<p>这篇文章是21年中旬记录的，平安夜p牛的直播中也谈到，对于渗透测试来说最好有一个checklist，为了避免忘记测试某一部分的内容而错过一些重要信息，同时有了checklist也容易利用自己喜欢的语言实现自动化，突然想起了这篇信息搜集相关的文章所以就分享出来。</p><p>为了保证网络的稳定和快速传输，网站服务商会在网络的不同位置设置节点服务器，通过CDN（Content Delivery Network，内容分发网络）技术，将网络请求分发到最优的节点服务器上面。如果网站开启了CDN加速，就无法通过网站的域名信息获取真实的IP，要对目标的IP资源进行收集，就要绕过CDN查询到其真实的IP信息。</p><p>在对目标IP信息收集之前，首先要判断目标网站是否开启了CDN，一般通过不同地方的主机ping域名和nslookup域名解析两种方法，通过查看返回的IP是否是多个的方式来判断网站是否开启了CDN，如果返回的IP信息是多个不同的IP，那就有可能使用了CDN技术。</p><h4><strong>使用ping域名判断是否有CDN</strong></h4><p>直接使用ping域名查看回显地址来进行判断，如下回显，很明显使用了cdn技术。</p><p><img src="https://img.nsg.cn/xxl/2022/03/4120e08c-4166-4c7a-aac6-22f34998afe3.png"></p><h4><strong>使用不同主机ping域名判断是否有CDN</strong></h4><p>如果自己在多地都有主机可以ping域名，就可以根据返回的IP信息进行判断。互联网有很多公开的服务可以进行多地ping来判断是否开启了CDN，比如以下几个：</p><p><img src="https://img.nsg.cn/xxl/2022/03/bb57259a-c88b-4eaa-a80b-731c20d8c2ef.png"></p><p>可以发现对的全球ping测试，有、这两个不同的解析IP，说明可能使用了CDN。</p><h4><strong>使用nslookup域名解析判断是否有CDN</strong></h4><p>通过系统自带的命令对域名解析，发现其中的字段直接指向，毫无疑问使用了CDN技术。</p><p><img src="https://img.nsg.cn/xxl/2022/03/a6f4fa76-1676-41fe-bf71-7d54f3126be3.png"></p><p>又比如，其中字段也是指向两个不同IP，即可能使用了CDN。</p><p><img src="https://img.nsg.cn/xxl/2022/03/b457c5ea-973c-4580-a86a-7bca04b47c40.png"></p><h4><strong>查询子域名</strong></h4><p>由于CDN加速需要支付一定的费用，很多网站只对主站做了CDN加速，子域名没有做CDN加速，子域名可能跟主站在同一个服务器或者同一个C段网络中，可以通过子域名探测的方式，收集目标的子域名信息，通过查询子域名的IP信息来辅助判断主站的真实IP信息。</p><h4><strong>查询历史DNS记录</strong></h4><p>通过查询DNS与IP绑定的历史记录就有可能发现之前的真实IP信息，常用的第三方服务网站有：</p><h4><strong>使用国外主机请求域名</strong></h4><p>部分国内的CDN加速服务商只对国内的线路做了CDN加速，但是国外的线路没有做加速，这样就可以通过国外的主机来探测真实的IP信息。</p><p>探测的方式也有两种，可以利用已有的国外主机直接进行探测；如果没有国外主机，可以利用公开的多地ping服务（多地ping服务有国外的探测节点），可以利用国外的探测节点返回的信息来判断真实的IP信息。</p><h4><strong>网站信息泄露漏洞</strong></h4><p>利用网站存在的漏洞和信息泄露的敏感信息、文件（如：phpinfo文件、网站源码文件、Github泄露的信息等）获取真实的IP信息。</p><p>phpinfo页面中有一个字段会显示该主机真实IP。</p><h4><strong>邮件信息</strong></h4><p>一般的邮件系统都在内部，没有经过CDN的解析，通过利用目标网站的邮箱注册、找回密码或者RSS订阅等功能，接收到发来的邮件后，查看邮件源码就可以获得目标的真实IP。</p><p><img src="https://img.nsg.cn/xxl/2022/03/03d7cad7-35ca-422d-9fd8-d06d4bd6cf72.png"></p><h4><strong>目标网站APP应用</strong></h4><p>如果目标网站有自己的App，可以尝试利用Burp Suite等流量抓包工具抓取App的请求，从里面可能会找到目标的真实IP。</p><p>旁站是与攻击目标在同一服务器上的不同网站，获取到目标真实IP的情况下，在攻击目标没有可利用漏洞的情况下，可以通过查找旁站的漏洞攻击旁站，然后再通过提权拿到服务器的最高权限，拿到服务器的最高权限后攻击目标也就拿下了。</p><p>旁站信息收集也称为IP反查，主要有以下方式：</p><p>使用命令</p><p>对目标IP进行全端口扫描，确保每个可能开放的端口服务都能识别到。</p><p>旁站信息可以通过第三方服务进行收集，比如在线网站与搜索引擎等。以下是几个在线搜集网站：</p><p>也可以利用搜索引擎语法来实现查询：</p><p>bing</p><p>fofa</p><p>C段主机是指与目标服务器在同一C段网络的服务器。攻击目标的C段存活主机是信息收集的重要步骤，很多企业的内部服务器可能都会在一个C段网络中。在很难找到攻击目标服务器互联网漏洞的情况下，可以通过攻击C段主机，获取对C段主机的控制权，进入企业内网，在企业的内网安全隔离及安全防护不如互联网防护健全的情况下，可以通过C段的主机进行内网渗透，这样就可以绕过互联网的防护，对目标进行攻击。但是这种攻击方式容易打偏。</p><p>使用命令，对目标IP的C段主机进行存活扫描，根据扫描的结果可以判断目标IP的C段还有哪些主机存活。</p><p>这个命令在实际工作中的使用很多，该命令不通过ICMP协议进行主机存活判断，会直接对端口进行扫描。这样在开启了防火墙禁Ping的情况下，也可以利用这个命令正常扫描目标是否存活及对外开启的相关服务。</p><p>Google</p><p>子域名是父域名的下一级，比如和这两个域名是的子域名。一般企业对于主站域名的应用的防护措施比较健全，不管是应用本身的漏洞发现、漏洞修复，还是安全设备相关的防护都做得更加及时和到位，而企业可能有多个、几十个甚至更多的子域名应用，因为子域名数量多，企业子域名应用的防护可能会没有主站及时。攻击者在主站域名找不到突破口时，就可以进行子域名的信息收集，然后通过子域名的漏洞进行迂回攻击。子域名信息收集主要包含枚举发现子域名、搜索引擎发现子域名、第三方聚合服务发现子域名、证书透明性信息发现子域名、DNS域传送发现子域名等方式。</p><p>子域名收集可以通过枚举的方式对子域名进行收集，枚举需要一个好的字典，制作字典时会将常见子域名的名字放到字段里面，增加枚举的成功率。子域名暴力激活成功教程常用的工具以下：</p><p>使用搜索引擎语法，如</p><p>Google或者百度等</p><p>第三方聚合平台 Netcraft、Virustotal、ThreatCrowd、DNSdumpster 和 ReverseDNS 等获取子域信息。</p><p>证书透明性（Certificate Transparency，CT）是Google的公开项目，通过让域所有者、CA和域用户对SSL证书的发行和存在进行审查，来纠正这些基于证书的威胁。具体而言，证书透明性具有三个主要目标：</p><p>证书透明性项目有利有弊。通过证书透明性，可以检测由证书颁发机构错误颁发的SSL证书，可以识别恶意颁发证书的证书颁发机构。因为它是一个开放的公共框架，所以任何人都可以构建或访问驱动证书透明性的基本组件，CA证书中包含了域名、子域名、邮箱等敏感信息，存在一定的安全风险。</p><p>利用证书透明性进行域名信息收集，一般使用CT日志搜索引擎进行域名信息收集，如在线网站：</p><p>本地工具：</p><p>DNS服务器分为：主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库，需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。</p><p>若DNS服务器配置不当，可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。同时，黑客可以快速的判定出某个特定zone的所有主机，收集域信息，选择攻击目标，找出未使用的IP地址，绕过基于网络的访问控制。目前来看"DNS域传送漏洞"已经很少了。</p><p>利用nmap漏洞检测脚本进行检测</p><p><strong>7.端口扫描</strong></p><p>最常用的就是nmap</p><p>其次可能还会用到masscan：</p><p>常见端口及对应服务表：</p><p><img src="https://img.nsg.cn/xxl/2022/03/79abc8e8-6781-4524-84fa-50887f4e2e49.png"></p><p>在信息搜集中，目录扫描是一个很重要的步骤，可以帮助我们获得如网站的测试页面、后台地址、常见第三方高危组件路径等。但是目前多数网站都有云waf、主机防护等，对于频繁访问的IP会封禁处理。对于云waf，找到网站真实IP是很关键的，其余的情况基本都可以修改开源工具代码利用IP代理池或控制访问频率的方式进行探测。</p><p>常用目录扫描工具如下：</p><p>IP代理池推荐：</p><p>常见的指纹识别内容有CMS识别、框架识别、中间件识别、WAF识别。CMS识别一般利用不同的CMS特征来识别，常见的识别方式包括特定关键字识别、特定文件及路径识别、CMS网站返回的响应头信息识别等。</p><p>服务版本识别、操作系统信息识别都可以利用nmap实现识别</p><p>识别CMS的目的在于，方便利用已公开漏洞进行渗透测试，甚至可以到对应CMS的官网下载对应版本的CMS进行本地白盒代码审计。</p><h4><strong>特定关键字识别</strong></h4><p>CMS的首页文件、特定文件可能包含了CMS类型及版本信息，通过访问这些文件，将返回的网页信息（如）与扫描工具数据库存储的指纹信息进行正则匹配，判断CMS的类型。</p><p>也可能前端源码中或meta标签中的content字段存在一些CMS特征信息，下图很明显能得知是WordPress框架。</p><p><img src="https://img.nsg.cn/xxl/2022/03/6684f02f-64bc-4e15-8844-77adaa7e3c3d.png"></p><h4><strong>特定文件及路径识别</strong></h4><p>不同的CMS会有不同的网站结构及文件名称，可以通过特定文件及路径识别CMS。如WordPress会有特定的文件路径、等，有些CMS的文件也可能包含了CMS特定的文件路径，与扫描工具数据库存储的指纹信息进行正则匹配，判断CMS的类型。</p><p>CMS会有一些JS、CSS、图片等静态文件，这些文件一般不会变化，可以利用这些特定文件的MD5值作为指纹信息来判断CMS的类型。</p><h4><strong>响应头信息识别</strong></h4><p>应用程序会在响应头Server、X-Powered-By、Set-Cookie等字段中返回Banner信息或者自定义的数据字段，通过响应头返回的信息，可以对应用进行识别，有些WAF设备也可以通过响应头信息进行识别判断。当然Banner信息并不一定是完全准确的，应用程序可以自定义自己的Banner信息。</p><p>例如Shiro的响应头信息中包含字段：</p><p><img src="https://img.nsg.cn/xxl/2022/03/-aebb-4ad6-a6c0-c28b76efe6ef.png"></p><h4><strong>指纹识别工具</strong></h4><p>指纹识别常用的工具如下：</p><p>还有两款只支持如WordPress, Joomla, Drupal的工具</p><p>主要是对目标企业单位的关键员工、供应商和合作伙伴等相关信息进行收集。通过社工可以了解目标企业的人员组织结构，通过分析人员组织结构，能够判断关键人员并对其实施社会工程学鱼叉钓鱼攻击。收集到的相关信息还可以进行社工库查询或字典的制作，用于相关应用系统的暴力激活成功教程。</p><p>whois是用来查询域名的IP及所有人等信息的传输协议。whois的本质就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商），可以通过whois来实现对域名信息的查询。whois查询可以通过命令行或网页在线查询工具。</p><h4>whois命令</h4><p><img src="https://img.nsg.cn/xxl/2022/03/4c60fba3-7371-438d-879d-14ab133af53a.png"></p><h4>在线工具</h4><p>社会工程学收集的信息有很多，包含网络ID（现用和曾用）、真实姓名、手机号、电子邮箱、出生日期、身份证号、银行卡、支付宝账号、号、微信号、家庭地址、注册网站（贴吧、微博、人人网等）等信息。</p><p>在目标相关网页中可能会存在招聘信息、客服联系等，可以利用招聘或客服聊天的方式进行钓鱼、木马植入等。</p><p>搜集到相关的人员信息后可以制作社工字典，有如下在线或本地工具：</p><p>除了制作社工字典进行暴破外，还可以用已知信息进行社工库查询，涉及敏感信息了，所以不给出链接，在软件中充斥着大量免费或付费的社工查询。</p><p><strong>最后</strong></p><p>补充一个网址：<strong style="color: rgb(255, 104, 39);">https://gitbook.se7ensec.cn/</strong></p><p>信息收集在线工具集合网站</p><p><img src="https://img.nsg.cn/xxl/2022/03/d79febbe-05d2-4909-9416-37a98804c11d.png"></p> 

讯享网 <p style="text-indent:2em;margin-bottom:0"> 网盾安全培训依托本行业专家资源，严选师资，讲师均拥有8-15年以上网络安全领域的项目实战经验和教学经验，熟知最新业内系统安隐患、软件安全产业技术的发展趋势以及人才需求特点，能准确把握弥补企业用人需求和学员能力之间的差距，并提供针对性的教育及培方案。 </p> 

讯享网

培训课程紧跟互联网安全技术发展与企业实际用人需求，脱离传纺的认证体系，以实践为主，打破传统的教育模式。为学员提供充分的ID实战靶场资源，使学员深入接触网络、系统和应用层安全基础、漏洞分析、安全测试、渗透测试，掌握网络安全分析及解决方案网盾自主研发出一套严格科学的教学考核体系，确保学员对每一个知识点的掌握保证教学质量，使每个毕业学员都能符合企业的用人需使每一求，真正实现以应用为主的办学理念。

☆ 培训课程位居行业前沿 ☆ 讲师认真负责 ☆ 学习环境优雅 ☆ 多家企业合作共同教学

 </p> <blockquote> </blockquote>