1. 信息收集類

1.1. 信息收集和代理服務(wù)器

1. 信息收集
黑客的第一步要做的事情永遠(yuǎn)是信息收集 同樣滲透也是 什么是信息收集？
信息收集是最具有靈魂的一步，通常拿到滲透測(cè)試站，需要對(duì)該站進(jìn)行信息收集，只有收集到了足夠多的信息后，對(duì)方暴露出來的問題越多，信息越多，攻擊的面也越廣。知己知彼百戰(zhàn)百勝。

2. 應(yīng)該收集什么樣的信息？
我們要收集相關(guān)域名的信息，比如域名注冊(cè)人，聯(lián)系方式，郵箱，子域名，c段，旁站等；以及目標(biāo)服務(wù)器的相關(guān)信息：版本，內(nèi)核，它使用的是什么中間件，使用的什么數(shù)據(jù)庫，開放了哪些端口和服務(wù)，我們還需要收集目標(biāo)是什么樣的一個(gè)CMS系統(tǒng)，或者使用什么樣的框架，因?yàn)椴煌腃MS系統(tǒng)、框架都存在著已知的漏洞，利用漏洞進(jìn)行滲透攻擊

我們還需要找到目標(biāo)網(wǎng)站的后臺(tái)，找到它的一些敏感目錄和文件，方便滲透

代理服務(wù)器：經(jīng)常會(huì)使用代理服務(wù)器去滲透，也經(jīng)常使用代理服務(wù)器來訪問一些國(guó)內(nèi)訪問不了的網(wǎng)站，設(shè)置代理服務(wù)器，讓瀏覽器的請(qǐng)求發(fā)送至代理服務(wù)器，再由代理服務(wù)器發(fā)送至目標(biāo)服務(wù)器，是作為訪問的媒介，可以隱藏真實(shí)的IP地址，也可以去訪問谷歌的搜索引擎。
如何使用代理服務(wù)器？ 已經(jīng)安裝可以使用

1.2. 谷歌瀏覽器插件收集信息

1. 插件能干什么？ 收集信息，方便某些功能的使用
Wappalyzer插件 收集網(wǎng)站的信息，比如編程語言、代理、js庫、web服務(wù)器等。

2. Modheadr 插件 這款插件能幫我們自定義請(qǐng)求頭
Xff 代表的是客戶端最原始的IP，可以用xff頭來偽造客戶端的IP ，在一些限制了登錄IP的場(chǎng)景便可以運(yùn)用到。
Referer 代表的是http請(qǐng)求中的referer信息，當(dāng)瀏覽器向web服務(wù)器發(fā)送請(qǐng)求的時(shí)候，一般會(huì)帶上referer 告訴該網(wǎng)頁是從哪個(gè)頁面鏈接過來的，服務(wù)器因此可以獲得一些信息用于處理。

3. 谷歌hacking語法
語法1 ： 批量尋找網(wǎng)站后臺(tái)

Inurl：login #指定url中含有關(guān)鍵詞的網(wǎng)頁 Intext：后臺(tái)登錄 #指定返回正文中含有關(guān)鍵詞的網(wǎng)頁
Intitle：后臺(tái)管理 #指定返回網(wǎng)頁標(biāo)題含有關(guān)鍵詞的網(wǎng)頁
找到后臺(tái)后可以配置一些弱口令，SQL注入，xss，爆破等手段實(shí)現(xiàn)對(duì)網(wǎng)站的滲透

語法2: ： 指定網(wǎng)站尋找后臺(tái)site：指定網(wǎng)站 + 前面所講的語法

Site：www.xxx.com inurl:login Site：www.xxx.com intext:后臺(tái)登錄
Site：www.xxx.com intitle:網(wǎng)站管理系統(tǒng)
可以通過該語法指定滲透測(cè)試網(wǎng)站，再去通過更換后面的關(guān)鍵語法以及關(guān)鍵詞來去嘗試找到對(duì)方網(wǎng)站的后臺(tái)

語法3 ：指定返回文件的類型

Filetype:xls #指定文件類型搜索
Filetype:pdf
Site:usst.deu.cn filetype:xls 我們可以通過這條語法去找到一些xls文件，或者pdf文件，或者你想找到的一些文件。這個(gè)語法適用于一些場(chǎng)景，在滲透中我們有時(shí)候需要指定站的某些信息比如說身份證、學(xué)號(hào)、ID等我們便可以通過語法去快速的去收集信息。

語法4 ：批量尋找遍歷漏洞

Intext:index of /
Intext:index of /admin

語法5 ：批量phpmyadmin入口

Inurl:/phpMyAdmin/index.php

語法6 ： 批量尋找可能存在注入漏洞的網(wǎng)站，可以配合site 指定網(wǎng)站

Inurl:.php?id=

語法7 ： 批量尋找敏感文件

Site:*.tw inurl:/phpinfo.php 表示查找所有的.tw域名的 phpinfo 頁面敏感文件

1.3. FOFA資產(chǎn)收集

FOFA是一筐網(wǎng)絡(luò)空間安全搜索引擎，區(qū)別去百度，谷歌，在FOFA中收錄得全是設(shè)備而不是網(wǎng)頁。利用它，能夠探索全球互聯(lián)網(wǎng)資產(chǎn)信息，進(jìn)行資產(chǎn)以及漏洞影響范圍分析。

FOFA 搜索語法 語法不變，根據(jù)實(shí)際情況更改關(guān)鍵詞

（1） Ip=”1.1.1.1” 搜索IP為1.1.1.1的資產(chǎn) Port=”445” 搜索開放445端口的資產(chǎn)
（2）Domain=”qq.com” 搜索根域名為qq.com的資產(chǎn) City=”Hangzhou”&&port=”8009”
（3）搜索杭州開放8009端口的資產(chǎn) App=”phpmyadmin” 搜索開放phpmyadmin服務(wù)的資產(chǎn)
（4）Server=”Microsoft-IIS/7.5” 搜索IIS 7.5服務(wù)器 FOFapi
（5）FOFA搜索引擎提供了api接口，能夠快速調(diào)用api接口去查詢，導(dǎo)出資產(chǎn)

1.4. 域名相關(guān)信息收集

1、 域名相關(guān)信息收集

站長(zhǎng)之家網(wǎng)站 https://whois.chinaz.com/ 可查詢
Whois協(xié)議 whois是一個(gè)標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議，可用來收集網(wǎng)絡(luò)注冊(cè)信息，注冊(cè)域名，IP地址等信息。我們經(jīng)常使用whois來收集目標(biāo)域名相關(guān)信息

1. 郵箱反查
   可以通過網(wǎng)站注冊(cè)郵箱來去反復(fù)這個(gè)郵箱注冊(cè)過哪些網(wǎng)站，從而快速的搜集目標(biāo)資產(chǎn)

2. 注冊(cè)人反查 可以通過網(wǎng)站的注冊(cè)人來反查他注冊(cè)過哪些網(wǎng)站，從而快速的收集資產(chǎn)

3. 電話反查 可以通過對(duì)方電話來反查他注冊(cè)過哪些網(wǎng)站，從而快速的收集資產(chǎn)

2、 子域名

假設(shè)目標(biāo)網(wǎng)站為www.xxx.com 那么它的子域名有可能為：sys.xxx.com mail.xxx.com
ftp.xxx.com等。收集子域名，也是為了擴(kuò)大我們的攻擊面，子域名可能跟主域名在同一臺(tái)服務(wù)器，如果子域名存在安全漏洞，可以從子域名滲透服務(wù)器
收集子域名 https://phpinfo.me/domain/ 可以利用該網(wǎng)站在線查詢子域名

3、 旁站、c段 查詢手段- https://webscan.cc/

旁站的意思就是從同臺(tái)服務(wù)器上的其他網(wǎng)站入手，比如說子域名和主域名在同一個(gè)網(wǎng)站，那么我們可以從它子域名入手，提權(quán)，然后把服務(wù)器端了，就自然把這個(gè)網(wǎng)站端了。C段嗅探，每個(gè)IP有ABCD四個(gè)段，c段嗅探的意思就是拿下它同一c段中的其中一臺(tái)服務(wù)器，也就是說是D段1-255中的一臺(tái)服務(wù)器。

1.5. 敏感文件的掃描

1. 敏感文件掃描

掃描目標(biāo)網(wǎng)站敏感文件也是信息收集的重要一步，如果能找到源碼泄露，我們可以進(jìn)一步配合代碼審計(jì)工具來去尋找漏洞。常見的源碼泄露有.git
.svn rar 等

2. Dirsearch 腳本介紹

我們可以利用該腳本來掃描對(duì)方網(wǎng)站是否存在敏感文件/目錄的泄露。這個(gè)腳本是要python語言寫的，可以直接在kali上運(yùn)行kali默認(rèn)安裝python2、

3. python3的環(huán)境

使用方式：python3 dirsearch.py -u 目標(biāo)網(wǎng)站 -e*（需要python3環(huán)境）*表示所有后綴
可以掃描出目標(biāo)網(wǎng)站的.git 源碼 然后可以利用Githack腳本去利用掃描出的.git源碼拖取下來 Githack腳本
Githack腳本是.git源碼泄露的利用腳本。利用該腳本，我們能夠?qū)⒕W(wǎng)站源碼拖取下來。 使用方式： python Githack.py +
目標(biāo)網(wǎng)址/.git/（需要python2環(huán)境）

1.6. 網(wǎng)站后臺(tái)尋找

網(wǎng)站后臺(tái)管理系統(tǒng)：主要是用于對(duì)網(wǎng)站前臺(tái)的信息管理，如文字、圖片、影音、和其他日常使用文件的發(fā)布、更新、刪除等操作，同時(shí)也包括會(huì)員信息、訂單信息、訪客信息的統(tǒng)計(jì)和管理。簡(jiǎn)單來說就是對(duì)網(wǎng)站數(shù)據(jù)庫和文件的快速操作和管理系統(tǒng)，以使得前臺(tái)內(nèi)容能夠及時(shí)更新和調(diào)整。所以后臺(tái)頁面一般不容易發(fā)現(xiàn)，需要通過特定的方式找到。

1. 網(wǎng)站后臺(tái)尋找方式

方式1：通過robot.txt文件尋找

rebot.txt文件是用來限制一些爬蟲爬取目錄的文件，可以向這個(gè)文件中寫入規(guī)則讓爬蟲無法獲取。這個(gè)文件百分之九十的網(wǎng)站都會(huì)存在。如果這個(gè)文件中有限制網(wǎng)站后臺(tái)的爬取，我們可以通過它限制的目錄來知道網(wǎng)站后臺(tái)的路徑。
例如 www.baidu.com/rebot.txt

方式2：谷歌語法查找后臺(tái) 具體查看前文

方式3：查看網(wǎng)站底部管理入口

我們可以查看網(wǎng)站頁面底部和網(wǎng)站版權(quán)信息，看看會(huì)不會(huì)有網(wǎng)站后臺(tái)入口和版權(quán)網(wǎng)站信息，如果有網(wǎng)站后臺(tái)入口，我們便可以直接找到后臺(tái)

方式4：請(qǐng)求一些不存在的錯(cuò)誤路徑 網(wǎng)站路徑后接自定義路徑有可能爆出一
些網(wǎng)站路徑，從而進(jìn)一步找后臺(tái)。

方式5：在線網(wǎng)站指紋識(shí)別 通過在線網(wǎng)站識(shí)別目標(biāo)CMS指紋，進(jìn)一步找目標(biāo)的后臺(tái) www.bugscaner.com 在線CMS指紋識(shí)別

方式6：猜解常見后臺(tái)路徑 嘗試在主站后方跟上一些常見路徑

比如admin、login、system、admin/login、admin_login等進(jìn)行嘗試找到后臺(tái)

方式7： 字典爆破后臺(tái)路徑 比較實(shí)用

通過御劍/dirsearch等工具來去掃描目標(biāo)后臺(tái) 御劍工具可以網(wǎng)上下載

方式8：目標(biāo)子域名尋找

有的網(wǎng)站后臺(tái)可能是在子域名上面，所以不要忘記子域名的尋找

方式9：通過xss x后臺(tái) 會(huì)在xss章節(jié)做講解

1.7. 網(wǎng)頁JS文件信息收集

1. JS文件介紹
現(xiàn)在網(wǎng)頁一般都會(huì)使用javascript實(shí)現(xiàn)頁面的動(dòng)態(tài)效果，甚至用ajax實(shí)現(xiàn)異步通信效果。F12再點(diǎn)擊network可以查看網(wǎng)頁的js文件，在網(wǎng)頁的js文件中，有的js文件是框架自帶的，比如說vue框架自帶的js文件，而有的是網(wǎng)站后期開發(fā)的。對(duì)于這些js文件，我們還可以利用腳本來爬取js文件中的一些接口，然后再對(duì)這些接口去做檢測(cè)，這無疑也擴(kuò)大了我們的攻擊面。我們可以經(jīng)常從js文件里面來發(fā)現(xiàn)一些敏感的接口，以及敏感接口里面相關(guān)的漏洞。

2. Js文件敏感接口爬取腳本JSFinder
我們能夠通過JSfinder腳本去爬取網(wǎng)站js文件中的一些接口。這個(gè)腳本同樣也是使用python語言寫的，我們將腳本上傳至kali使用。

使用方式1 ： 簡(jiǎn)單爬取 python3 JSFinder.py -u https://examle.com (python3環(huán)境)

使用方式2: ：深度爬取 Python3 JSFinder.py -u https://example.com -d -ou
xx_url.txt -os xx_domain.txt(python3 環(huán)境)

使用-d 參數(shù)進(jìn)行深度爬取獲得更多內(nèi)容，并使用命令 -ou 來指定url 所保存的文件名，-os來指定子域名所保存的文件名。

1.8. CDN繞過尋找真實(shí)IP

CDN，即內(nèi)容分發(fā)網(wǎng)絡(luò)，主要解決因傳輸距離和不同運(yùn)營(yíng)商節(jié)點(diǎn)造成的網(wǎng)絡(luò)速度性能低下的問題。說的簡(jiǎn)單點(diǎn)，就是一組在不同運(yùn)營(yíng)商之間的對(duì)接節(jié)點(diǎn)上的高速緩存服務(wù)器，把用戶經(jīng)常訪問的靜態(tài)數(shù)據(jù)資源（例如css，html）直接緩存在cdn服務(wù)器上，當(dāng)用戶再次請(qǐng)求時(shí)，會(huì)直接分發(fā)到在離用戶近的節(jié)點(diǎn)服務(wù)器上響應(yīng)給用戶，當(dāng)用戶有實(shí)際數(shù)據(jù)交互時(shí)，才會(huì)從遠(yuǎn)程web服務(wù)器上響應(yīng)。所以如果說滲透的這個(gè)目標(biāo)網(wǎng)站購買了CDN服務(wù)，那么我們可以直接ping它的目標(biāo)域名，那么此時(shí)得到的并非是真正的這個(gè)目標(biāo)WEB服務(wù)器的IP地址，很有可能只是離我們最近的一臺(tái)CDN服務(wù)器，所以CDN服務(wù)器有時(shí)候還可以去抵抗這樣的一個(gè)DDOS,CC的攻擊。我們的一些請(qǐng)求，請(qǐng)求到一些靜態(tài)資源，我們就會(huì)請(qǐng)求到CDN上面去，那么會(huì)有一些真正交互的一些請(qǐng)求的時(shí)候呢，才會(huì)請(qǐng)求到真實(shí)的服務(wù)器上面去。CDN服務(wù)器在很大程度上緩解了我們這樣一個(gè)用戶發(fā)起請(qǐng)求的一個(gè)訪問請(qǐng)求的。
那么對(duì)于目標(biāo)使用的CDN，我們?cè)撛趺慈ふ夷繕?biāo)的這個(gè)真實(shí)IP呢？

1、判斷目標(biāo)是否使用CDN

（1）直接ping域名 如果不是IP地址 出現(xiàn)cdn域名表示目標(biāo)使用了cdn
（2）在線網(wǎng)站 https://www.17ce.com/site 對(duì)比ping出的結(jié)果，查看這些IP是否一致，如果都一樣，即有可能不存在CDN。如果IP很多，則大概率存在CDN.

2、繞過CDN尋找真實(shí)IP的方法

（1）掃描子域名尋找真實(shí)IP 因?yàn)榭赡苣繕?biāo)主站使用了CDN，而子域名沒有使用CDN加速所以說我們從而判斷掃出來的這個(gè)結(jié)果的規(guī)律來尋找真實(shí)服務(wù)器的IP地址
（2）國(guó)外網(wǎng)站多地ping 因?yàn)槟繕?biāo)CDN可能只對(duì)國(guó)內(nèi)去做了這樣一個(gè)加速，沒有對(duì)國(guó)外去做，所以可以從國(guó)外網(wǎng)站去多地的發(fā)起這樣的一個(gè)請(qǐng)求來去尋找它IP的規(guī)律
（3）進(jìn)入網(wǎng)站 https://asm.ca.com/ 需要使用代理服務(wù)器 點(diǎn)擊tools 然后點(diǎn)擊ping 輸入目標(biāo)域名 點(diǎn)擊start開始測(cè)試
（4） 查詢歷史域名解析記錄
https://www.netcraft.com/ （國(guó)外網(wǎng)站）
https://x.threatbook.cn/ （國(guó)內(nèi)網(wǎng)站）
因?yàn)闅v史域名它可能沒有做CDN。從而我們就可以找到真實(shí)的IP
（5）通過phpinfo信息泄露尋找真實(shí)IP，phpinfo的server_addr記錄了服務(wù)器的真實(shí)IP

1.9. 工具型站點(diǎn)使用

在滲透中，我們也會(huì)經(jīng)常使用到一些工具型的網(wǎng)站來去收集信息，利用這些工具型站點(diǎn)我們能夠快速的得到一些有用的信息。

1、云悉 http://www.yunsee.cn

利用這個(gè)網(wǎng)站來快速收集對(duì)方網(wǎng)站的指紋信息，域名信息，IP信息，子域名等

2、微步在線情報(bào)威脅社區(qū) https://x.threatbook.cn/

這個(gè)網(wǎng)站收錄了一些對(duì)方網(wǎng)站的情報(bào)信息，我們也可以利用這個(gè)網(wǎng)站來快速收集一些信息

3、在線指紋識(shí)別 http://whatweb.bugscaner.com/

我們可以利用這個(gè)網(wǎng)站來去掃描到對(duì)方的網(wǎng)站指紋信息。當(dāng)我們使用云悉沒有找到或者沒有找全網(wǎng)站信息的時(shí)候我們可以利用
bugscaner這個(gè)網(wǎng)址來去做現(xiàn)在cms指紋識(shí)別

1.10. 網(wǎng)站漏洞掃描器以及AWVS的安裝和使用

1、網(wǎng)站漏洞掃描器
網(wǎng)站漏洞掃描器是用來掃描對(duì)方網(wǎng)站可能存在哪些漏洞的工具，我們可以借助網(wǎng)站漏洞掃描器來當(dāng)做輔助作用去檢測(cè)對(duì)方網(wǎng)站的漏洞。新手常用的漏洞掃描器-AWVS
在滲透中，需要盡可能少的去使用漏洞掃描器，因?yàn)槁┒磼呙杵鲿?huì)發(fā)送大量的請(qǐng)求到對(duì)方網(wǎng)站，會(huì)導(dǎo)致你的IP被封，無法進(jìn)行后續(xù)的滲透，嚴(yán)重的還可能導(dǎo)致對(duì)方網(wǎng)站的癱瘓，需要謹(jǐn)慎使用漏掃，漏掃只能當(dāng)做一個(gè)輔助作用

2、AWVS簡(jiǎn)介
AWVS是一款網(wǎng)頁漏洞掃描器，它能掃出對(duì)方的敏感文件泄露、xss、SQL注入、文件上傳、代碼執(zhí)行等漏洞。

3、AWVS的安裝 （工具包在百度網(wǎng)盤工具中）

1、安裝壓縮包至kali 解壓 賦權(quán)777
2、然后運(yùn)行安裝腳本./acunntix_trial.sh直接運(yùn)行安裝，需要輸入 郵箱 和密碼 此時(shí)安裝成功。
3、打開瀏覽器輸入https://本機(jī)IP：13443/可以訪問AWVS圖形化界面 輸入設(shè)置的郵箱和密碼登錄。
4、返回kali，進(jìn)行AWVS的激活，將激活文件patch_awvs文件復(fù)制到目錄
/home/acunetix/.acunetix_trial/v_190325161/scanner/ 運(yùn)行patch_awvs 文件，此時(shí)完成激活。

4、AWVS界面介紹

1、 Dashboard：儀表盤模塊，你掃描過的網(wǎng)站的一些漏洞信息這里會(huì)顯示
2、Targets：目標(biāo)模塊，就是你要掃描的目標(biāo)網(wǎng)站
3、Vulnerabilities：漏洞模塊，顯示掃描的漏洞詳情
4、Scans：掃描模塊，從Target模塊里面選擇目標(biāo)站點(diǎn)進(jìn)行掃描
5、Reports：報(bào)告模塊，漏洞掃描完之后的報(bào)告
6、Settings:設(shè)置模塊，軟件的設(shè)置，包括軟件更新，代理設(shè)置等。

5、AWVS的使用

1、首先打開AWVS服務(wù) 打開kali 輸入命令 service acunetix_trial start
2、 查看awcs 服務(wù)狀態(tài) service acunetix_trial status 狀態(tài)為active（running）表示開啟
3、用瀏覽器打開awvs客戶端 輸入郵箱和密碼
https://192.168.6.18:13443/ 13443是 linux下的默認(rèn)端口 3443是windows下的默認(rèn)端口
掃描測(cè)試添加target ：填寫目標(biāo)的IP或者域名
4、設(shè)置掃描選項(xiàng)：
掃描速度 Scan speed （越慢則越仔細(xì)）、站點(diǎn)是否登錄Site Login、針對(duì)不同web站點(diǎn)的掃描插件AcuSensor（能幫助收集更多信息）等
5、設(shè)置掃描類型和掃描時(shí)間 開始掃描漏洞

6、AWVS忘記密碼

進(jìn)入kali的/home/acunetix/.acunetix_trial目錄下運(yùn)行change_credent.sh可以重置密碼文章來源地址http://www.zghlxwxcb.cn/news/detail-417319.html

到了這里，關(guān)于滲透測(cè)試-第一步 信息收集 【詳細(xì)介紹】的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！