渗透测试之信息收集(一)

域名收集

域名：（英语：Domain
Name),又称网域.是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的 名称 ，用于在数据传输时对计算机的定位标识（有时也指地理位置）。访问域名时通过DNS域名服务器进行与IP转换。

Whois查询

Whois：是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。

Whois查询方法（两种）

1. 使用web接口查询

   比如https://whois.aliyun.com/,http://whois.baidu.com/等。这里使用站长之家进行whois查询。

   下面查看baidu.com域名信息显示被屏蔽，可能百度讲whois屏蔽无法访问

   

   如下查询aliyun.com域名信息，查询结果如下图所示

   

   可以看到目标域名注册人的信息

   

2. 在kali linux上运行whois查询工具通过命令行来进行Whois域名进行查询.

   这里使用whois查询baidu.com的域名信息，如下图所示

   

ICP查询

网络内容服务商英文为 Internet Content Provider
简写为ICP，即向广大用户综合提供互联网信息业务和增值业务的电信运营商。其必须具备的证书即为ICP证。ICP证是指各地通信管理部门核发的《中华人民共和国电信与信息服务业务经营许可证》.icp备案对网站进行备案

ICP查询方法（使用web接口查询）

如下使用ICP备案查询网对baidu.com域名网站进行icp备案查询，显示许可证号，主办单位名称，网站名称和其网站所有子域名信息等

**子域名信息收集 **

子域名：在顶级域名前加后缀的都是该顶级域名的子域名

我国顶级域名为.cn，顶级域名的二级域名中类别域名有6个，.ac为科研机构，.com用于工商金融企业，.edu用于教育机构,.gov用于政府部门,.net用于互联网信息中心和运行中心，.org用于非营利组织

当主域名防御措施完善时，我们可以通过拿下其子域名来对一步一步进行渗透

子域名挖掘工具

MaltegoCE，wydomin，subDomainsBrute，dnsmaper,layer子域名挖掘机。（具体查看工具使用方法）

这里使用wydomin对baidu.com域名进行子域名挖掘，使用命令:

./dnsburte.py -d baidu.com -f dnspod.csv -obaidu.txt

使用字典对改域名进行爆破，及那个满足的域名保存在baidu.txt文件中

查看该文件，观察baidu.com下的子域名，其中包含了其子域名

也可以使用APL进行匹配查询，使用

./wydomain.py -d baidu.com -o baidu.log

命令对baidu.com域名进行进一步查询，更加有效的收集子域名信息

查看收集到的子域名信息保存在baidu1.log，如下图就显示出很多子域名，更加有效

搜索引擎挖掘

如在Google中输入site:sina.com挖掘sina.com的子域名，对搜索出来的网址点击查找，但比较花费时间，子域名如下：

第三方查询网站

<http://tool.chinaz.com/subdomain https://dnsdumpster.com/>

使用查询子域名工具查询子域名比较快捷方便，这里查询sina.com的相关子域名

证书透明公开日志枚举

<http://crt.sh/ http://censys.io/>

其他途径

http://phpinfo.me/domain http://dns.aizhan.com

web站点信息收集

CMS(content managementsystem内容管理系统)，用于网站内容管理内容的创作人员、编辑人员、发布人员使用内容管理系统来提交、修改、审批、发布内容。

CMS识别工具

常见CMS工具：dedecms(织梦) DIscuz Phpcms等

在线工具

http://whatweb.bugscaner.com/ https://www.yunsee.cn/

如识别织梦CMS，该工具将会显示该网站的CMS为dedecms

本地工具

whatweb 御剑web指纹识别程序 大禹CMS识别程序

CMS漏洞

(https://bugs.shuimugan.com)使用一些在线查询漏洞查询Cms漏洞相关厂商的情况

Wordpress（架设自己网站，当作cms来使用）

使用cms查询工具对其进行查询，查询出该cms的域名相关信息

端口信息收集

我们在windows命令窗口下输入netstat -anbo显示本机的所有端口情况，如下图

工具探测

nmap 输入nmap -A -v -T4探测

masscan -P端口  网段 –rate=10000

使用在线工具进行探测目标主机的端口开放

端口攻击

22  SSH远程连接      爆破,SSH隧道及内网代理转发。文件传输

23  Telnet远程连接     爆破、嗅探、弱口令

3389 rdp远程桌面      shift后门、爆破

5900 VNC远程连接     弱口令、RCE

5632 Pcanywhere远程连接  嗅探、代码执行

https://blog.csdn.net/zhalang8324/article/details/78904692

防御方法：

关闭不必要的端口

对服务端口设置防火墙

加强员工信息安全意识，经常更换用户密码

经常更新软件，补丁

敏感信息收集

Google hack语法：对特定网络主机漏洞进行搜索，方便查找

通过HTTP或者HTTPS与目标站点进行通信时，响应报文中的seber头和X-powered-by头会暴露目标服务器使用的编程语言，通过这些信息进行漏洞利用

获取HTTP响应的方法：

1.利用工具 如：浏览器审计工具、burpsuite等代理截断工具

2.编写python脚本  request库
  参考链接：[ttp://www.python-requests.org/en/master](http://www.python-    
  requests.org/en/master)

    Import requests

    R=requests.get(‘目标站点’)

    Print(r.headers)

GitHub

Gitthub是一个面向开源及私有软件项目的托管平台，因为只支持Git 作为唯一的版本库格式进行托管

存在安全隐患：

真实IP收集

CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。

判断CDN

多地ping

通过ping来判断是否存在CDN.(ping baidu.com )通过观察发现存在CDN

通过在线ping网站或者代理测试目标

探测结果，发现很多DNS，存在大量的边缘服务器

CDN绕过

搜索引擎

在shado网站中搜索webcam摄像头信息可以查看摄像头内容

使用搜索port:指定端口搜索主机，查看主机开放端口内容以及位置信息

Shado命令行：

打赏