渗透-信息收集

前述

在实习前认为信息收集大致就是把子域名找全,然后在每个子域名网站下“捣蛋”。简述就是拿到一个域名,拿工具做一下子域名爆破,上一些子域名查询网站搜索一下资产,用谷歌hacking语法搜一下特殊标题,收集一些资产,然后在各个网站上到处看看,看看有哪些功能,多动手测试一下,运气好能找到洞,找不到洞就放弃。
这种随缘挖洞手法虽然也能挖到洞,但产出不高,有时候遇到防护特别好的主站,没挖两下就放弃了,因为各方面都做的很好以至于让人产生整个互联网环境都变好了。
现在来揭穿这层虚假都面纱。

文章以“旷视”资产做演示,不涉及具体漏洞,一切步骤网上可复现。
PS:旷视已入驻火线SRC平台

资产收集

首先我们现在拿到的只是“旷视”这两个字,还无法具体到挖什么网站或资产。有时候我们只是一时兴起,看到一个网站就想把它整个扒拉下来。此时直接动手就容易疏忽掉很多资产,而且漏洞大部分都会出现在这些被遗漏的资产上。

先不用太着急进行子域名爆破啥的,先去目标网站的官网或直接用搜索引擎找一下企业全称,或根据ICP备案号查公司全称也行。

此时我们通过“旷视”搜集到了全称“北京旷视科技有限公司”,利用收集到的信息,在站长之家备案查询处查询企业资产。

把这些搜集到的资产记录起来,此时收集到的就不再是一个域名了,而是多个域名了,后续逐个进行子域名爆破,收集到的资产可翻倍,挖到洞的概率也更大些。

更广度的资产收集

如果SRC平台允许或企业授权可以对企业资产上下游进行渗透的话,前往企查查查股份穿透。此处有点敏感,就不放图了。

子域名信息收集

最暴力的工具:layer子域名挖掘机,简单分析了一下,原理是通过构造字典逐个快速爆破,理论上每个边边角角但子域都不会放过。但缺点就是太耗时且动静太大,一不小心遇上了脆皮网站分分钟扫爆。对于资产广度不大的网站,用这么重量级的工具也不合适。所以自备几个常见子域字典轻轻松松扫一下就差不多了。(这不符合全资产搜集宗旨啊~~)

从“安全”的角度出发,多使用被动式探测。
IP或域名查询
子域名查询

提供在线的子域名爆破/扫描功能的网站
在线子域名爆破
在线子域名扫描

通过DNS解析记录查子域

找到了收集DNS解析记录的网站,在其中能搜集到最完整到子域名资产。优点是速度足够快,数据足够全,与目标网站无接触,能解决爆破工具字典覆盖不全面及域名泛解析等缺点,强烈推荐。
号称拥有最大最全DNS解析记录的网站

号称拥有2亿条DNS解析记录的网站
号称限时免费,潜台词后期可能收费~

多次使用发现二者的数据都挺齐全的,但数量往往对不上,但这问题不大,建议二者一起用。但有时搜索出来的数据量过于庞大,逐个查看费时费力,建议申请API再写个脚本判断。如果肉眼观察的话,根据DNS解析的特点,Type为A表示域名是解析到IP上的,Type为CNAME表示该域名是解析到另一个域名上的,其他的都不用怎么看了,着重看这两种类型的,有时候再通过网站特性主看其中一种类型的快速排查。

快速资产搜集

在规定了范围或仅针对单一网站的渗透中,就无需进行过多的资产搜集(其它资产有洞也与你无关了)

可使用谷歌hacking语法快速搜集出对应资产:

site:victim.com title:admin  
site:victim.com title:管理
site:victim.com login
...

使用资产收录平台进行精准资产搜集,传送门:fofa资产搜集,在没充钱的情况下体验不佳shodan钟馗之眼,偏产品资产多一点

多维度发展

如果资产有app产品或应用,可下载并测试,增大资产面,具体挖掘过程也是抓包改包调功能,具体怎么做打算另起篇幅介绍。(但看到有大佬直接撸app破解了加密算法,奖金非常丰厚)

小程序或公众号挖掘,目前遇到稍微有点门面的企业都会有自家的公众号,也可能会有小程序,这方面的资产也可以搜集并挖掘,而且这类的资产不容易被扫描器探测(微信不允许也没有这类查询接口),所以属于一片乐园,经常发生越权注入等利用易危害大的漏洞。

剑走偏锋资产搜集

SSL证书资产搜集,说真的,每次遇到的作用域都是“*.victim.com”,让人怀疑这种方式是不是被时代淘汰了,这里就只简单提及好了。

GitHub搜索,一般用域名直接搜,添加几个类似emailpassword这样的关键字去搜(但听说GitHub最近把这种关键字给屏蔽了),或用域名构造成邮箱去搜,看一下有没有粗心的程序员泄漏了敏感的信息。

历史截图搜索大法,有时候遇到失效的页面,感觉里面应该有点东西,可以使用http://web.archive.org/ 进行搜索,包含了众多时期的截图,且页面链接可以点击并跳转至同时期的历史页面,是不是很神奇(我用这个看了许多鬼火少年)。利用这个可以尝试查看一些失效的页面,看曾经有没有一些如文件上传,用户登陆的点,构造包并利用。因为这样的网站有可能把前端删了/改了,或把网站转移了,但相应的后端代码还在,可以尝试利用。(看脸)

最后

方法非常多,我也并没有全部了解到,导致描述不全面。资产收集还有端口扫描等就不再复述了。
然后关于网站路径爆破这块,除了脚本爆破,其他页面信息收集,302跳转外也没有什么好方法了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注