信息收集

引言

滲透測試的第一步是最大程度地收集目標(biāo)系統(tǒng)的信息，這同樣也是滲透測試的關(guān)鍵性步驟。信息的收集和分析伴隨著滲透測試的每一個步驟。實現(xiàn)信息收集有很多種方法，例如：使用搜索引擎、掃描器或發(fā)送特殊構(gòu)造的HTTP請求等，這些手段都可以使服務(wù)器端的應(yīng)用程序返回一些錯誤信息或系統(tǒng)運行環(huán)境的信息，通過分析這些信息，可以為后期的滲透測試工作提供很大幫助，如：

1. 減小了測試的范圍，加強(qiáng)了針對性；
2. 工作簡潔高效，避免做無關(guān)測試；
3. 提高測試效率，減少不必要的麻煩。

信息收集工作包括5類：Web服務(wù)器和應(yīng)用程序指紋探測、后臺應(yīng)用程序發(fā)掘、爬網(wǎng)和Googling、錯誤代碼挖掘、應(yīng)用程序配置管理測試。

接下來，我將使用站長之家工具網(wǎng)站進(jìn)行淘寶網(wǎng)的信息收集。

站長之家

網(wǎng)站基本信息

滲透測試第一步就是搜集網(wǎng)站基本信息，如IP地址等。這里使用站長之家作為搜集信息的工具。

站長之家的使用

站長之家使用1

如圖，點擊其中的站長工具（目前我們只用到該功能）。然后彈出如下的界面，將網(wǎng)址輸入進(jìn)去（本例中使用的是淘寶），點擊查詢，稍等片刻就能夠得到返回數(shù)據(jù)了。

站長直接使用2

等到返回數(shù)據(jù)后，下面緊接著的就是網(wǎng)站的基本信息。

網(wǎng)站基本信息

如圖，我們能夠看到域名地址、備案信息、百度收錄等信息。網(wǎng)頁不要關(guān)閉，后面接著使用。

WEB服務(wù)器軟件探測

服務(wù)器軟件（請參考上一部分內(nèi)容）的探測是通過分析對服務(wù)器發(fā)送的各種請求的返回信息，我們可以了解到Web服務(wù)器的版本等若干信息，這些信息可以為后期滲透測試過程中選擇何種測試方法和攻擊手段提供重要的參考數(shù)據(jù)，為判斷目標(biāo)系統(tǒng)可能存在的某種脆弱性提供幫助，做到對癥下藥。比如IIS6.0的解析漏洞。

將站長工具網(wǎng)頁往下拉就能看到服務(wù)器信息一欄。

服務(wù)器組建信息

重點注意服務(wù)器類型，從圖中可以看出淘寶使用的服務(wù)器軟件是：Tengine。下面引用Tengine官網(wǎng)的介紹：

Tengine是由淘寶網(wǎng)發(fā)起的Web服務(wù)器項目。它在Nginx的基礎(chǔ)上，針對大訪問量網(wǎng)站的需求，添加了很多高級功能和特性。Tengine的性能和穩(wěn)定性已經(jīng)在大型的網(wǎng)站如淘寶網(wǎng)，天貓商城等得到了很好的檢驗。它的最終目標(biāo)是打造一個高效、穩(wěn)定、安全、易用的Web平臺。

從中可以看出，Tengine是以Nginx為基礎(chǔ)進(jìn)行開發(fā)的一款服務(wù)器軟件。一般有經(jīng)驗的人可以通過服務(wù)器軟件和其他信息找到服務(wù)器所用的操作系統(tǒng)版本。例如：IIS6.0一般都是使用Windows Server 2003。

網(wǎng)頁程序指紋探測

這里主要分為兩步，第一步是探測出網(wǎng)頁使用的腳本語言類別（PHP、JSP等）；第二步是對服務(wù)器使用的編程框架（后面進(jìn)行解釋）進(jìn)行探測。

腳本語言探測

欲通過網(wǎng)頁界面進(jìn)行入侵，必須與服務(wù)器進(jìn)行交互。如果服務(wù)器上的所有網(wǎng)頁都是靜態(tài)HTML，沒有使用任何腳本、數(shù)據(jù)庫，我們是無法達(dá)到入侵的效果的。服務(wù)器腳本語言探測的技巧很多，比如在官網(wǎng)隨意點擊一個鏈接，就能看到網(wǎng)頁的后綴。

服務(wù)器腳本信息

如圖，可以看到網(wǎng)頁后綴為.PHP，意味著淘寶的網(wǎng)頁使用的是PHP的腳本。這里網(wǎng)頁的RUL后的?代表的是GET請求傳遞的參數(shù)，其中參數(shù)名為spm，參數(shù)值為1.7274553.1997517385.d12.D6zPWN。當(dāng)有多個參數(shù)值存在時使用&號連接。例如.php?username=maomao&password=123456。

當(dāng)然，有很多網(wǎng)頁是無法通過該方法查找到使用的是什么語言，要怎么做，就仁者見仁智者見智了。

框架探測

框架（CMS系統(tǒng)） -- 來自百科定義：

內(nèi)容管理系統(tǒng)是企業(yè)信息化建設(shè)和電子政務(wù)的新寵，也是一個相對較新的市場，對于內(nèi)容管理，業(yè)界還沒有一個統(tǒng)一的定義，不同的機(jī)構(gòu)有不同的理解：

簡單的理解就是一個方便站長建站的網(wǎng)頁基本框架。各種CMS參差不齊，也是網(wǎng)頁安全問題的主要來源，不過隨著用戶的增多，安全性也有所提高。一般在對使用某款帶有漏洞的框架的網(wǎng)頁進(jìn)行滲透的時候，直接找到對應(yīng)框架的的EXP（會在下一部分介紹）直接爆破即可。這也是我們?yōu)楹翁綔y框架的原因。

爬網(wǎng)站目錄結(jié)構(gòu)、Google hacking和管理程序的入口

目錄結(jié)構(gòu)

Web網(wǎng)站同你使用的文件系統(tǒng)一樣，會按照內(nèi)容或功能分出一些子目錄。有些目錄是希望被來訪者看到的，而有些則可能存儲了一些不希望被所有人查看的內(nèi)容，比如一些存儲了私人文件的目錄，以及管理后臺目錄等。一些程序員喜歡將后臺管理目錄命名為一些常見的名字，如admin、login、cms等。在對網(wǎng)站進(jìn)行分析時，可以手工測試一下這些常見的目錄名，說不定就會有收獲哦。

如果管理員允許，Web服務(wù)器會將沒有默認(rèn)頁面的目錄以文件列表的方式顯示出來。而這些開放了瀏覽功能的網(wǎng)站目錄往往會透露一些網(wǎng)站可供瀏覽的頁面之外的信息，運氣好的話，甚至能夠在這些目錄中發(fā)現(xiàn)網(wǎng)站源代碼甚至后端數(shù)據(jù)庫的連接口令，因此一定要仔細(xì)分析這些目錄中的文件。

一些網(wǎng)站還會在其根目錄下放置一個名字為robots.txt的文件，它告訴搜索引擎的爬蟲在抓取網(wǎng)站頁面應(yīng)當(dāng)遵循的規(guī)則，比如哪些目錄和文件不應(yīng)當(dāng)被抓取等，然而robots.txt中指出的文件與目錄卻經(jīng)常是滲透測試者最關(guān)注的攻擊目標(biāo)，如果在目標(biāo)網(wǎng)站上發(fā)現(xiàn)了這個文件，應(yīng)當(dāng)對它給予足夠的關(guān)注。

為了盡可能的獲取更多的信息，我們便需要對目標(biāo)網(wǎng)站進(jìn)行目錄結(jié)構(gòu)爬取。一般的方法是通過URL構(gòu)造相應(yīng)的目錄結(jié)構(gòu)請求并發(fā)送給服務(wù)器，通過判斷服務(wù)器返回數(shù)據(jù)包（不懂請看上一部分HTTP請求部分）判斷目錄或文件是否存在。比如我們判斷淘寶網(wǎng)站根目錄下有沒有index.php和admin.php文件，我們在瀏覽器的地址欄分別輸入：

http://www.taobao.com/index.php
http://www.taobao.com/admin.php

服務(wù)器分別返回：

正常頁面

錯誤頁面

由上可以看出服務(wù)器根目錄下存在index.php文件，不存在admin.php文件。當(dāng)然，手動輸入判斷費力不討好，通常情況下測試者都是用相應(yīng)輔助工具進(jìn)行爬?。üぞ邔⒃谙乱徊糠纸榻B）。

Google Hacking

Google Hacking 內(nèi)容也很多，我就偷一下懶使用別人寫好的。紅黑聯(lián)盟和FreeBuf。

管理程序的入口

一般稱之為網(wǎng)站后臺，是站長管理網(wǎng)頁的工具。這里引用百度百科 - 網(wǎng)站后臺。

網(wǎng)站后臺

通常滲透是無法直接利用網(wǎng)站前臺頁面就達(dá)到GetShell(即網(wǎng)頁的控制權(quán)，將在下一部分介紹)的目的的。而網(wǎng)站的后臺大多數(shù)具有寫入文件，改變網(wǎng)頁配置等功能，所以我們要拿下后臺的控制權(quán)。在這之前，我們得找到網(wǎng)站的后臺。

多數(shù)情況下，直接在網(wǎng)址后面加上admin. + 網(wǎng)頁后綴，如PHP就能夠得到網(wǎng)站后臺，但是隨著站長安全意識的提高，很多人將后臺入口文件的名稱改了。這種情況下就得自己動手找了，我一般手工試幾個常用的后臺地址，不行就放工具掃描了，原理和爬網(wǎng)站目錄一樣。

旁注和C段

有的時候，會遇到目標(biāo)網(wǎng)站的安全性極高或者我們技術(shù)不夠，無法搞定的情況，這時候我們就會使用旁注和C段。這里對旁注和C段進(jìn)行一個簡單的介紹，會在以后的滲透中使用到。

旁注

在字面上解釋就是－"從旁注入"，利用同一主機(jī)上面不同網(wǎng)站的漏洞得到webshell，從而利用主機(jī)上的程序或者是服務(wù)所暴露的用戶所在的物理路徑進(jìn)行入侵。這時候就用到站長工具：

同IP網(wǎng)站1

在網(wǎng)頁基本信息中有同IP網(wǎng)站個數(shù)，點進(jìn)去就能看到如下的界面：

同IP網(wǎng)站2

可以看到和淘寶同IP的網(wǎng)站。現(xiàn)在我們就一個一個的查找所有網(wǎng)頁中的漏洞，只需要其中某一個網(wǎng)頁存在漏洞，就可能導(dǎo)致整個服務(wù)器淪陷。

C段

C段指的是IP地址的C段 如192.168.0.1-255，一般都是同局域網(wǎng)下的主機(jī)。如果旁注時發(fā)現(xiàn)服務(wù)器上所有的網(wǎng)站的安全性都非常之高，搞不定時，便從C段入手。我想了想C段的概念比較多，放到后面提權(quán)的部分再講。

后記

關(guān)于信息收的這一部分就先碼這點字，日后有需要的再進(jìn)行補(bǔ)充。

引用

CMS系統(tǒng) - 百度百科