乙方渗透测试之信息收集

前言

从今年2月份来到乙方实习,到6月份毕业,同一家公司转正,从事渗透测试/安全研究相关工作,漏洞悬赏平台的公司性质提供了很多授权实战的机会,感谢YY和ZSW两位前辈的培养,梳理下笔记发布到博客。

本篇整理信息收集阶段,大概会占渗透测试总时间的60%,视能力和情况而定,做到不影响企业业务正常运行的情况下,收集更多的资产信息,细心和耐心很关键。

主站

快速定位,快速产出

先浏览下主站,可以很直观的了解目标站点的大致业务/性质/模式,会对整个渗透过程起到很大的帮助。

对于boss要求的部分站点需要快速产出漏洞(销售好谈客户),主站很多都是可以拿下的,比如四位数字无限制爆破验证码,sqli,备份文件,组件框架历史漏洞,后台弱口令,邮箱收集/爆破/社工theHarvester等等。

对于无范围全网测的厂商,可通过以下途径获取相关资产,比如收集开发运维专用的域名和解析到内网的域名,主机ip所属等。

搜索引擎hacking语法,搜target.com|公司名字,有时也能查到,但是数据需要清洗。

whois查询/注册人反查/邮箱反查/相关资产

本阶段收集的信息,为下一步收集/爆破子域名做好准备。

子域名

子域名的收集途径很多,Layer子域名挖掘机4.2纪念版subDomainsBrute李劼杰wydomain猪猪侠Sublist3rsite:target.comGithub代码仓库,抓包分析请求返回值(跳转/文件上传/app/api接口等),站长帮手links等在线查询网站,部分会受到泛解析的影响,记录下学习到的,

  • 域传送漏洞

linux:
[dig @ns.example.com example=.com AXFR]

windows:
[nslookup -> set type=ns ->target.com -> server ns.target.com -> ls target.com]

端口服务

假设从layer导出来的子域名列表为target.com.txt,使用nmap扫默认端口

扫描全端口

web探测

探测每个站点的web信息,假设所有子域名都在:target.com_domains.txt(Layer直接导出域名)

BSDR_Banners密码:rzv0

web指纹识别

邮箱命名规则收集/爆破/社工

详细可参考:渗透标准

qq群,微信公众号和百度文库等社交途径有时也能收集到一页特定规则的密码表,直接附上一个小脚本

main.py

实现批量扫描target.com_domains.txt站点,

dirscan.py

实现简单的目录fuzz,

baidu_site.py

加入site:子域名,

list.txt

目录字典,

效果:

所需辅助小插件,可自行添加

推荐个完善的datasploit

后记

信息收集远不止上述内容,各位表哥有好的思路,还望不吝赐教,本文不定时更新,记录平时的技巧和思路。

作者whoam1(QQ:2069698797),出自:http://www.cnnetarmy.com/