信息收集 

为什么学这节课程

在划定了测试范围之后，就需要进入信息收集阶段。在这个阶段，渗透人员需要使用各种公开资源尽可能地获取测试目标的相关信息。他们从互联网上搜集信息的互联网渠道主要有：论坛、公告板、新闻组、媒体文章、博客、社交网络、GitHub、其他商业或非商业性的网站...

此外，他们也可以借助各种搜索引擎中获取相关数据，如谷歌、雅虎、MSN必应、百度等。收集的信息主要包括DNS服务器、路由关系、whois数据库、电子邮件地址、电话号码、个人信息以及用户账户。收集的信息越多，渗透测试成功的概率越高。

本课程以[testfire.net]为目标，testfire.net是IBM公司为了演示旗下比较有名的Web 漏洞扫描器AppScan的强大功能所搭建的模拟银行网站，所以上面会有很多常见的Web安全漏洞。

# 测试网站
[testfire.net](testfire.net)
[http://vulnweb.com/ ](http://vulnweb.com/ )

DNS 信息

在收集DNS信息的时候，主要关注域名注册商，管理员联系方式，电话和邮箱，子域名等信息。

whois 查询

whois是一个集成在kali虚拟机中的小工具。

whois工具可以用来查询域名注册信息，

也可以通过站长之家进行whois 查询[http://whois.chinaz.com]

除了用whois 查询以外，还可以进行反查。

@邮箱反查
@注册人反查
@电话反查

子域名查询

可以查询子域名的网站[https://searchdns.netcraft.com/]，需要科学上网。在表单中直接提交域名即可，这种方法查询大型网站比较有优势。

# 查询方式
1. netcraft
2. 证书 

域传送漏洞

DNS区域传送（DNS zone transfer）指的是一台备用服务器使用来自主服务器的数据刷新自己的域（zone）数据库。这为运行中的DNS服务提供了一定的冗余度，其目的是为了防止主的域名服务器因意外故障变得不可用时影响到整个域名的解析。一般来说，DNS区域传送操作只在网络里真的有备用域名DNS服务器时才有必要用到，但许多DNS服务器却被错误地配置成只要有client发出请求，就会向对方提供一个zone数据库的详细信息，所以说允许不受信任的因特网用户执行DNS区域传送（zone transfer）操作是后果最为严重的错误配置之一。

可以使用dig 工具来检测域传送漏洞，命令格式如下：

# dig axfr @dns.example.com example.com
dig axfr @172.16.132.1 vulhub.org

通过域名传送漏洞，可以获得<子域名信息>，<子域名对应的IP地址>

实验：子域名爆破

工具：子域名挖掘机https://www.webshell.cc/6384.html

Layer.rar

准备一个字典里面写上所有可能的域名（4个字母左右别超过十个）。字典中的每个单词，依次去尝试，就叫做爆破。

工具不重要，重要的是字典。

工具：dnsrecon

dnsrecon -d vulnweb.com -D /root/tmp/dic/dns.dic -t brt

DNS2IP

通过DNS解析找到IP地址。

相关方式如下：ping、nslookup、dig、dnsenum、站长工具...

ping

非权威解答

ping testfire.net

nslookup

dig

Dig是域信息搜索器的简称(Domain Information Groper)，使用dig命令可以执行查询域名相关的任务。

dig testfire.net

dig @8.8.8.8 testfire.net指定dns服务器

dig +trace testfire.net获取域名的详细解析过程

dnsenum

dnsenum testfire.net

此处推荐使用dnsenum，此款工具在解析域名的时候，会自动检测域传送漏洞

利用站长工具

http://tool.chinaz.com/dns/?type=1&host=tmooc.cn&ip=

CDN加速的问题

CDN是内容分发网络

本意是进行节点缓存，使网站访问速度加快。一般情况下是没办法得到目标网站的真实IP的。关于CDN加速可以作为一个课题。参考资料如

https://www.t00ls.net/articles-36160.html

http://www.91ri.org/6233.htmlhttp://www.91ri.org/3563.html

IP查询

IP查询

http://ip.chinaz.com/65.61.137.117

同IP网站查询

同一个IP上的网站
1.1.1.1
A B
旁站
1.1.1.* C段查询

思路：
一般同IP网站
其他网站叫做旁站
将一个网站攻下之后，在攻其他网站就是走内网， 

加入A网站防御比较薄弱， 那么可以通过A网站去攻击B网站，不需要走网关，防御措施可能就能绕过
一个网站有问题会危害整个服务器 

IP whois 查询

IP2Location
@查询IP地址经纬度
https://www.maxmind.com/en/geoip2-precision-demo

得到IP地址的大致经纬度（29.5073，-98.5747）
@通过GPS查询物理位置
http://www.gpsspg.com/maps.htm

搜集敏感信息

google hacking

google 机器人，爬行全世界所有网站的内容。google hacker就是利用搜索引擎语法，获取有关网站的信息。如果google搜索用不了的话，也可以考虑用其他搜索引擎。

利用谷歌搜索引擎，在互联网中搜索到我们需要的信息。
轻量级的搜索可以搜素出一些遗留后门，不想被发现的后台入口；
中量级的搜索出一些用户信息泄露，源代码泄露，未授权访问等等；
重量级的则可能是mdb文件下载，CMS 未被锁定install页面，网站配置密码，php远程文件包含漏洞等重要信息。

google hacking数据库：https://www.exploit-db.com/google-hacking-database

@探索网站目录结构
"parent directory" site:testfire.net
@搜索容易存在sq1注入的页面
site:testfire.net inurl:login

https://www.exploit-db.com/google-hacking-database

C搜索指定的文件类型
filetype pdf
C搜索phpinfo（）
intext:"PHP Version"ext:php intext:"disabled"intext:"Build
Date"intext:"System"intext:"allow_url_fopen"

搜索PHPstudy
intitle:"php中文网探针2014"

实验：SQL注入初探一万能密码
-SQL 注入探测
通过google语法找到可能存在SQL注入的页面，

-SQL 注入漏洞探测
在登录框中输入[admin'/123456]，会显示如下报错信息

核心报错信息如下

Syntax error (missing operator) in query expression ' username=
' admin'' AND password='12346''.

根据报错信息可知，该登录框存在SQL注入漏洞。

万能密码登录
在登录框中输入[admin/123456'or'1'='1]，即可登录系统。

钟道之眼

https://www.zoomeye.org/

ZoomEye 支持公网设备指纹检索和Web指纹检索。网站指纹包括应用名、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统和数据等。

网站内有搜索助手可以查看搜索语法。

app:"Cisco ASA SSL VPN"  搜索思科ASA-SSL-VPN的设备
os:"RouterOS"            搜索相关操作系统
service:"ssh"            搜索对应服务协议的资产（http、ftp、ssh、telnet等）
port:80                  搜索相关端口资产

@搜索iis6.0组件
app:"Microsoft IIS httpd"ver:"6.0"
@搜索开启3389端囗的windows 主机
port：3389 0S:windows

shodan

https://www.shodan.io/

与谷歌不同的是，Shodan不是在网上搜索网址，而是直接进入互联网的背后通道。Shodan可以说是一款“黑暗”谷歌，一刻不停的在寻找着所有和互联网关联的服务器、摄像头、打印机、路由器等等。

1. webcam（网络摄像头）
2. port:端口号
3. host:IP地址
4. city:城市名
5. 搜索关键字JAWS/1.0，找到公网中摄像头。

实战：搜索公网摄像头

某一款CCTV摄像头存在漏洞，管理该摄像头需要通过Web界面登录。所以我们可以通过搜索关键字[JAWS/1.0]，找到公网中摄像头。

1、利用shodan搜索JAWS/1.1

2、空口令登入
点击第一条连接，即可进入登录页面。
使用口令[admin/空]，即可进入后台，查看摄像头.

http://151.235.116.168:60001/view2.html

3、登录绕过

http://86.99.112.102:9000/view2，html在控制台中输入以下JS代码，然后直接访问[/view2.html]，即可绕过登录验证进入控制台。

document.cookie="dvr_camcnt=4"; 
document.cookie="dvr_usr=admin"; 
document.cookie="dvr_pwd=123"; 

其他摄像头默认账密
海康威视IP网络摄像机admin密码：12345
Hikvision Server:DVRDVS-Webs

大华网络摄像机admin，密码：888888
天地伟业网络摄像机Admin，密码：111111

参考
域传送漏洞
https://github.com/lijiejie/edu-dns-zone-transfer收集子域名的思路
https://www.secpulse.com/archives/53182.htmlWeb信息收集
https://blog.csdn.net/redbull/article/details/78763738shodan 语法
http://www.freebuf.com/sectool/121339.html关于摄像头
http://0day5.com/archives/3766/GHDB
https://www.exploit-db.com/google-hacking-database/

网站信息收集

收集指纹信息

Web服务器信息

火狐插件
Netcraft Extension

查看网站的基本信息，如网站的IP地址，网站流量排名，归属国家，使用的服务器信息。

Wappalyzer

分析目标网站所采用的平台构架、网站环境、服务器配置环境、JavaScript框架、编程语言等参数。

url=https://imgtu.com/i/g7SlAHhttps://z3.ax1x.com/2021/05/21/g7SlAH.md.png/img