Web渗透测试(信息收集)

划定了测试范围后，就需要进行信息收集了！

通过各种公开资源获取测试目标的相关信息！

(收集服务器的配置信息和网站的敏感信息，包括域名及子域名信息，目标网站系统、CMS指纹、目标网站真实IP、开放的端口等！)

互联网上搜集的主要渠道：

论坛、公告板、新闻组、媒体文章、博客、社交网络、其他商业或非商业性的网站、GitHub......

www.testfire.net

testfire.net是IBM公司为演示旗下的Web漏洞扫描器AppScan而搭建的模拟银行网站，上面有很多常见的Web安全漏洞！

其他：

http://vulnweb.com/

http://zero.webappsecurity.com/

收集域名信息

知道目标域名之后，就是获取域名的注册信息，包括该域名的DNS服务器信息和注册人的联系信息等，域名信息收集的常用方法：

1. Whois查询

Whois是一个标准的互联网协议，可用于收集网络注册信息，注册的域名、IP地址等信息！简单地来说，Whois就是一个用于查询域名是否已经被注册以及注册域名的详细信息的数据库(如域名所有人、域名注册商)！

在Kali中，Whois已经默认安装：

在线Whois查询的常用网站：

• 站长之家： https://www.chinaz.com/
• 爱站网： https://www.aizhan.com/
• https://www.virustotal.com/gui/

通过这些网站可以查询域名的相关信息，如域名服务商、域名拥有者、以及他们的邮箱、电话，地址等信息！

2. 备案信息查询

• ICP备案查询网： http://www.beianbeian.com/
• 天眼查： https://www.tianyancha.com/

收集子域名信息

1. 子域名查询

子域名也就是二级域名，是指顶级域名下的域名！

子域名查询网站：

https://searchdns.netcraft.com/

域传送漏洞：

DNS区域传送(DNS Zone Transfer)指的是一台备用服务器使用来自主服务器的数据同步自己的域数据库。这为运行中的DNS服务提供了一定的冗余度，其目的是为了防止主域名服务器因意外故障变得不可用时影响到整个域名的解析。

一般来说，DNS区域传送操作只在网络中真实存在备用域名DNS服务器时才有必要用到，但许多DNS服务器却被错误地配置成只要有client发出请求，就会向对方提供一个域数据库的详细信息，所以说允许不受信任的互联网用户执行DNS区域传送操作，这是最为严重的错误配置之一！

(缺乏身份认证，只要客户端发出请求主DNS 服务器就会同步数据库)

！！！正确的配置是主DNS 服务器指定备份DNS 服务器的IP地址！！！

============ 漏洞复现 ============

靶机环境：

使用dig工具来检测域传送漏洞：

dig @192.168.152.158 -t axfr vulhub.org // 发送axfr类型的dns请求

dig @192.168.152.158 -t axfr vulhub.org // 发送axfr类型的dns请求

图示可见，获取到了vulhub.org的所有子域名记录，这里存在DNS域传送漏洞！

用nmap script来扫描该漏洞：

虚拟机中的Ubuntu 16.04安装nmap：

sudo apt-get install nmap

nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.152.158

2. 子域名检测工具

Layer子域名挖掘机

根据dic.txt字典来爆破！

通过域名收集IP地址信息

有CDN情况(单独分析)

无CDN情况：

ping：

IP地址：65.61.137.117

nslookup：

dig：

指定DNS服务器：

获取域名的详细解析过程：

dig +trace testfire.net

dnsenum：

站长工具：

IP查询

同IP网站查询：(旁站)

IP Whois查询：

IP2LOCATION：

IP地址经纬度：

GPS定位

人员信息：

GitHub

利用搜索引擎收集信息

googleHacking就是利用搜索引擎的语法，达到精准搜索信息的目的！

(如果Google ⽤不了的，也可以考虑其它搜索引擎）

搜索网站目录结构：

搜索容易存在SQL注入的页面：

site:testfire.net inurl:login
site:testfire.net intext:login

搜索指定的文件类型：

filetype:pdf site:testfire.net
filetype:xls 电话号码

搜索phpinfo()：

intext:PHP Version ext:php intext:Apache2handler intext:allow_url_include
intext:php.ini

PHP探针：

root/root

GHDB：

https://www.exploit-db.com/google-hacking-database

公网设备指纹检索和Web 指纹检索：

钟馗之眼

https://www.zoomeye.org/

app:"IIS" +ver:"6.0"
app:"windows" +port:"3389"

fofa：

https://fofa.so/

shodan：

https://www.shodan.io/

JAWS/1.1

网站信息收集

应用名、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统、数据 ......

firefox插件

网站指纹识别

nikto
whatweb

nikto -h 192.168.152.157

whatweb 192.168.152.162
(dc3)

专用扫描器：joomscan

joomscan -u 192.168.152.162

扫描网站敏感目录文件：

御剑

dirb

dirb http://192.168.152.162
dirb http://192.168.152.162 -X .phpdirb http://192.168.152.162 /usr/local/wordlists/big.txt -X .php 	

gobuster