渗透测试之信息收集

一、前言

做一次渗透测试之前，我们要进行必要的信息收集，原理其实就是增大攻击面。例如某政府门户网站肯定比其次要机构网站防护要好的多。这时我们可以从别的站作为渗透点，以点破面的深入、渗透。再者就是我们渗透测试过程中的信息收集，大量的信息集合在一起，才能发现更多的漏洞。例如渗透测试过程中发现某测试页面有SQL注入漏洞。直接可以利用该漏洞拿到服务器webshell。以下主要提及一些常见的信息收集： 

子域名信息；

 端口信息；

 源码信息；

 目录信息；

 邮箱信息；

 电话信息等。

二、信息收集

1、子域名

子域名收集可用到以下几种方式：

· Googlehacking、百度搜索语法；

· 搜索引擎：fofa（https://www.landui.com/）

shodan（https://www.landui.com/）

必应（https://www.landui.com/）

钟馗之眼（https://www.landui.com/）等；

子域名挖掘工具：这里提供一个线上的子域名挖掘工具，https://www.landui.com/domain/

2、端口

收集端口信息，首先可以使用端口扫描工具，比如nmap就很好用。遇到可能禁ping或者防火墙做了策略的，可以用syn扫描的方式nmap -sS -Pn IP进行扫描.

也可以使用shodan等搜索引擎，利用shodan的“ip：116.128.1.23 city:CN”。

收集到端口之后很有可能会发现管理后台（例如weblogic管理后台对应端口是7001）、旁站、可利用的服务（例如FTP、SSH、POP）等。还有一些服务的版本有漏洞，可利用该漏洞进行利用。

3、旁站

有时候为了节省成本，某些小企业会把web业务托管给大企业或政府，我们可以通过域名、IP反查出旁站进行渗透。以下是常见的几种方式：

第一种是同域名，不同web目录，例如http://域名1/zhonghua/和http://域名1/changqing/分别存储的是两个不同企业的web信息。

第二种是同ip，不同端口，例如企业A的网站对应的访问方式是http://域名2:8086,企业B网站对应访问方式是http://域名2:8086。

其他方式便不再说明，可在https://www.landui.com/和站长工具进行反查。

4、目录

众多工具可以提供基于字典的爬目录，但还是有限，这时候可以通过前面提到的搜索语法和搜索引擎进行目录的收集。如御剑、burp、webrobot啊。

还需要分析JS代码、注释信息，这里也是发现铭感目录的宝藏。

5、源码

源码的收集一般可以通过源网站压缩文件、代码托管平台，邮箱等方式收集。

源网站压缩文件：很多运维人员为了省事或者粗心，把源码直接放在web应用目录下，直接便可下载，或者放在别的目录下，结合目录遍历漏洞可进行下载。

代码托管平台：一些程序员为了交流或炫耀，会把代码提交到一些代码托管平台。例如：

（1） http://www.landui.com,开源中国出品的代码托管、协作开发平台，灵活便捷地支撑个人、团队、企业的各类开发需求。

（2）gitcafe.com, 是国内做的与github最相似代码托管网站。

（3）code.csdn.net推出的类似github的代码托管服务。

邮箱：邮箱也是很多管理人员、运维人员、编程人员进行交流的地方，很多源代码也会通过邮箱传播。这也是突破点。

6、邮箱

收集邮箱信息主要以下几个作用：

（1）通过发现目标系统账号的命名规律，可以用来后期登入其他子系统。

（2）爆破登入邮箱用。

（3）发现VPN账号、密码、系统等敏感信息。

7、其他

其他的信息收集可以包括APP、微信公众号、客服人员钓鱼、QQ等信息。类似于社工的方式都可以收集到很多的信息。