為什么學(xué)習(xí)這節(jié)課程

在劃定了測試范圍之后，就需要進入信息收集階段。在這個階段，滲透人員需要使用各種公

共資源盡可能地獲取測試目標的相關(guān)信息。他們從互聯(lián)網(wǎng)上搜集信息的渠道主要有：

論壇、公告板、新聞組、媒體文章、博客、社交網(wǎng)絡(luò)、其他商業(yè)或非商業(yè)性網(wǎng)站、GitHub 等

此外，他們也可以借助各種搜索引擎中獲取相關(guān)數(shù)據(jù)，如谷歌、雅虎、MSN 必應(yīng)、百度等。

收集信息主要包括 DNS 服務(wù)器、路由關(guān)系、whois 數(shù)據(jù)庫、電子郵件地址、電話號碼、個

人信息以及用戶賬戶。收集信息越多，滲透測試成功的概率越高。

本課程以[testfire.net]為目標，testfire.net 是 IBM 公司為了演示旗下比較有名的 Web 漏洞

掃描器 AppScan 的強大功能所搭建的模擬銀行網(wǎng)站，所以上面會有很多常見的 Web 安全

漏洞

類似的測試網(wǎng)站，http://wwww.vulnweb.com

一、DNS 信息?

在收集 DNS 信息的時候，主要關(guān)注域名或注冊商，管理員聯(lián)系方式，電話和郵箱，子域名

等信息。

1.1 whois 查詢?

whois 是一個集成在 kali 虛擬機中的小工具

whois 工具可以用來查詢域名注冊信息。

whois domain

whois testfire.net

也可以通過站長之家進行 whois 查詢[http://whois.chinaz.com]

除了 whois 查詢以外，還可以進行反查。

郵箱反查、注冊人反查、電話反查

1.2 子域名查詢?

可以查詢子域名的網(wǎng)站[https://searchdns.netcraft.com/]，這種方法查詢大型網(wǎng)站比較有優(yōu)勢

瀏覽器的證書中也能查到子域名

1.3 域傳送漏洞?

DNS 區(qū)域傳送指的是一臺備用服務(wù)器使用來自主服務(wù)器的數(shù)據(jù)刷新自己的域數(shù)據(jù)庫。這為

運行中的 DNS 服務(wù)提供了一定的冗余度，其目的是為了防止主域名服務(wù)器因為意外故障變

得不可用時影響到整個域名的解析。一般來說，DNS 區(qū)域傳送操作只在網(wǎng)絡(luò)中真的有備用

域名服務(wù)器的時候才有必要用到，但是許多 DNS 服務(wù)器卻被錯誤的配置成只要有 client 發(fā)

出請求，就會像對方提供一個 zone 的數(shù)據(jù)庫的詳細信息，所以說允許不受信任的英特網(wǎng)用

戶執(zhí)行 DNS 區(qū)域傳送操作是后果最為嚴重的錯誤配置之一。

可以使用 dig 工具來檢測域傳送漏洞，命令如下

dig axfr @dns.example.com example.com

通過域傳送漏洞，得到子域名信息、子域名對應(yīng)的 IP 地址

1.4 子域名爆破?

準備一個字典寫上所有的域名（4 個字母左右別超過 10 個）。字典中的每個單詞，依次去嘗

試。工具不重要，重要的是字典

工具：

1、layer(子域名挖掘機)

2、dnsrecon（kali）

dnsrecon -d vulnweb.com -D /root/tmp/dic/dns.dic -t brt

-d 指定域名 -D 指定字典 -t 指定模式

二、DNS2IP

通過 DNS 解析找到 IP 地址

2.1ping?

非權(quán)威解答

ping testfire.net

ping baidu.com?

ping www.baidu.com

2.2 nslookup??

2.3 dig?

dig testfire.net

dig @8.8.8.8 testfire.net 指定 dns 服務(wù)器

dig +trace testfire.net 獲取域名的詳細解析過程

2.4 dnsenum?

dnsenum testfire.net

此處推薦 dnsenum，此工具在解析域名的時候，會自動檢測域傳送漏洞

2.5 利用站長工具?

http://tool.chinaz.com/dns/

路由追蹤

2.6 CDN 加速問題?

CDN 是內(nèi)容分發(fā)網(wǎng)絡(luò)

本意是進行節(jié)點緩存，是網(wǎng)站訪問速度加快。一般情況下是沒辦法得到目標的網(wǎng)站的真實 IP?

的。關(guān)于 CDN 加速可以作為一個課題。

參考資料如下：

https://www.t00ls.net/

http://www.91ri.org/6233.html

http://www.91ri.org/3563.html

三、IP 查詢

3.1ip 查詢?

http://ip.chinaz.com/65.61.137.117

3.2 同 IP 網(wǎng)站查詢?

同一個 IP 上的網(wǎng)站

1.1.1.1

A B

旁站（同一個服務(wù)器上的兩個網(wǎng)站）

1.1.1.* C 段查詢

3.3IP whois 查詢?

3.4IP2Location?

查詢 IP 地址經(jīng)緯度

https://www.maxmind.com/zh/home

例如：得到 IP 地址的大致經(jīng)緯度（40.9476, -73.8624）

通過 GPS 查詢物理位置

http://www.gpsspg.com/maps.htm

四、利用搜索引擎搜集信息

4.1Google hacking?

Google 機器人，爬行全世界所有網(wǎng)站的內(nèi)容。Google hacker 就是利用搜索引擎語法，獲

取有關(guān)網(wǎng)站的信息。

site 指定網(wǎng)站

"" 包含關(guān)鍵字

inurl 在 url 中出現(xiàn)的關(guān)鍵字

filetype 文件類型

探索網(wǎng)站目錄結(jié)構(gòu)

"parent directory" site:testfire.net

搜索容易存在 sql 注入的頁面

site:testfire.net inurl:login

搜索指定的文件類型

filetype pdf

搜索 phpinfo()

intext:"PHP Version" exit:php intest:"disabled" intext:"BuildDate" intext:"Syatem"?

intext:"allow_url_fopen"

搜索 php 探針

intitle:"php 中文網(wǎng) 探針 2014"

五、鐘馗之眼

ZoomEye 支持公網(wǎng)設(shè)備指紋檢索和 Web 指紋檢索。網(wǎng)站指紋包括應(yīng)用名、版本、前端框

架、后端框架、服務(wù)端語言、服務(wù)器操作系統(tǒng)、網(wǎng)站容器、內(nèi)容管理系統(tǒng)和數(shù)據(jù)等。

https://www.zoomeye.org/

搜索 iis6.0 組件

app:"Microsoft IIS httpd" ver:"6.0"

搜索開啟 3389 端口的 windows 主機

port:3389 OS:windows

六、shodan

https://www.shodan.io/

搜索攝像頭設(shè)備

例如：

JAWS/1.1

七、網(wǎng)站信息收集

收集指紋信息，Web 服務(wù)器信息

火狐插件

Netcraft Extension

Wappalyzer