《Web安全攻防渗透测试实战指南》学习（一）渗透测试之信息收集

收集域名信息
知道目标的域名后，第一件事就是获取域名的注册信息，包括该域名的DNS服务器信息和注册人的联系信息等。域名信息收集的常用方法：
Whois查询
whois + 域名
备案信息查询
常用的网站：ICP备案查询（www.beianbeian.com）,天眼查（www.tianyancha.com）

收集敏感信息
使用Google语法

收集子域名信息
子域名检测工具
Layer子域名挖掘机：使用简单
subDomainsBrute:可以用小字典递归发现三级四级甚至五级域名
搜索引擎枚举：使用“site：baidu.com”
第三方聚合应用枚举：DNSdumpster网站、在线DNS侦查
证书透明度公开日志枚举：搜索引擎搜索公开的证书透明度（CT）日志，如https://crt.sh
此外。还可以利用在线网站查询子域名，如子域名爆破网站（https://phpinfo.me/domain）

收集常用端口信息
通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务。Nmap、御剑
文件共享服务端口

远程连接服务端口

Web应用服务端口

数据库服务端口

邮件服务端口

特殊服务端口

指纹识别
网站CMS指纹识别、计算机操作系统及Web容器的指纹识别

查找真实IP
如果目标服务器不存在CDN，可以通过www.ip138.com获取目标的一些IP及域名信息。

1. 目标服务器存在CDN
   CDN即内容分发网络，主要解决因传输距离和不同运营商节点造成的网络速度性能低下的问题。说得简单点，就是一组在不同运营商之间的对接节点上的高速缓存服务器，把用户经常访问的静态数据资源(例如静态的html、css、 js图片等文件)直接缓存到节点服务器上，当用户再次请求时，会直接分发到在离用户近的节点服务器上响应给用户，当用户有实际数据交互时才会从远程Web服务器上响应，这样可以大大提高网站的响应速度及用户体验。
   所以如果渗透目标购买了CDN服务，可以直接ping目标的域名，但得到的并非真正的目标Web服务器，只是离我们最近的一台目标节点的CDN服务器，这就导致了我们没法直接得到目标的真实IP段范围。

   
   



2. 判断目标是否使用了CDN
   通常会通过ping目标主域，观察域名的解析情况，来判断是否使用CDN；nslookup看是否有多个IP

   
   



3. 绕过CDN查找真实IP
   内部邮箱源。一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件、寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，就可以获得目标的真实IP (注意，必须是目标自己的邮件服务器，第三方或公共邮件服务器是没有用的)。
   扫描网站测试文件，如phpinfo、test等， 从而找到目标的真实IP。
   分站域名。很多网站主站的访问量会比较大，所以主站都是挂CDN的，但是分站可能没有挂CDN,可以通过ping二级域名获取分站IP， 可能会出现分站和主不是同一个IP但在同一个C段下面的情况，从而能判断出目标的真实IP段。
   国外访问。国内的CDN往往只对国内用户的访问加速，而国外的CDN就不一定了。因此，通过国外在线代理网站App Synthetic Monitor (https: //
   asm.ca.com/en/ping.php)访问，可能会得到真实的IP。
   查询域名的解析记录。也许目标很久以前并没有用过CDN,所以可以通过网站NETCRAFT (https: //www.netcraft.com/) 来观察域名的IP历史记录，也可以大致分析出目标的真实IP段。
   如果目标网站有自己的App，可以尝试利用Fiddler或Burp Suite抓取App的请求，从里面找到目标的真实IP。
   绕过CloudFlare CDN查找真实IP。现在很多网站都使用CloudFlare提供的CDN服务，在确定了目标网站使用CDN后，可以先尝试通过在线网站Cloud
   FlareWatch (http://www.crimeflare.us/cfs.html#box) 对CloudFlare客户网站进行真实IP查询。

   
   



4. 验证获取的IP
   找到目标的真实IP以后，如何验证其真实性呢?如果是Web,最简单的验证方法是直接尝试用IP访问，看看响应的页面是不是和访问域名返回的一样;或者在目标段比较大的情况下，借助类似Masscan的工具批扫描对应IP段中所有开了80、443、8080端口的IP，然后逐个尝试IP访问，观察响应结果是否为目标站点。

   
   

收集敏感目录文件
在渗透测试中，探测Web目录结构和隐藏的敏感文件是一个必不可少的环节，从中可以获取网站的后台管理页面、文件上传界面，甚至可能描出网站的源代码。针对网站目录的扫描主要有DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py (轻量级快速单文件目录后台扫描)、Sensitivefilescan (轻量级快速单文件目录后台扫描)、Weakfilescan (轻量级快速单文件目录后台扫描)等工具。

社会工程学
社工库