢查有沒有CDN的存在我們需要波超級PING檢測,我們進入站長工具的PING檢測模式
然後往下拉的時候發現響應IP都是五花八門的幾乎不重複。遇到這種情況基本可以確定有CDN的保護。
那這裡推薦一些小方法比如說用PING大法開啟我們的CMD輸入PING一波嘗試一下,一般對這種是沒有限制會顯露出真實IP
第二種是用子域名爆破方法,看看其下的其它域名對應的IP是什麼,從而確認其真實IP出來這裡我直接上來Layer子域名挖掘機可以看到跑出的域名跟PING的一樣
如何驗證是真實IP呢?我這裡直接開啟kali的Legion 把域名和PING得到的IP加入進去
沒過一會直接合在一起了。基本可以確定這個網站的真實IP是這個
0x02:WEB資訊探測查詢完網站基本的資訊以後,我們可能想知道該網站是自己寫的框架還是用了別人的CMS。所以就需要用到一些線上網站或者工具來幫助我們識別。這裡還是推薦TScanhttps://scan.top15.cn/web/ nmap,和whatweb也不是不可以但是一些有防護的網站,你一個nmap過去別人防火牆反手就把你給封了。畢竟不像靶機一樣任由你搞破壞。所以需要這麼一個網站幫我們去探索資訊。
該網站基本功能還是比較多的。但真正實用的還是基礎資訊。可以提供是否存在WAF。還有基本的CMS判斷比如說這個網站有WAF用的是word press的CMS
或者是靶機之主vulnhub的站存在 cloudFlare。這種網站就不是我等鹹魚能挖漏洞的地方了。。。
0x03:利用工具/線上網站進行子域名收集一般來講大型的網站都會有根域名和子域名。根域名一般為xxx.com,只有一個.點的被稱為根域名。而子域名一般是qq.abc.com具有兩個·這樣子的。注意qq這裡可以是dc/qwe/各種稱呼都可以。只要帶有兩個.或以上的就是子域名了。每個子域名對應不同的網站。
關於子域名挖掘工具這裡推薦兩款一個是Layer子域名挖掘機,subdomain brute。
這裡我強推Layer子域名挖掘機。目前最新版本為5.0,當然你也可以用layer4.0的其實區別不大。Layer子域名挖掘機由於自帶一個10M大的字典遙遙領先其它子域名爆破機器。同時由於是exe檔案所以建議直接在windows下執行比較方便。而且自帶一個DNS可以不用被遮蔽的那麼慘。
用法也是比較簡單的只需要輸入域名即可,當然這裡的域名不是直接把瀏覽器的URL直接複製下來。這裡我舉個例子。比如說有個大學的URL是這樣的http://xxx.edu.xx 那麼我們需要複製下來的是xxx.edu.xx就可以了。(由於這種子域名挖掘機本質上就算載入本字典匹配子域名是否有迴應)
這裡測試了下某個國外的edu網站很快啊,半個小時不到就收集了120多個URL。
第二個推薦的子域名工具收集是subdomain brute。Subdomain brute是lijiejie這位大佬寫的。最新版的可以支援python3.5+,適用於2019-2020版的kali進行使用。
語法也比較簡單,當然可能會發現為啥subdomainbrute 挖的那麼少。因為它自帶的字典太少了。。。。只有496KB。而Layer子域名挖掘機自帶的字典有10M。字典的大小決定了能挖多少出來。
命令:python subDomainsBrute.py +域名 + -f 字典名 + -o 輸出的名字
也可以考慮把Layer的字典放到kali裡面。因為輸出是文字格式方便一點。
C段/旁段
然後再推薦一下一款C段/旁段的線上掃描器The Web of WebScan一般只需要輸入IP和域名。一般推薦線上為主。如果使用工具A過去可能反手就被人BAN了。所以最好用線上工具來偵察一波。
這裡隨機抽取了一個大學的網站輸入進去可以看到有很多的站點是在用這個IP。。。。當然這個例子可能舉得不是很好因為可能存在CDN保護。。。
線上子域名查詢
這裡推薦一個線上的子域名查詢網站別天神 神速子域名查詢線上網站。
把URL輸入進去以後自動跑跑出來的子域名還不錯。大概是在Layer子域名挖掘機之下,sub domain brute 之上。
當然Goby的靈魂在於其外掛。不安裝外掛的Goby是不完整的。推薦一些比較好的外掛。如FOFA, Subdomain Brute還有MSF。
這裡隨機抓取了一個網站做為測試輸入URL以後會進行自動的爬蟲和子域名爆破這些
等掃完以後會自動排序好,看的非常舒服,非常好用
0x05:埠掃描Autorecon每臺主機都可以開啟不同的埠服務提供給其它主機進行訪問。比如說瀏覽器輸入http或者是https的一般是80和443埠,這裡在網上找了一些常見的埠服務等。
這裡介紹一下一款埠掃描工具autorecon,命令很簡單掃描挺快的。建議下載好以後拖到2019,2020 kali下以python3.x環境執行方便點。執行方式為python3 autorecon.py + IP就行了。
由於autorecon還會順帶執行Nikto等其它探測所以時間一般為10分鐘-1小時不等。可以玩會手機。然後去autorecon/src/IP/result/scan那裡看full_nmap.txt報告一般是這樣的。由於對於我們這群菜鳥而言,-A -sS -sV 太難記了讓autorecon自己幫我們跑吧。
0x06:後臺掃描還有一個是後臺探測。後臺探測也是個比較經典的東西,這裡推薦兩款工具分別是dirbuster和dirb,都是在kali自帶的。比較方便
Dirb的使用方法比較簡單直接dirb + URL,當然也是推薦big.txt的字典比較好掃出來的。
另外一個後臺掃描器是dirbuster,只需要輸入IP地址然後就會跑開放的埠。字典最好載入medium這個是最多的。而File extension這裡可以自定義,比如PHP/txt/html/js等等這些常見的檔案字尾名
然後就可以慢慢去看結果了
谷歌語法找後臺
還有一種找後臺的方法就是利用谷歌語法去找
0x07:自動化挖掘漏洞雖然前面介紹了很多資訊收集的知識。但是對於工具黨而言。我們需要的是如何收集完URL以後發現漏洞呢?這裡就推薦一下自動化挖掘漏洞的方法了。比如說神器FOFA+XRAY。
首先需要一個FOFA賬號去到個人中心那裡複製一下郵箱和KEY
然後去到f2Xconfig.yaml那裡在郵箱和key填入自己的資訊,固定查詢語句要根據國家程式碼縮寫而改。然後targetList那裡輸入自己的目標URL。
在同目錄下用CMD一個fofa2xray.exe執行就開始跑了,然後就會在同目錄下建立報告
然後再說一下準確性的問題,隨機抽了5個大學去跑,咋說呢,畢竟是漏掃而且由於是免費白嫖怪所以準確率並不高,可以跑出PHP版本資訊
資料庫資訊洩露漏洞直接把賬號密碼埠重要資訊直接暴露出來
或者是一些XSS payload。畢竟是漏掃要求也不能太高