滲透測試之信息收集

一、前言

做一次滲透測試之前，我們要進行必要的信息收集，原理其實就是增大攻擊面。例如某政府門戶網(wǎng)站肯定比其次要機構網(wǎng)站防護要好的多。這時我們可以從別的站作為滲透點，以點破面的深入、滲透。再者就是我們滲透測試過程中的信息收集，大量的信息集合在一起，才能發(fā)現(xiàn)更多的漏洞。例如滲透測試過程中發(fā)現(xiàn)某測試頁面有SQL注入漏洞。直接可以利用該漏洞拿到服務器webshell。以下主要提及一些常見的信息收集： 

子域名信息；

 端口信息；

 源碼信息；

 目錄信息；

 郵箱信息；

 電話信息等。

二、信息收集

1、子域名

子域名收集可用到以下幾種方式：

· Googlehacking、百度搜索語法；

· 搜索引擎：fofa（http://www.tjdsmy.cn/）

shodan（http://www.tjdsmy.cn/）

必應（http://www.tjdsmy.cn/）

鐘馗之眼（http://www.tjdsmy.cn/）等；

子域名挖掘工具：這里提供一個線上的子域名挖掘工具，http://www.tjdsmy.cn/domain/

2、端口

收集端口信息，首先可以使用端口掃描工具，比如nmap就很好用。遇到可能禁ping或者防火墻做了策略的，可以用syn掃描的方式nmap -sS -Pn IP進行掃描.

也可以使用shodan等搜索引擎，利用shodan的“ip：116.128.1.23 city:CN”。

收集到端口之后很有可能會發(fā)現(xiàn)管理后臺（例如weblogic管理后臺對應端口是7001）、旁站、可利用的服務（例如FTP、SSH、POP）等。還有一些服務的版本有漏洞，可利用該漏洞進行利用。

3、旁站

有時候為了節(jié)省成本，某些小企業(yè)會把web業(yè)務托管給大企業(yè)或政府，我們可以通過域名、IP反查出旁站進行滲透。以下是常見的幾種方式：

第一種是同域名，不同web目錄，例如http://域名1/zhonghua/和http://域名1/changqing/分別存儲的是兩個不同企業(yè)的web信息。

第二種是同ip，不同端口，例如企業(yè)A的網(wǎng)站對應的訪問方式是http://域名2:8086,企業(yè)B網(wǎng)站對應訪問方式是http://域名2:8086。

其他方式便不再說明，可在http://www.tjdsmy.cn/和站長工具進行反查。

4、目錄

眾多工具可以提供基于字典的爬目錄，但還是有限，這時候可以通過前面提到的搜索語法和搜索引擎進行目錄的收集。如御劍、burp、webrobot啊。

還需要分析JS代碼、注釋信息，這里也是發(fā)現(xiàn)銘感目錄的寶藏。

5、源碼

源碼的收集一般可以通過源網(wǎng)站壓縮文件、代碼托管平臺，郵箱等方式收集。

源網(wǎng)站壓縮文件：很多運維人員為了省事或者粗心，把源碼直接放在web應用目錄下，直接便可下載，或者放在別的目錄下，結合目錄遍歷漏洞可進行下載。

代碼托管平臺：一些程序員為了交流或炫耀，會把代碼提交到一些代碼托管平臺。例如：

（1） http://www.tjdsmy.cn,開源中國出品的代碼托管、協(xié)作開發(fā)平臺，靈活便捷地支撐個人、團隊、企業(yè)的各類開發(fā)需求。

（2）gitcafe.com, 是國內(nèi)做的與github最相似代碼托管網(wǎng)站。

（3）code.csdn.net推出的類似github的代碼托管服務。

郵箱：郵箱也是很多管理人員、運維人員、編程人員進行交流的地方，很多源代碼也會通過郵箱傳播。這也是突破點。

6、郵箱

收集郵箱信息主要以下幾個作用：

（1）通過發(fā)現(xiàn)目標系統(tǒng)賬號的命名規(guī)律，可以用來后期登入其他子系統(tǒng)。

（2）爆破登入郵箱用。

（3）發(fā)現(xiàn)VPN賬號、密碼、系統(tǒng)等敏感信息。

7、其他

其他的信息收集可以包括APP、微信公眾號、客服人員釣魚、QQ等信息。類似于社工的方式都可以收集到很多的信息。