渗透测试信息收集方法大全

信息收集是我们做渗透测试的第一步,也是非常重要的一个步骤。但是,往往很多人新手却会忽略这一个步骤,上来就直接用各种工具开干。

 

一、网站四大套件信息探针

 

1、操作系统 探针:

大小写敏感,Windows大小写不区分,Linux相反。

 

2、数据库 探针:

每个数据库默认端口是不一样的,例如:access mysql mssql oracle postsql db2 sybase等。

搭建组合推算,例如:Wamp Lamp Lnmp

根据编程语言来推算,例如:PHP+Mysql

注意:Linux上是不支持Asp,以及不支持Windows平台下的数据库,access、mssql;

 

2、搭建平台服务(iis apache nginx tomcat) 探针 与 脚本编程语言(php asp jsp)探针:

F12,浏览器审查元素,Headers头

第三方查询平台

搜索引擎语法

 

二、目录站点、端口站点 分析

 

1、分目录站点:

www.xxx.com

www.xxx.com/bbs

ww.wxxx.com/old

实战渗透意义:网站可能有多个cms或框架组成,那么:对于渗透而言,相当于渗透目标是多个(一个cms一个思路。)

 

2、分端口站点:

www.xxx.com

www.xxx.com:8080

www.xxx.com:8888

渗透实战意义和上面差不多。

 

三、分域名站点以及手机站点分析

 

1、分域名站点:

www.xxx.com

bbs.xxx.com

news.xxx.com

渗透实战意义:分域名与主站可能同服务器或同网段,对于分域名渗透可以直接和主站进行联系。

 

获取子域名方法:

  • 子域名爆破工具subDomainsBrute、子域名挖掘机Layer
  • 搜索引擎 site 语法

 

2、手机站一般类型如下:wap.xxx.com、m.xxx.com

 

手机站:

  • 不同主站一套的移动端框架程序
  • 直接调用主站程序
  • 跟主站几乎一模一样的,自适应

 

四、目标后台探测

什么是后台?这里的后台是指网站的管理后台,一般用于管理网站的内容和数据。

 

1、尝试常用的后台

一般默认和常用后台:admin login system manage guanli 等等。

 

注意:一般后台目录后面还有文件名如下:

/admin/login.php

/admin/admin_login.php

/admin/adminlogin.php

 

后台路径具体怎么样来命名,取决于开发这套程序的管理员。

 

2、robots.txt

robots是搜索引擎的蜘蛛指导文件,定义哪些文件可以被搜索引擎收录。

robots存在于网站根目录 /robots.txt

注意:不是所有网站都有 robots.txt

 

3、工具扫描

扫描原理:一般使用字典,字典中有很多目录和文件名,工具会逐个访问字典内的文件名,存在则返回。例如:御剑后台扫描工具

 

4、爬行

例如用工具:Acunetix Web Vulnerability Scanner、IntelliTamper

 

5、搜索引擎

这里主要是用谷歌黑客搜索引擎语法

 

6、底部或其它预留管理入口

 

7、基于上传问题的后台探测

直接查看图片属性路径,很可能就能得到后台路径。

/admin/uploadpic/201986.jpg

因为目标的图片存放文件夹是位于后台目录下,所以一查看图片路径,后台目录就爆露了。

 

五、物理路径探测

获取到物理路径有什么用?很多时候拿权限,写shell需要用到物理路径。

注入点

执行SQL的地方

 

1、探针文件

探针文件(遗留文件);很多网站搭建时会有这种包含有网站信息的说明等。例如:说明.txt

常见的探针遗留文件:phpinfo.php info.php php.php I.php等等;

 

2、报错获得

多用于容错做得不是很好的网站。

报错方法:404、动态URL加特殊符号(英文单引号等)、错误的SQL语句

 

3、后台获得

如果可以登陆到目标后台,一般后台首页会有一些说明,例如:cms版本、支持的组件、更新日期、数据库信息、物理路径、IP地址;

 

4、IIS高版本特性爆物理路径

IIS7~IIS8.5都可能会有这个问题,只要访问路径是404状态,就会爆出物理路径和IIS版本信息+IIS程序名。不一定100%爆,具体要看配置。

 

5、搜索引擎探测:

例如关键字:warning、error、mysql、数据库等;

site:xxx.com warning

 

六、文件与目录探测

首先,一个网站有很多文件和目录,里面可能存放着脚本和一些资料信息,一般用于网站的正常服务和用户的信息存放等。

 

得到目录和文件信息有什么用?

后台登陆

上传文件

备份文件;例如:www.1.zip

数据库文件; 例如:access数据库文件 data/data.mdb

 

怎样来获取目录网站的目录和文件名信息?

1、扫描

主要是基于字典的来扫描,例如:御剑后台扫描工具,很多年了,但是依然还是有人在用。

 

2、爬行

 

3、穷举

以定义的字符方式,逐个组合来提交访问尝试存在与否。

a*/

目录文件枚举工具:OWASPDirBuster

 

七、网站弱点功能探测

 

1、会员注册登陆

 

探测目标用户名

有些登陆会提示账号不正确,利用此提示得到其用户名。

 

注册登陆,找上传之类敏感功能

注册后登陆,找上传头像之类似的功能,尝试突破上传权限,直拿shell(控制权限)

 

2、资料下载

第一种形式:http://www.passcare.net/uploads/mp32015gkyychb.rar

第二种形式:ttp://www.passcare.net/down.php?down=uploads/mp32015gkyychb.rar

下载链接如果是以第二种方式进行,我们相当于有了一个任意文件下载漏洞。

 

3、robots.txt

 

4、新闻链接

第一:新闻链接这时可以找到发布人,有些时候发布人就是后台用户名,例如:发布人admin

第二:看是否有SQL注入点?

 

5、后台

得到后台路径以后,可以尝试登陆一下。例如:

  • 弱口令:admin 123456 admin888 admin666 123456789
  • POST注入
  • 看后台路径的命名名称,是否和域名有关联?是否和管理的名字有关联?尝试社工管理员账号,例如:ww.test.com/test_admin
  • 爆破

 

八、管理员的信息收集及意义

 

1、注册邮箱

查域名对应的邮箱

如果是个人邮箱(比如是QQ邮箱,可以查社工库历史密码)

 

2、whois查询

地址

网站联系方式

 

3、姓名

查注册邮箱,有时候会显示

从网站联系方式来看

站长工具

 

得到以上这些信息,有什么用?主要作用如下:

  • 生成社工字典,管理员信息可以加入到字典内;
  • 找后台,后台路径和管理员名称等信息对应;
付杰
  • ¥ 398.0元
  • 市场价:498.0元
  • ¥ 119.0元
  • 市场价:199.0元
  • ¥ 29.99元
  • 市场价:888元
  • ¥ 15元
  • 市场价:15元

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: