信息收集是我们做渗透测试的第一步,也是非常重要的一个步骤。但是,往往很多人新手却会忽略这一个步骤,上来就直接用各种工具开干。
一、网站四大套件信息探针
1、操作系统 探针:
大小写敏感,Windows大小写不区分,Linux相反。
2、数据库 探针:
每个数据库默认端口是不一样的,例如:access mysql mssql oracle postsql db2 sybase等。
搭建组合推算,例如:Wamp Lamp Lnmp
根据编程语言来推算,例如:PHP+Mysql
注意:Linux上是不支持Asp,以及不支持Windows平台下的数据库,access、mssql;
2、搭建平台服务(iis apache nginx tomcat) 探针 与 脚本编程语言(php asp jsp)探针:
F12,浏览器审查元素,Headers头
第三方查询平台
搜索引擎语法
二、目录站点、端口站点 分析
1、分目录站点:
www.xxx.com
www.xxx.com/bbs
ww.wxxx.com/old
实战渗透意义:网站可能有多个cms或框架组成,那么:对于渗透而言,相当于渗透目标是多个(一个cms一个思路。)
2、分端口站点:
www.xxx.com
www.xxx.com:8080
www.xxx.com:8888
渗透实战意义和上面差不多。
三、分域名站点以及手机站点分析
1、分域名站点:
www.xxx.com
bbs.xxx.com
news.xxx.com
渗透实战意义:分域名与主站可能同服务器或同网段,对于分域名渗透可以直接和主站进行联系。
获取子域名方法:
- 子域名爆破工具subDomainsBrute、子域名挖掘机Layer
- 搜索引擎 site 语法
2、手机站一般类型如下:wap.xxx.com、m.xxx.com
手机站:
- 不同主站一套的移动端框架程序
- 直接调用主站程序
- 跟主站几乎一模一样的,自适应
四、目标后台探测
什么是后台?这里的后台是指网站的管理后台,一般用于管理网站的内容和数据。
1、尝试常用的后台
一般默认和常用后台:admin login system manage guanli 等等。
注意:一般后台目录后面还有文件名如下:
/admin/login.php
/admin/admin_login.php
/admin/adminlogin.php
后台路径具体怎么样来命名,取决于开发这套程序的管理员。
2、robots.txt
robots是搜索引擎的蜘蛛指导文件,定义哪些文件可以被搜索引擎收录。
robots存在于网站根目录 /robots.txt
注意:不是所有网站都有 robots.txt
3、工具扫描
扫描原理:一般使用字典,字典中有很多目录和文件名,工具会逐个访问字典内的文件名,存在则返回。例如:御剑后台扫描工具;
4、爬行
例如用工具:Acunetix Web Vulnerability Scanner、IntelliTamper
5、搜索引擎
这里主要是用谷歌黑客搜索引擎语法;
6、底部或其它预留管理入口
7、基于上传问题的后台探测
直接查看图片属性路径,很可能就能得到后台路径。
/admin/uploadpic/201986.jpg
因为目标的图片存放文件夹是位于后台目录下,所以一查看图片路径,后台目录就爆露了。
五、物理路径探测
获取到物理路径有什么用?很多时候拿权限,写shell需要用到物理路径。
注入点
执行SQL的地方
1、探针文件
探针文件(遗留文件);很多网站搭建时会有这种包含有网站信息的说明等。例如:说明.txt
常见的探针遗留文件:phpinfo.php info.php php.php I.php等等;
2、报错获得
多用于容错做得不是很好的网站。
报错方法:404、动态URL加特殊符号(英文单引号等)、错误的SQL语句
3、后台获得
如果可以登陆到目标后台,一般后台首页会有一些说明,例如:cms版本、支持的组件、更新日期、数据库信息、物理路径、IP地址;
4、IIS高版本特性爆物理路径
IIS7~IIS8.5都可能会有这个问题,只要访问路径是404状态,就会爆出物理路径和IIS版本信息+IIS程序名。不一定100%爆,具体要看配置。
5、搜索引擎探测:
例如关键字:warning、error、mysql、数据库等;
site:xxx.com warning
六、文件与目录探测
首先,一个网站有很多文件和目录,里面可能存放着脚本和一些资料信息,一般用于网站的正常服务和用户的信息存放等。
得到目录和文件信息有什么用?
后台登陆
上传文件
备份文件;例如:www.1.zip
数据库文件; 例如:access数据库文件 data/data.mdb
怎样来获取目录网站的目录和文件名信息?
1、扫描
主要是基于字典的来扫描,例如:御剑后台扫描工具,很多年了,但是依然还是有人在用。
2、爬行
3、穷举
以定义的字符方式,逐个组合来提交访问尝试存在与否。
a*/
目录文件枚举工具:OWASPDirBuster
七、网站弱点功能探测
1、会员注册登陆
探测目标用户名
有些登陆会提示账号不正确,利用此提示得到其用户名。
注册登陆,找上传之类敏感功能
注册后登陆,找上传头像之类似的功能,尝试突破上传权限,直拿shell(控制权限)
2、资料下载
第一种形式:http://www.passcare.net/uploads/mp32015gkyychb.rar
第二种形式:ttp://www.passcare.net/down.php?down=uploads/mp32015gkyychb.rar
下载链接如果是以第二种方式进行,我们相当于有了一个任意文件下载漏洞。
3、robots.txt
4、新闻链接
第一:新闻链接这时可以找到发布人,有些时候发布人就是后台用户名,例如:发布人admin
第二:看是否有SQL注入点?
5、后台
得到后台路径以后,可以尝试登陆一下。例如:
- 弱口令:admin 123456 admin888 admin666 123456789
- POST注入
- 看后台路径的命名名称,是否和域名有关联?是否和管理的名字有关联?尝试社工管理员账号,例如:ww.test.com/test_admin
- 爆破
八、管理员的信息收集及意义
1、注册邮箱
查域名对应的邮箱
如果是个人邮箱(比如是QQ邮箱,可以查社工库历史密码)
2、whois查询
地址
网站联系方式
3、姓名
查注册邮箱,有时候会显示
从网站联系方式来看
站长工具
得到以上这些信息,有什么用?主要作用如下:
- 生成社工字典,管理员信息可以加入到字典内;
- 找后台,后台路径和管理员名称等信息对应;