为了保证网络的稳定和快速传输,网站服务商会在网络的不同位置设置节点服务器,通过 CDN(Content Delivery Network,内容分发网络)技术,将网络请求分发到最优的节点服务器上面。如果网站开启了 CDN 加速,就无法通过网站的域名信息获取真实的 IP,要对目标的 IP 资源进行收集,就要绕过 CDN 查询到其真实的 IP 信息。
在对目标 IP 信息收集之前,首先要判断目标网站是否开启了 CDN,一般通过不同地方的主机 ping 域名和 nslookup 域名解析两种方法,通过查看返回的 IP 是否是多个的方式来判断网站是否开启了 CDN,如果返回的 IP 信息是多个不同的 IP,那就有可能使用了 CDN 技术。
使用 ping 域名判断是否有 CDN
全球 Ping 测试:https://wwwhttp://www.360doc.com/content/22/0815/07/
站长工具 Ping 检测:http://ping.chinaz.com/
使用 nslookup 域名解析判断是否有 CDN
查询历史 DNS 记录
通过查询 DNS 与 IP 绑定的历史记录就有可能发现之前的真实 IP 信息,常用的第三方服务网站有:
dnsdb:https:///zh-cn/
viewdns:https:///iphistory/
微步在线:https://xhttp://www.360doc.com/content/22/0815/07/
使用国外主机请求域名
部分国内的 CDN 加速服务商只对国内的线路做了 CDN 加速,但是国外的线路没有做加速,这样就可以通过国外的主机来探测真实的 IP 信息。
探测的方式也有两种,可以利用已有的国外主机直接进行探测;如果没有国外主机,可以利用公开的多地 ping 服务(多地 ping 服务有国外的探测节点),可以利用国外的探测节点返回的信息来判断真实的 IP 信息。
网站信息泄露漏洞
利用网站存在的漏洞和信息泄露的敏感信息、文件(如:phpinfo 文件、网站源码文件、Github 泄露的信息等)获取真实的 IP 信息。
phpinfo 页面中有一个 字段会显示该主机真实 IP。
邮件信息
旁站是与攻击目标在同一服务器上的不同网站,获取到目标真实 IP 的情况下,在攻击目标没有可利用漏洞的情况下,可以通过查找旁站的漏洞攻击旁站,然后再通过提权拿到服务器的最高权限,拿到服务器的最高权限后攻击目标也就拿下了。
旁站信息收集也称为 IP 反查,主要有以下方式:
使用命令 对目标 IP 进行全端口扫描,确保每个可能开放的端口服务都能识别到。
旁站信息可以通过第三方服务进行收集,比如在线网站与搜索引擎等。以下是几个在线搜集网站:
站长工具同 IP 网站查询:http://s.tool.chinaz.com/same
webscan:https://wwwhttp://www.360doc.com/content/22/0815/07/
云悉:https://wwwhttp://www.360doc.com/content/22/0815/07/
微步在线:https://xhttp://www.360doc.com/content/22/0815/07/
在线旁站查询 |C 段查询 | 必应接口 C 段查询:http://wwwhttp://www.360doc.com/content/22/0815/07/bing/bing.php
也可以利用搜索引擎语法来实现查询:
bing
fofa
C 段主机是指与目标服务器在同一 C 段网络的服务器。攻击目标的 C 段存活主机是信息收集的重要步骤,很多企业的内部服务器可能都会在一个 C 段网络中。在很难找到攻击目标服务器互联网漏洞的情况下,可以通过攻击 C 段主机,获取对 C 段主机的控制权,进入企业内网,在企业的内网安全隔离及安全防护不如互联网防护健全的情况下,可以通过 C 段的主机进行内网渗透,这样就可以绕过互联网的防护,对目标进行攻击。但是这种攻击方式容易打偏。
使用命令 ,对目标 IP 的 C 段主机进行存活扫描,根据扫描的结果可以判断目标 IP 的 C 段还有哪些主机存活。
这个命令在实际工作中的使用很多,该命令不通过 ICMP 协议进行主机存活判断,会直接对端口进行扫描。这样在开启了防火墙禁 Ping 的情况下,也可以利用这个命令正常扫描目标是否存活及对外开启的相关服务。
Google
Fofa
在线旁站查询 |C 段查询 | 必应接口 C 段查询:http://wwwhttp://www.360doc.com/content/22/0815/07/bing/bing.php
查旁站:https:///
云悉:https://wwwhttp://www.360doc.com/content/22/0815/07/
httpscan:https://github.com/zer0h/httpscan
小米范 web 查找器
Goby:https:///
bufferfly:https://github.com/dr0op/bufferfly
cscan:https://github.com/z1un/cscan
子域名是父域名的下一级,比如 和 这两个域名是 的子域名。一般企业对于主站域名的应用的防护措施比较健全,不管是应用本身的漏洞发现、漏洞修复,还是安全设备相关的防护都做得更加及时和到位,而企业可能有多个、几十个甚至更多的子域名应用,因为子域名数量多,企业子域名应用的防护可能会没有主站及时。攻击者在主站域名找不到突破口时,就可以进行子域名的信息收集,然后通过子域名的漏洞进行迂回攻击。子域名信息收集主要包含枚举发现子域名、搜索引擎发现子域名、第三方聚合服务发现子域名、证书透明性信息发现子域名、DNS 域传送发现子域名等方式。
子域名收集可以通过枚举的方式对子域名进行收集,枚举需要一个好的字典,制作字典时会将常见子域名的名字放到字段里面,增加枚举的成功率。子域名暴力破解常用的工具以下:
在线子域名查询:https:///domain/
OneForAll:https://github.com/shmilylty/OneForAll
knock:https://github.com/guelfoweb/knock
subDomainsBrute:https://github.com/lijiejie/subDomainsBrute
Layer 子域名挖掘机:https://github.com/euphrat1ca/LayerDomainFinder
使用搜索引擎语法,如
Google 或者百度等
Fofa
第三方聚合平台 Netcraft、Virustotal、ThreatCrowd、DNSdumpster 和 ReverseDNS 等获取子域信息。
Sublist3r:https://github.com/aboul3la/Sublist3r
OneForAll:https://github.com/shmilylty/OneForAll
证书透明性(Certificate Transparency,CT)是 Google 的公开项目,通过让域所有者、CA 和域用户对 SSL 证书的发行和存在进行审查,来纠正这些基于证书的威胁。具体而言,证书透明性具有三个主要目标:
使 CA 无法(或至少非常困难)为域颁发 SSL 证书,而该域的所有者看不到该证书;
提供一个开放的审核和监视系统,该系统可以让任何域所有者或 CA 确定证书是错误的还是恶意颁发的;
尽可能防止用户被错误或恶意颁发的证书所欺骗。
证书透明性项目有利有弊。通过证书透明性,可以检测由证书颁发机构错误颁发的 SSL 证书,可以识别恶意颁发证书的证书颁发机构。因为它是一个开放的公共框架,所以任何人都可以构建或访问驱动证书透明性的基本组件,CA 证书中包含了域名、子域名、邮箱等敏感信息,存在一定的安全风险。
利用证书透明性进行域名信息收集,一般使用 CT 日志搜索引擎进行域名信息收集,如在线网站:
https:///
https://transparencyreport.google.com/https/certificates
https://developershttp://www.360doc.com/content/22/0815/07/tools/ct/
本地工具:
ctfr:https://github.com/UnaPibaGeek/ctfr
OneForAll:https://github.com/shmilylty/OneForAll
DNS 服务器分为:主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库,需要使用 “DNS 域传送”。域传送是指备份服务器从主服务器拷贝数据,并用得到的数据更新自身数据库。
若 DNS 服务器配置不当,可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器。同时,黑客可以快速的判定出某个特定 zone 的所有主机,收集域信息,选择攻击目标,找出未使用的 IP 地址,绕过基于网络的访问控制。目前来看 'DNS 域传送漏洞' 已经很少了。
利用 nmap 漏洞检测脚本 进行检测
Linux dig 命令进行测试
最常用的就是 nmap
详细文档:https:///man/zh/
其次可能还会用到 masscan:https://github.com/robertdavidgraham/masscan
常用目录扫描工具如下:
dirsearch:https://github.com/maurosoria/dirsearch
dirmap:https://github.com/H4ckForJob/dirmap
御剑目录扫描:https://github.com/foryujian/yjdirscan
dirb:https://toolshttp://www.360doc.com/content/22/0815/07/web-applications/dirb
IP 代理池推荐:
ProxyPool:https://github.com/Python3WebSpider/ProxyPool
常见的指纹识别内容有 CMS 识别、框架识别、中间件识别、WAF 识别。CMS 识别一般利用不同的 CMS 特征来识别,常见的识别方式包括特定关键字识别、特定文件及路径识别、CMS 网站返回的响应头信息识别等。
服务版本识别、操作系统信息识别都可以利用 nmap 实现识别
识别 CMS 的目的在于,方便利用已公开漏洞进行渗透测试,甚至可以到对应 CMS 的官网下载对应版本的 CMS 进行本地白盒代码审计。
特定关键字识别
CMS 的首页文件、特定文件可能包含了 CMS 类型及版本信息,通过访问这些文件,将返回的网页信息(如 )与扫描工具数据库存储的指纹信息进行正则匹配,判断 CMS 的类型。
CMS 会有一些 JS、CSS、图片等静态文件,这些文件一般不会变化,可以利用这些特定文件的 MD5 值作为指纹信息来判断 CMS 的类型。
响应头信息识别
应用程序会在响应头 Server、X-Powered-By、Set-Cookie 等字段中返回 Banner 信息或者自定义的数据字段,通过响应头返回的信息,可以对应用进行识别,有些 WAF 设备也可以通过响应头信息进行识别判断。当然 Banner 信息并不一定是完全准确的,应用程序可以自定义自己的 Banner 信息。
whatweb:https://github.com/urbanadventurer/WhatWeb
wappalyzer:https://github.com/AliasIO/wappalyzer
Glass:https://github.com/s7ckTeam/Glass
还有两款只支持如 WordPress, Joomla, Drupal 的工具
CMSScan:https://github.com/ajinabraham/CMSScan
CMSmap:https://github.com/Dionach/CMSmap
云悉:https://wwwhttp://www.360doc.com/content/22/0815/07/
bugscaner 在线 cms 识别:http://whatwebhttp://www.360doc.com/content/22/0815/07/look/
在线 Google Hacking 利用:https://toolshttp://www.360doc.com/content/22/0815/07/googlehacking/
主要是对目标企业单位的关键员工、供应商和合作伙伴等相关信息进行收集。通过社工可以了解目标企业的人员组织结构,通过分析人员组织结构,能够判断关键人员并对其实施社会工程学鱼叉钓鱼攻击。收集到的相关信息还可以进行社工库查询或字典的制作,用于相关应用系统的暴力破解。
whois 是用来查询域名的 IP 及所有人等信息的传输协议。whois 的本质就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商),可以通过 whois 来实现对域名信息的查询。whois 查询可以通过命令行或网页在线查询工具。
whois 命令
爱站网 whois 查询:https://whois.aizhan.com/
社会工程学收集的信息有很多,包含网络 ID(现用和曾用)、真实姓名、手机号、电子邮箱、出生日期、身份证号、银行卡、支付宝账号、QQ 号、微信号、家庭地址、注册网站(贴吧、微博、人人网等)等信息。
在目标相关网页中可能会存在招聘信息、客服联系等,可以利用招聘或客服聊天的方式进行钓鱼、木马植入等。
搜集到相关的人员信息后可以制作社工字典,有如下在线或本地工具:
bugku 密码攻击器:https://wwwhttp://www.360doc.com/content/22/0815/07/mima/
白鹿社工字典生成器:https://github.com/z3r023/BaiLu-SED-Tool
除了制作社工字典进行暴破外,还可以用已知信息进行社工库查询,涉及敏感信息了,所以不给出链接,在 软件中充斥着大量免费或付费的社工查询。
- 1001EV晨报 | “宝宝巴士”极氪MIX今日上市;花旗预计比亚迪三季度盈利超百亿,11月销量有望突破50万辆
- 1002SD-WebUI插件推荐-提示词扩展
- 1003史上最全东丽碳纤维型号与参数
- 1004艾瑞银行营销报告:把握银行营销数字化底层需求,全面实现技术与业务的深度融合
- 1005清澈的爱 只为人民——大型话剧《张富清》恩施巡演侧记
- 1006抖音号实名认证怎么找回?抖音实名认证好处有哪些?
- 1007北京四日游最佳路线 北京4天时间怎么玩 北京四天三夜旅游攻略
- 1008哪些人需要粉妍片?玫琳凯怡日健粉妍片多少钱?成份作用有什么效果?2019年1月促销活动!
- 1009什么是淘宝关键词搜索规则?搞懂淘宝的搜索规则