信息搜集

渗透测试 教案

0x00
信息搜集是渗透测试过程中最重要的一个环节，信息工作做得好会使渗透测试的工作效率大大提升。本节课你们将学习掌握到什么叫做信息搜集，从实战角度出发来对信息搜集的工作进行分类，大家可以浏览一下目录简介。我会逐条进行详细讲解的，使每个人汲取最多的技能。

0x01

信息搜集就是通过各种各样的途径去寻找目标相关信息，然后从这些信息了解目标的运作方式，确定最佳的进攻路线。一般对于拿到一个url后，首先会对这个url进行分析，分析这个网站框架，敏感文件，后台地址，压缩包，备份文件等等。。
对于网站服务器：操作系统版本探测，端口服务探测
另外可以针对网站管理员，进行社工，这个所要获取的信息相对比较多且杂乱一些，不过在这里还是围绕他的个人基本信息来展开的，去猜测网站、服务器的管理登录页面 生成对应的字典。

0x02
拿到一个url后第一件事情是什么？？
肯定会把它放在浏览器里面访问他，像一个普通用户访问一样，去手工爬行他所有可以点击的连接，看看一下注册的地方，上传的地方，留言的地方，搜索的地方等等这些带入用户输入的地方，并且同时观察url的变化。打开F12抓包查看，查看源码，修改文件名判断服务器类型

0x03
这个例子里面带有dede关键字，而dede这类开源cms是可以搜索下载到的，可以去通过搜索引擎搜索，或者一些安全类网站搜索查找看看能否找到相关已知漏洞。如果找到了相关漏洞，可以确定后续的渗透路线。
还可以通过这个url尝试寻找网站的后台，比如使用御剑这类的扫描神器，也可以使用google hacking语法构造搜索。
不只是去寻找后台，也可以尝试寻找网站的敏感文件，比如源码压缩包，数据库文件，数据备份文件，测试页面。。。。得到源码之后可以进行代码审计，大大推进我们对目标的了解。
泄露源码的原因也很多：除了网站源码压缩包直接被下载，还有svn源码泄露，github源码泄露，
github是知名的全球最大同性交友平台，里面有各种各样的好东西，你们以后肯定经常来这个地方去寻找好东西。
我们也可以通过报错信息获取有价值的信息，这里访问一个不存在的文件，404返回iis定义的错误页面，可以判断网站容器是iis，服务器是windows

0x04
想要对网站服务器进行探测，首先要知道它的ip。我们通过dns查询获取，使用ping，nslookup等这些命令查询，也可以通过在线 网站查询得到。爱站网，站长工具，ip138等等等等
得到ip后就可以对服务器进行端口扫描。端口是主机与外外界连接的大门。不同的大门运行着不同的服务。通常http服务通过80端口发放，ssh22,telnet23,rdp3389.
比如web类端口：像80，80-90，8000-9090这类就是；
数据库类：1433,3306，1521oracle，5432postgresql
特殊服务类：443ssl心脏滴血，873rsyns未授权，6379redis未授权，7001 7002weblogic默认弱口令 反序列
常用来扫描的端口服务21ftp，22,23,3389
如何确定主机开放了哪些端口扫描呢？
1在线扫描网站扫描，2工具：nmap,御剑，scanport等其他一些小脚本和工具
nmap的三个基础功能，
常用的几个参数
-p -O -F快速扫描，
-sS/sT/sA syn不建立连接/connect/ack，
-sU udp扫描
-A 进行详细的扫描

还可以借助网络空间搜索引擎，zoomeye，shadon
直接输入关键词即可，可用获取ip，地理位置，容器，脚本类型等

whois就是通过这个域名获取网站的一些备案信息。网站很多：爱站网，站长之家，ip138等等。
域名注册人。注册人邮箱，手机号，传真，注册时间，域名到期时间。dns付服务区，域名注册商。等等
还可以反查注册人获取邮箱，域名，域名注册时间等信息
邮箱反查，查询注册人，域名等信息。

最后还可以使用一些扫描工具
比如在线的，微步，seebug照妖镜，安犬，火蚁等等
特定的扫描：poc,比如st2045利用工具，java反序列化利用工具，redis漏洞利用工具和一些小脚本。
针对性扫描特点比较准备，如果确实存在漏洞，直接使用exp就能获取很高的权限。利用的是已知漏洞，操作系统、服务、软件以及配置的缺陷。姿势不限。

end
信息搜集与社工
社工的目标是人，手段方法更加灵活不限，我一种很高的学问。但是很多技术爱好者不屑于此，毕竟利用的是人而不是经过高深的技术去达到目的。
从手法来说，纯粹的社工可能威力有限，不过混合攻击里，社工能发挥出其他类型攻击无法起到的作用，毕竟你没有社工防火墙，社工扫描器，社工WAF，国内也没有人卖社工渗透测试，就算搞定了目标，只会轻描淡写的说一下，弱密码而已。谁知道这背后有多少功夫？