渗透测试第二阶段：信息收集方法原理经验心得

信息收集是渗透测试中第二阶段的工作，也是非常主要的一项。所收集到的谍报信息，能直接影响下一阶段的工作及结果。那么具体的信息收集工作应若何实施呢？接下来我会用一此捏造的案例连系道理来进行解说，若有不足之处或有更多更好的信息收集方式或对象，恳请在谈论处斧正和留下另外信息收集的方式进行手艺交流。

[原创文章：www.ii77.com]

正所谓“亲信知彼，攻无不克”，信息收集就像一场战争中的“深入敌后”的一项“谍报收集”义务。在起头渗透测试工作之前，我们经由要对方针使用各类对象进行信息收集工作，找出方针的破绽和弱点，然后行使这些破绽和弱点进行冲击，使得渗透义务得以顺利地完成。在战争中假如你的谍报收集工作失足重大错误，兵士们牺牲的就是人命，由此可见，谍报收集工作的主要性。

[原创文章：www.ii77.com]

任何工作、任何义务都是有必然方式去进行实施的，信息收集工作也一般，以下是我小我在工作中总结出来的部门信息收集工作经验和道理。

在进行这项工作之前，我先对一些信息收集的方式信息收集的方式、区别及感化进行简洁的介绍：

信息收集方式、区别及感化

(1) 自动收集：相当于经由手艺手段去伺探方针的情形，此时方针有或者记录下此次事件的信息。例如：我晚上鬼鬼祟祟地去小明家里，去查察他家用的是什么品牌保险柜？然跋文录下收集到的信息。对于这种情形小明家里或者会有摄像头记录下我的行为。

(2) 被动收集：相当于经由手艺手段去收集方针遗留的信息，此时方针并不克感知事件的发生。例如：小明在某个论坛中留下了本身的生日、岁数、学号等信息，凭据收集到的信息生成字典，对小明的保险箱进行暗码破解。对于这种情形小明又怎么或者发现我在收集他的信息呢。

信息收集的具体实施方式

子域名收集

子域名列举/在线子域名列举扫描：首要是经由对象中的字典，对字典中的二级域名进行轮询查询，从而得出究竟，收集到的数据正确性高，然则疏破绽率也相对较高。

域传送破绽：对方针地点的DNS办事器进行破绽行使，能获取方针地点DNS办事器中的记录，属于很老的破绽，对于特定的方针几乎很难能找到该破绽的存在，但在工作中何妨不测验一下呢？

DNS数据集..：基于全网信息持续收集的..，凭据其收录的信息，以快速查找到需要的数据。

(1) DNSdumpster：https://dnsdumpster.com/

(2) VirusTotal：https://www.virustotal.com/#/home/search

此外还有，站长工作和搜刮引擎所收录到信息进行查找，在此不作具体介绍。

案例：经由子域名列举对象，对方针网站进行子域名收集收集，发现一处名为admin.xxx.com的治理后台，并测验进行弱口令暴力破解冲击成功。进入后台后，发现高危破绽，getshell成功。

防火墙(waf)识别

防火墙识其余道理首要是经由恳求中的状况码返回的响应头容、正文内容，进行成家和判断的。其实跟CMS指纹识别有点雷同，只是相对来说划定对照简洁，当然也有识别不了的情形，那你就要增加响应的检测划定了。

当我们在做渗透测试的时候，若是碰到防火墙的话，就经由络续地测验去绕过他的防火墙划定(黑名单)，或许经由某些方式获得防火墙的源码，去审计划定从而进行绕过；或许凭据以前的绕过经验对方针防火墙进行绕过，这个绕过工作需要要充沛的时间和耐烦才可以完成。

端口办事收集

Nmap是平安相关专业人员使用普遍的平安扫描使用之一，它能够检测方针主机是否在线、端口开放情形、侦测运行的办事类型及版本信息、侦测把持系统与设备类型等信息，甚至还能对主机进行破绽扫描。

Nmap的端口办事识其余道理是，经由收集发送恳求包到办事器中，行使收集的通信恳求竖立的握手过程(多种体式)进行办事的状况进行判断，办事版本识别首要是经由发送特定的数据包到方针的端口办事中，经由返回的信息进行识别，例如3306(mysql办事)，nmap经由mysql的收集和谈通信过程，与mysql竖立保持，mysql返回Handshake packet数据包，个中该包中包含mysql版本号信息，nmap从中获取mysql的具体版本信息。

因为Nmap所供应的功能和选项及使用思路较多，在此不再作具体介绍，有乐趣的同窗请行使搜刮引擎搜刮相关的常识。

案例：对某企业进行渗透测试时，发现企业办事器中开放了6379(redis中央件办事)，凭据以前的经验，redis办事或者存在未授权接见破绽，能直接获得办事器权限，从而getshell成功。

C段IP信息收集

这里的C段指的是并非收集中的C类地址，而是C类地址中子网掩码为255.255.255.0/24中的IP地址段，共254个。对于某些中大型厂商经由有或者使用的是自建的托管机房，他们的买卖平日布置在统一个C类地址子网中，这就给了我们能够行使的空间了。

就似乎我们家里的路由器一般，当我破解了一个邻人的wifi暗码后，领受他的收集，这个时候我就能使用监听对象，对他所发出/领受的数据进行阻挡监听，从中获取得相关的账号、暗码及信息，当然也有另外的方式和思路能够获取方针办事器的数据或权限。例如：C段中的买卖系统与方针办事器的买卖系统有关系，使用的是统一个数据库，那么就有或者直接获取到方针办事器的信息了。

可以查询C段的对象有好多，在此纷歧一介绍，我最常用的照样nmap。假如我们可以查询到方针收集的C段IP都是开放的。这时候我们就得找一此对照微弱的IP来从新进行信息收集工作了。

案例：在渗透测试测试中，未能在方针办事器寻找到高危破绽，然后将思路改变到子网中的另外办事器中，此时我们在获得权限的子网。

旁站信息收集

旁站指的是，分歧的web站点布置在统一台办事器中，在渗透测试的时候，若是方针办事器难以寻找冲破点，我们也能够经由旁站下手，寻找弱点，然后再想法子对方针办事器进行跨冲击。例如：经由系统提限、跨目录权限、mysql权限，对方针办事器实施冲击。

旁站查询首要是经由各大站长..，基于对以前的收录信息，经由IP进行分组划分，查找其方针的IP来查询沟通IP的注释记录而得出的究竟，首要的对象有：

http://dns.aizhan.com

http://s.tool.chinaz.com/same

http://i.links.cn/sameip/

http://www.ip2hosts.com/

案例：在渗透测试工作中，因为未找到方针办事器中的破绽，继而将思路改变到从旁站下手，先是获到旁站的权限，再是因为系统治理员未对分歧的web文件夹权限进行用户权限掌握，导致旁站能跨目录写入一句话木马到方针的web文件夹，成功getshell并获取方针办事器的mysql账号及暗码。

敏感目录/文件收集

该信息收集方式行使的是根基恢弘的平安行业从业者对常见web的敏感危险目录/文件形成一个汇总字典，当然也能够连系本身的经验，将文件到场到字典中，增加字典的局限，然后行使该字典向方针web办事器发出恳求，显露返回的状况码，然后我们凭据状况码进行人工进行判断剖析有没有敏感文件能够进行行使。

响应码判断：如200代表恳求成功。403|401代表无权限，但文件/目录是存在的，500代表办事器失足。另外的响应有状况码请同窗们到搜刮引擎进行搜刮相关常识。

收集敏感目录/文件的首要对象有：DirBuster、御剑后台等。本人感觉下面图示的对象不太好用。

IIS短文件名列举

此破绽行使了windows为了对16位MS-DOS法式兼容处理功能来收集信息的。windows为文件名较长的文件（和文件夹）生成了对应的windows 8.3 短文件名，导致冲击者可行使xxx~1字符实施获取长文件名/目录名的信息。当对方的办事器为IIS，不妨能够测验一下这个破绽。

案例：文件名为xxx_login.php的时候，xxx为有特定寄义的字符，因为我们所使用的敏感目录/文件收集对象中没有该文件名的字典，所以未能找出该登录后台的地址。此时我们就能够使用IIS短文件名列举破绽进行信息收集，得出的究竟为xxx_lo~1.php，此时我们就能猜测到这很或者是一个登录页面了。

GitHub信息收集

GitHub是经由Git进行版本掌握的软件源代码托管办事..，当一个项目需要进行协同斥地时，就得使用svn或github对代码进行托管及版本掌握了。

GitHub不光仅是商用的..，也能够经由该..对代码进行公开分享而且能获得Star来证实此代码是精良的。因为此功能的存在，就有或者有部门斥地工程师，或许因为公司对代码的治理轨制不严谨，造成内部代码公开处理，令冲击者有机可乘。

案例：某某网站，有部门项目的源代码在github长进行了公开处理，个中，代码中包含敏感的xxx信息，造成主要的信息泄露。

GitHub信息收集对象：https://github.com/MiSecurity/x-patrol

网站资产信息探测

资产信息，这里指的是办事器用的是什么把持系统、中央件、剧本说话、数据库、CMS等等的信息。那么收集到这些信息之后有什么感化呢？好比说方针办事器用的是php说话斥地的网站，那么我们就得行使php的一些破绽去进行渗透了，好比说php的弱类型破绽等等。若是方针办事器用的是某个cms的源码斥地的网站，那么我们就得去查找该cms曾经暴出来的破绽去进行行使了。

在这里首要介绍一下CMS指纹识其余道理：是经由恳求搜检特定的URL或文件是否存在，这个就像sfz的开首的省市都是有特定意义的，每个CMS系统中都存在不同凡响的文件或另外信息，这些信息也是由大量前辈汇总而成的，有一些对象只能检测到部门的CMS，因为他们收集的识别信息太少了，CMS指纹识别就是经由这种体式进行检测的。

以下是我平常中使用到的对象及收集方式：

(1)  云悉：http://www.yunsee.cn/info.html

(2)  查察数据包响应头

(3)  CMS指纹识别：http://whatweb.bugscaner.com/look/

案例：在某次的渗透测试工作中，先是对网站进行资产信息探测试，发现方针网站使了

某个开源的CMS系统，然后经由默认的CMS后台治理地址和默认暗码进入后台，再行使该CMS的后台高危破绽，成功上传一句话木马，成功getshell。

shodan、fofa、钟馗之眼信息收集

shodan、fofa、钟馗之眼，他们所供应的功能同样都雷同于搜刮引擎，都是经由特定的语法去进行信息收集，但与搜刮分歧的是，web、可见的页面信息进行爬取收录，而他们则是对全网的在线收集设备进行搜刮到场其数据库中，例如：各类办事器，数据库，某个系统的端口信息，并供应POC等信息。

那么我们应该若何使用上述这几个对象呢？对于无指定方针的渗透测试，我们能够将他们当成是一个高级破绽扫描器来使用，行使他们来获取大量有已知破绽的主机来进行渗透测试。对于指定方针的渗透测试，我们也能够行使他来做信息收集，此时也需要必然的运气成分，因为他们都是基于全网的搜刮，并纷歧定可以包管收集到收集上的所有机械。

案例：在某次渗透测试义务中，使用钟馗之眼对方针办事器进行信息收集，发现高危破绽，而且行使成功，getshell成功。

寻找真实IP

为什么要寻找真实IP?，当某个企业使用了CDN/云防地/反向代理等体式对办事进行架构设计时，我们经由ping号令等并不克直接将恳求传递到真实的办事器上，而是经由一层设置对该恳求进行转向，导致到我们不克获取到真实办事器的开放端口等信息进行收集。

那么，当我们碰到上述的情形时，我们应该若何才能获取到方针的真实IP呢？下面由我来简述一些对照有趣的方式：

从子域名下手，一个企业的买卖种类繁多，或者只有部门主营买卖，接见压力大的域名才使用了CDN，子域名的买卖有或者布置在统一台办事器中，或布置在统一个C段中，所以我们就有或者从中找到真实的IP地址。

汗青的DNS..：https://dnsdb.io/zh-cn/| https://x.threatbook.cn/ 经由..以前收集到的ip与域名绑定汗青记录进行查询。

邮件原文：经由网站供应的邮件发送功能，如..时的邮箱验证等，将邮件发送至本身的邮箱中，再查察其邮件原文内容，邮件原文中存在的IP地址有或者就是其真实的IP。

另外方式在此纷歧一介绍，有乐趣的同窗到搜刮引擎去搜刮相关的资料吧。

HTTPS证书查询：对象https://censys.io/，该对象也是能过全网收集站点的https证书及ip地址，也能够行使该对象进行查找。

案例：某个企业网站使用了CDN办事，无法对其真正的办事器进行Nessus进行弱点扫描剖析，然后经由phpinfo.php的信息泄露破绽获取到真实的IP地址，然后对其真实的办事器进行弱点扫描剖析，发现高危破绽，而且成功getshell。

搜刮引擎语法

首要是行使搜刮引擎所收录的数据，经由特定的语法进行搜刮，能够达到敏捷发现方针弱点的结果。

行使该方式需要必然的经验储蓄，以下是针定特定方针的信息收集思路。例如：对于分歧的买卖系统，得想出分歧的联想词，例如商城系统，联想词能够为商家系统，对于大型的企业，OA登录、CRM等等的联想词。

后台：site:xxx.xxx admin|login|system|治理|登录|内部|系统

垂纶：site:xxx.xxx 邮件|email

社工：site:xxx.xxx qq|群|微信|腾讯

越权：site:xxx.xxx inurl:uid=1|userid=1

包含：site:xxx.xxx inurl:php?include=

还有另外好多好多的方式，在此不在一一列举，有乐趣的同窗请找相关的资料来进修。总结一下，对于特定的方针行使该方式去做信息收集，结果并不会稀奇幻想，但对于无指定方针的渗透，将会给我们的渗透工作带来极大的便当，能辅助我们快速找到方针的弱点，进行渗透。

案例：在某次渗透测试工作中，已经对方针进行子域名收集工作，但未能经由收集到的子域名渗透成功，然后经由行使搜刮引擎语法（site:xxx.xxx系统）进行搜刮，发一个xxx.xxx/staff/login.html的页面，该页面为员工系统登录页面，接下来使用弱口令进行暴力破解登录成功。

爬虫剖析

爬虫剖析，是要把整个网站的网页及目录信息构造爬掏出来，经由爬掏出来的究竟去猜测斥地工程师的斥地脑筋及逻辑，从中获得某些信息进而行使。

案例1：经由某个后台，此时已经由某个破绽进入后台，此时使用爬虫整个后台进行爬虫，个中发现ad/add.php(告白增加)|ad/edit.php(告白编纂)|user/add.php(增加用户)|user/list(会员列表)等等。从中得知斥地工程师使用的是有纪律、有规范的页面链接定名，那么凭据经验，有或者存在admin/add.php等等的页面，有或者存在越权把持破绽，进而行使。

案例2：经由爬虫发现，在使用敏感目录/文件进行信息收集时，未发现有危险和可行使的主要信息，但经由爬虫发现了某个主要的后台链接地址，一样来说，斥地工程师对于后台的防护较为微弱，像此类信息也有或者在渗透测试中行使，也需要记录下来。

AWVS web弱点扫描

Acunetix Web Vulnerability Scanner（简称AWVS）是一款知名的收集破绽扫描对象，它经由收集爬虫测试你的网站平安，检测风行平安破绽，如交叉站点剧本,sql 注入等。在被黑客冲击前扫描购物车，表格、平安区域和其他Web应用法式。75% 的互联网冲击方针是基于Web的应用法式。因为他们时常接触秘要数据而且被放置在防火墙之前。

AWVS如上述所示，首要是经由爬虫来测试你的网站平安，来进行平安破绽检测，把持及使用方式也相对简洁，在此不具体介绍。

AWVS能检测出的破绽种类繁多，当然也有或者显现误报的现象，这时就需要我们凭据AWVS检测来做难，才能确定破绽是否存在了。

AWVS能检测出的破绽的确好多，我们在短期内也很难完全各类破绽及道理。不外AWVS官网有一个所有破绽的列表。同窗们能够凭据列表的内容去进修本身想要知道的破绽道理。破绽列表链接为：https://www.acunetix.com/vulnerabilities/

Nessus 主机弱点扫描

Nessus 是今朝全世界最多人使用的系统破绽扫描与剖析软件。总共有跨越75,000个机构使用Nessus 作为扫描该机构电脑系统的软件。，

Nessus，系统扫描与剖析软件，首要针对的是把持系统及把持系统所安装的软件进行破绽剖析，当然也有好多另外附带的功能，例如:web破绽平安破绽检测、简洁的信息收集。正所谓，专业的人做专业的事，Nessus针对的是把持系统及把持系统所安装的软件进行破绽剖析，是以我们首要的存眷点应该在主机破绽的严重|高|中级其余破绽，当然Nessus也有误报的情形，这时也需要我们凭据其破绽的编号、信息去进行难。

whois信息收集、员工信息、公司名、社工库、云盘搜刮

为什么要将上述几种需要收集的信息放在一路呢？首要是因为以前几种方式针对的经由社工的方式去对方针进行渗透测试。稀奇需要强调的是云盘搜刮，云盘搜刮行使道理的是因为企业的治理不善，或者上传了部门的敏感信息资料到云盘中以轻易其他员工对需要的资料进行下载，是以我们有或者在这部门的资估中找到一些敏感的信息，从而进行冲击。

案例：经由信息收集所收集的信息，成长了某个企业的员工系统登录进口，账号为员工的编号，此时我们尚未得知该企业的员工编号划定，然后我们持续经由另外的信息收录体式进行收集，在云盘中发现了该企业曾经上传过一份企业员工根基信息的资料，遂将其下载，并连系本身的所使用的暗码字典进行暴力破解，最终成功登录到后台中。

信息收集总结

在渗透测试中，信息收集是对照死板乏味的一项工作义务，但也是一项很主要的工作，所收集的信息能直接影响到下一步的渗透思路及结果，所以必然要有耐烦和预备好持续历久地完成这一项工作义务。

在这个时代中，信息收集的对象种类繁多，林林总总，咱们要络续测验新的软件跟以前使用过的软件尴尬比，找到最适合本身的最顺手的对象来使用。

最后，若是人人有更好，更精良的信息收集方式的话，能够在谈论区中留言，或许私信我，感谢。

*本文原创作者：ZhouDaXian，本文属FreeBuf原创奖励规划，未经许可禁止转载

出色介绍