渗透测试中的信息收集技术详解

信息收集概述

信息收集是渗透测试中至关重要的第一步，分为两类：

主动信息收集：直接访问、扫描网站，流量会流经目标网站
被动信息收集：利用第三方服务对目标进行了解，如Google搜索、Shodan搜索等

域名信息收集

域名注册人信息

使用站长之家(https://www.chinaz.com/)进行WHOIS查询
利用WHOIS反查功能获取更多关联信息

子域名爆破

工具使用：
- wydomain
- layer子域名挖掘机
- dnsenum
DNS域传送漏洞：
- DNS记录类型：
  - A记录：域名对应的IP地址
  - NS记录：负责解析的域名服务器
  - PTR记录：IP到域名的反向记录
  - MX记录：邮件服务器记录
- 探测方法：
```
nslookup
server dns服务器
ls 目标域名
exit
```

CDN检测与绕过

CDN检测方法

使用多地ping检测（如站长之家工具）
若不同地区返回IP不同，则存在CDN

CDN绕过技术

参考资源：

https://www.cnblogs.com/qiudabai/p/9763739.html
https://www.cnblogs.com/xiaozi/p/12963549.html
https://blog.csdn.net/qq_36119192/article/details/89151336

Google Hacking技术

常用语法

site:domain.com：指定域名搜索
intext:关键词：正文中含关键词的页面
intitle:关键词：标题中含关键词的页面
inurl:关键词：URL中含关键词的页面
filetype:扩展名：搜索特定文件类型

实用组合

查找后台：

site:xx.com intext:管理
site:xx.com inurl:login
site:xx.com intitle:后台

识别服务器程序：

site:xx.com filetype:asp
site:xx.com filetype:php

查找上传漏洞：

site:xx.com inurl:file
site:xx.com inurl:upload

网络组件搜索引擎

FOFA语法示例

title="后台管理"：搜索含该标题的网站
header="flask"：搜索HTTP头含flask的网站
domain="baidu.com"：搜索baidu.com相关网站
port="3389"：搜索开放3389端口的IP

其他平台：Shodan、ZoomEye

GitHub敏感信息泄露

搜索公司相关代码库
查找未脱敏的敏感信息（数据库凭证、API密钥等）
参考资源：
- https://www.cnblogs.com/ichunqiu/p/10149471.html
- https://blog.csdn.net/qq_36119192/article/details/99690742

服务器类型识别

操作系统识别

大小写敏感测试：
- Linux区分大小写，Windows不区分
- 修改URL字母大小写测试访问
Ping测试：
- Windows默认TTL：128（广域网65-128）
- Linux/Unix默认TTL：64（广域网1-64）
Nmap扫描：
```
nmap -O 目标IP
```

网站指纹识别

在线工具

云悉指纹：http://www.yunsee.cn/finger.html
ThreatScan：https://scan.top15.cn/web/
WhatWeb：https://whatweb.net/
BugScaner：http://whatweb.bugscaner.com/look/

浏览器插件

Wappalyzer

敏感文件/目录发现

常见敏感文件

robots.txt
crossdomain.xml
sitemap.xml
后台目录
网站安装包
上传目录
MySQL管理页面
phpinfo页面
文本编辑器目录
测试文件
备份文件(.rar, .zip, .bak等)
.DS_Store文件
.swp文件(vim备份)
WEB-INF/web.xml

目录爬取工具

Burp Suite Spider模块
DirBuster
Dirsearch

端口扫描

nmap -sS -sV -p- 目标IP

社会工程学

利用社工库获取关联信息
收集员工邮箱、姓名等个人信息

总结

完整的信息收集应包括：

域名和子域名信息
CDN检测与绕过
Google Hacking技术应用
网络组件搜索
代码仓库敏感信息检索
服务器指纹识别
敏感文件和目录发现
端口扫描
社会工程学信息收集

通过系统化的信息收集，可以为后续渗透测试奠定坚实基础。

渗透测试中的信息收集技术详解信息收集概述信息收集是渗透测试中至关重要的第一步，分为两类：主动信息收集：直接访问、扫描网站，流量会流经目标网站被动信息收集：利用第三方服务对目标进行了解，如Google搜索、Shodan搜索等域名信息收集域名注册人信息使用站长之家(https://www.chinaz.com/)进行WHOIS查询利用WHOIS反查功能获取更多关联信息子域名爆破工具使用： wydomain layer子域名挖掘机 dnsenum DNS域传送漏洞： DNS记录类型： A记录：域名对应的IP地址 NS记录：负责解析的域名服务器 PTR记录：IP到域名的反向记录 MX记录：邮件服务器记录探测方法： CDN检测与绕过 CDN检测方法使用多地ping检测（如站长之家工具）若不同地区返回IP不同，则存在CDN CDN绕过技术参考资源： https://www.cnblogs.com/qiudabai/p/9763739.html https://www.cnblogs.com/xiaozi/p/12963549.html https://blog.csdn.net/qq_ 36119192/article/details/89151336 Google Hacking技术常用语法 site:domain.com ：指定域名搜索 intext:关键词：正文中含关键词的页面 intitle:关键词：标题中含关键词的页面 inurl:关键词：URL中含关键词的页面 filetype:扩展名：搜索特定文件类型实用组合查找后台：识别服务器程序：查找上传漏洞：网络组件搜索引擎 FOFA语法示例 title="后台管理" ：搜索含该标题的网站 header="flask" ：搜索HTTP头含flask的网站 domain="baidu.com" ：搜索baidu.com相关网站 port="3389" ：搜索开放3389端口的IP 其他平台：Shodan、ZoomEye GitHub敏感信息泄露搜索公司相关代码库查找未脱敏的敏感信息（数据库凭证、API密钥等）参考资源： https://www.cnblogs.com/ichunqiu/p/10149471.html https://blog.csdn.net/qq_ 36119192/article/details/99690742 服务器类型识别操作系统识别大小写敏感测试： Linux区分大小写，Windows不区分修改URL字母大小写测试访问 Ping测试： Windows默认TTL：128（广域网65-128） Linux/Unix默认TTL：64（广域网1-64） Nmap扫描：网站指纹识别在线工具云悉指纹：http://www.yunsee.cn/finger.html ThreatScan：https://scan.top15.cn/web/ WhatWeb：https://whatweb.net/ BugScaner：http://whatweb.bugscaner.com/look/ 浏览器插件 Wappalyzer 敏感文件/目录发现常见敏感文件 robots.txt crossdomain.xml sitemap.xml 后台目录网站安装包上传目录 MySQL管理页面 phpinfo页面文本编辑器目录测试文件备份文件(.rar, .zip, .bak等) .DS_ Store文件 .swp文件(vim备份) WEB-INF/web.xml 目录爬取工具 Burp Suite Spider模块 DirBuster Dirsearch 端口扫描社会工程学利用社工库获取关联信息收集员工邮箱、姓名等个人信息总结完整的信息收集应包括：域名和子域名信息 CDN检测与绕过 Google Hacking技术应用网络组件搜索代码仓库敏感信息检索服务器指纹识别敏感文件和目录发现端口扫描社会工程学信息收集通过系统化的信息收集，可以为后续渗透测试奠定坚实基础。