avatar

目录
WEB安全回顾小记---信息搜集篇

WEB安全回顾小记—信息搜集篇

前言

​ 大家好啊,我是青花,这里呢很久没有碰网络安全技术了,随着考研的结束,也可以继续有时间去投入到这个行业中去了,但是从前的好多东西大概两年没有碰了吧,这里呢,我打算以标准的渗透测试流程来为期半个月左右的实践来回顾一下从前的知识命令。

​ 这里呢,我应用到了两个靶场,其实是两个虚拟机,这个我们大家应该都比较明白,这两个虚拟机大家都应该听说过,一个是 Metasploitable2还有一个是Owaspbwa(获取方式这里就不提了,百度先行),除此之外,我们还应用到了Kali linux以及一些大佬们的工具(虽然我不太赞成上来就用工具,因为工具不是万能的,至少我们应该了解工具原理有时间自己用Python等根据实际情况具体问题具体分析是最好的,毕竟只会用工具不懂原理不动脑子,就成了脚本小子了)。这些都能够帮助我们很好地学习,毕竟入门来说还是很棒的,没有授权乱去搞网站也不太好,容易出事。

​ 除此之外,不涉及域渗透内容,因为资源有限只有一个个人的PC机,当年在学校没有好好利用资源,学习域渗透的知识,这些也都是后面我们在商讨的问题了,接下来我们就来先从最基本的信息搜集说起吧!

​ 我用的书是一本偏实战的书,这本书很赞。

image-20210407221114801

但我文章我会尽量往入门写,我比较喜欢以通俗易懂的方式去表达一些概念原理,。入门书籍当时是看了三本书,两本国人的COS的web前端黑客技术揭秘还有一本道哥的白帽子讲web安全这些了解了基本的web原理,在深入看了一些专门讲sql注入还有xss的书,还有一本国外的具体名字不记得了,记得是一本蓝色的书。由于时间太久其中很多都忘记了,这里慢慢回忆一些。

1 为啥要信息搜集踩点以及搜集的一些渠道

​ 这里最先谈的当然是信息搜集,我国自古就有知己知彼,百战不殆的说法,当然在渗透测试web安全的战场也是如此。信息搜集是主要的,信息搜集能够帮助我们在后面更加方面的对系统进行攻击,以及查漏补缺。信息搜集其实可以分为被动信息搜索与主动信息搜索,其实区分这两个概念十分简单,被动搜索就是不直接接触对方系统去扫描啊,扫网段啊,这种,主动信息搜集就是我们主动上扫描器。

​ 首先聊一聊信息搜集的几个渠道,其实这门学问很有意思,其中还有很多是明令禁止的内容,诸如社会工程学这种,以及人肉等东西,这些都是违法的,还是希望大家不要乱用技术去做违法的事(注:本文只是针对只言片语来聊一聊,不做任何用途,任何做其他用途造成的后果由造成个人承担)。这些搜集渠道很广泛,我们可以通过whois查网站的信息,然后横向展开,也可以namp来扫描网站所在服务器所在端口服务系统等情况或者用御剑啥的爆目录以及子域名挖掘,也可以用傻蛋,以及zoomeye来找一找在其网段中的设备,当然天下没有不透风的墙,在我们搜集信息的过程中,总会或多或少的发现其中存在的一些问题,信息搜集阶段是至关重要的,毕竟我们在这个阶段可以对目标的资产做一个搜集,以及对于目标系统结构有一个大概的了解,然后通过这些信息构建下一步的计划。

​ 我们这里来简单的做一些简单的说明来看一看这些都能给我们带来什么

1.1 whois(基本的域名主体信息的搜罗)

​ 其实呢whois就是一个对于域名注册信息的信息库,我们在注册我们的域名的时候,我们常常会被要求提供一下个人的信息,比如说电话,邮箱这些东西,whois就是一个将这些信息集合起来的数据库,其实我觉得初衷可能是为了给大家抢注域名用的,叫大家看看这个域名有没有被注册啥的,这东西其实也有点坑,有一些厂商,我也就不提了,懂得都懂,在注册域名的时候,问你需不需要一个域名的保密服务,意思就是whois之后出不来你的个人信息,这种还需要另外收费的,其实我觉得保障用户隐私不是最基本的吗,这玩意居然还被单提令拿出来收钱,也是叫人笑笑。但是后来这也成了信息泄露的一个渠道,就像高校的各大QQ群里面或多或少会泄露一些信息。

​ 国内的whois给我的感觉信息是不全的,因为一些政策原因吗,很多都被屏蔽掉了,建议还是去国外的一些whois比较好一些,信息也比较全面。这里呢,我们用百度来做一个例子。

image-20210407225604843

国内最多就到这个状态了,我们看看国外,

image-20210407225904569

我们看会多出很多信息,而且很详细。

​ 其实吧,我觉得whois这些东西是比较敏感的,这些东西主要跟社会工程学结合紧密,通过对于一个站点个人信息的搜集有的时候可能会对我们的测试过程带来意想不到的结果。

1.2 ping(发觉服务器真实IP)

​ 说到这里,你可能大吃一惊。Ping?也能做信息搜集吗?这里我们不是说信息搜集,Ping命令当然在大多时候我们都是用来测试网络的连通性用的,但是这里我们可以协助利用找出来我们所要攻击的目标所在服务器的IP地址。这里你可能还会问,服务器IP还不好找,直接DNS一查不就出来了吗。当然你说的没错,但是我们可能找到的不是真正的服务器IP呢?那就是另外的一回事了。啥?服务器IP还能有假,当然,在今天CDN服务流行的今天,CDN不光能够提升用户的体验,还能够隐藏真实服务器的IP地址,带来一定的安全性。

​ 对于CDN服务,这里简单说一下,就是比如我们访问在美国的一个视频网站,这个网站呢,我们从我们中国大陆到美国,这要经历很长的链路,虽然网络传输速度快,但是传输过程中的不确定性,使得这个过程可能会很漫长,这就会极大地影响了用户的体验,这时候呢,就出现了一些厂商,跟这家公司说,我在日本有节点,我可以提供服务,请你把你的内容部署在我这里,我替你做一个节点,提供更快的速度帮助中国的用户,就这样,我们每次在此访问这个视频网站,该系统就会寻找离我们最近的一个CDN节点来使用其内容,比如此例,就会转向日本的节点,虽然距离也不短,但是会也大大的减少了传输距离,用户的体验无非是会提高的。

​ 基于以上CDN,就会导致我们访问的不是一个真实的服务器地址,常见的解决办法是利用多地Ping,来看看这个网站有没有挂CDN,如你所想如果他挂了CDN那我们在不同地点就会得到不同的服务器IP地址。

image-20210407231552643

我们看,单纯的在我国进行多地Ping baidu.com就会有很多不同的结果。

​ 这些IP有的可能一个IP开了许多WEB服务在不同的端口,这时候我们确认就可以用IP反差服务,这也是网络上基于域名备案信息的一个数据库,我们可以从中看一看一个IP上绑了多少域名。

1.3 zoomeye和shodan(找寻网段设备)

这两个我们常常叫钟馗之眼(我国知道创宇团队开发),以及国外的傻蛋。这两个都是搜索引擎,与常规的搜索引擎可不一样哦,这两个搜索引擎都是用来搜索在互联网中的设备的,比如说路由器交换机,以及摄像头一些设备的,我们可以输入一些特定的语法来搜索一些设备的信息。

image-20210407232707246

​ 诸如我们搜索开放ssh服务的主机。

image-20210407232739907

分别是zoomeye以及shodan给我们呈现的结果,这对于我们在得到了一个公司的网段之后,对其进行下一步的资产搜集以及攻击有着很强大的作用。对于这两个工具的使用,那就又是一门很大的学问了,都有专门的用户手册指南,后面如果有机会的话,我会专门写一篇博文来和大家一起学习一下,当然web安全是一门很大的学问,不可能有人是全才,我们只能选择一个领域深入研究,所以有的东西我们不能够完全了解,甚至很多都一知半解,抓住重点就好,如果你以后想从事信息情报搜集,那么强烈建议学习一下这两款强大的引擎。

1.4 御剑以及子域名挖掘(发觉网站服务器下敏感文件以及敏感内容以及对于子域名进一步资产搜集)

​ 御剑使我们经常会用到的一个工具,工具的原理跟简单,有时间我们也可以自己写一个,其原理是利用http协议的响应包状态码来判断是否存在该目录。如果是200就认为该目录存在,通过遍历所给的目录字典加在一个域名的后面循环判断。分别对于不同的网站的不同的后端类型就行不同的判断,php,jsp,asp都有不同的字典,说白了就是爆目录。利用head请求方式,可以使得性能更优。

image-20210407234237518

​ 比如说我们对于百度进行目录发现(注意在扫描过程中,线程不要开的太大,小网站会被扫崩,大网站可能会封你IP),我们发现在其下面有一个robots文件(这是给爬虫看的文件)。image-20210407234533296

这是它的内容,这个文件主要用来限定web爬虫可以爬取的范围。相似于御剑的工具,kali linux上还自带了Dirbuster,也是基于这个原理的目录扫描工具,我之前单独写了一篇文章来介绍这个工具的使用,传送门(KALI Dirbuster的使用)

​ 那这里我们思考一个事情,这个工具扫描的一定准确吗?

​ 回答是否定的,我说不一定,为啥呢,因为有的网站他配置的那个404不存在的页面,他不会直接报给你404在响应包里面,他会告诉你200然后返回一个页面内容是告诉你404。然后我们的工具探测出来了一看响应200就认为这个页面存在,就误报了,当然是工具肯定不会完美的应对吗,我们人的脑筋还是灵活的,当我们看到一大堆都是200的时候就应该考虑是不是有这个问题存在或者,我们可以制订一个程序的策略对搜集一个页面的内容做一个摘要如果都一样,我们就认为他是404了,这样也可以绕过这个限制。当然,这只是我的一种思路,但我觉得还是存在缺陷,后续如果有更好的想法也可以继续拓展。

​ 之后我们介绍一下对于子域名的搜集,对于域名的结构我们应该不陌生。

image-20210408000226693

比如这里,我们说出了域名结构,我通俗点来说就是对于,Baidu.com这个域名,根域名是.com,一级域名是baidu,对于百度我们下面可能有tieba.baidu.com,这个tieba就是baidu的子域名。那么子域名对于我们来说有什么意义呢,这里不得不提一下,我认为是很有必要的,有的时候,我们攻击一个系统的时候,主站攻不下来,可能一个服务器他开了WEB在一个服务器上面,如果在这个服务器上的其他网站有漏洞,那么这个网站也是不安全的,我们可以进行旁站攻击,先得到旁站的shell进而跨越目录攻击主站。子域名有的时候也会出现这种情况,虽然对于目前而言这种情况不多见,因为处于安全考虑,很多公司是不会这样做的,在一个服务器上开许多web服务。但是对于我们的资产搜集也是很有用的。子域名的发现工具同理于目录扫描,不过是加在域名的前面进行扫描遍历。而且要设置多层循环向下遍历。

这里我放一个工具的演示图

image-20210408001143441

1.5 nmap(扫描神器端口扫描以及服务信息搜集)

​ 但凡接触过Linux系统或者网络运维的朋友肯定会知道Nmap这款神器,这款工具的受欢迎程度以及强大被众多网络从业者喜爱。我们可以通过nmap对于我们想要的目标IP进行扫描获得其开放的端口服务,以及系统类型等信息。这对于我们下一步进行漏洞利用至关重要。

​ 这里我们拿Metasploitable2来做练习,这个虚拟机预设了许多常见的漏洞,这里我们做安全测试以及踩点用。我这里用Nmap对于该主机进行一个简单的端口扫描

这里我用的是windows上的带GUI(图形界面的),我们用命令行也可以得到一样的结果

image-20210408111403704

发现目标主机开放很多端口 80 http 3306Mysql等等

关于nmap的具体应用我之前写过一个系列的文章来讲述(传送门)

Kali nmap的使用上

Kali nmap的使用中

Kali nmap的使用下

1.6 其他信息搜集工具

​ 当然,在这里我们要说还有很多其他的信息来源渠道,信息搜集也不止于以上的一些工具方法,以及很棒的信息搜集工具这些我们都能在kali上面找到,当然很多需要梯子去国外的网络搜集信息。诸如利用traceroute进行路由探测,dig进行DNS探测,也可以在进入内网之后利用arping来进行主机存活探测等等。waf00f等进行war探测。后面我会继续更新Kali工具系列来进行更加深一步的探究。

总结

​ 通过简单地复习,回顾了一些进行web渗透学习的一些基本要熟知的简单工具,当然市面上信息搜集工具很多,有许多已经自成一派,并且有着不错的社区环境,想要成为信息搜集的专家,也要经过长时间的训练,学习了以上的这些工具是远远不够用的,情报搜集工作也是一门很大的学问,想要学好,还需要经验的积累以及日后个人的深入探究。

文章作者: 青花@Blue_And_White
文章链接: https://www.evil-qinghua.me/2021/04/07/WEB安全回顾小记---信息搜集篇/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 青花@Blue_And_White
打赏
  • 微信
    微信
  • 支付寶
    支付寶

评论