WEB安全入门系列之信息收集

在Whois查询的过程中，需要多次查询信息，避免产生偶然性，通过其他工具也可以查询到Whois信息：

in the course of whois inquiries, multiple queries are required to avoid incidentality, and WHO information is also available through other tools:

通过查看WEB服务器信息，筛选版本比较低的服务器（win2003+iis6.0），查看每个子域名是否开启常见的端口（3389、3306、21端口等），利用爆破工具进行枚举，会达到事半功倍的效果。

by viewing information on the WEB server, screening the lower version (win2003+iis6.0) to see whether each sub-domain name opens a common port (3389, 3306, 21th port, etc.) and using a detonation tool to enumerate it with a half-time effect./strong>

注：利用御剑这款工具也可以查询到子域名。

1.3、对应IP搜集

1.3, corresponding IP collection

查询相关域名对应IP、别名记录等，判断出网站服务器所使用的服务商或服务器IP信息。

Queries the relevant domain name corresponding to IP, alias records, etc., to determine the service provider or server IP information used by the web server.

2.0、敏感目录

2.0, sensitive directory

收集方向：

span style="font-family: Song body"

robots.txt、后台目录、安装包、上传目录、mysql管理页面、phpinfo、编辑器

robots.txt, background directory, installation package, upload directory, Mysql management page, phpinfo, editor

目录扫描对应信息收集来说特为重要，比如robots文件当中就可能泄露网站的后台或者CMS信息等，安装包中便泄露了网站的源码，phpinfo泄露了服务器的一些配置信息，编辑器、上传页面便可以进行利用相关的漏洞进行渗透，mysql、后台管理页面可以进行枚举爆破来尝试登陆进行下一步的安全测试。

robots files, where the source code of the site may be leaked, phpinfo leaks some of the server's configurations, editing, uploading pages allow penetration using the relevant bugs, Mysql, back-office management pages, etc. to attempt to access the next security test. /strong>

常用工具：

span style="font-family: Song body"

字典爆破--御剑：

span style="font-family: Song body" > dictionary burst - Sword:

DirBuster:

DirBuster:

当使用扫描工具对站点进行扫描，网站存在WAF后，会给我们的工具进行拦截，这时候我们需要修改User Agent值来绕过WAF的拦截，而DirBuster这款扫描工具便可以修改User Agent值，

Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html) 百度蜘蛛抓取欺骗

Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html) 100-degree spider grab fraud

Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html) 谷歌蜘蛛抓取欺骗

Mozilla/5.0 (compatible; Googlebot/2.1; http://www.google.com/bot.html) Google spider grab cheating

Firefox 3.6 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.8;baidu Transcoder) Gecko/20100722 Firefox/3.6.8 ( .NET CLR 3.5.30729) 百度转码浏览欺骗

Firefox 3.6 Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv: 1.9.2.8; baidu Transcoder) Gecko/20100722 Firefox/3.6.8 (.NET CLR 3.530729) 100-degree code-browing fraud

Chrome Mozilla/5.0 (en-us) AppleWebKit/534.14 (KHTML, like Gecko; Google Wireless Transcoder) Chrome/9.0.597 Safari/534.14 谷歌转码浏览欺骗

Chrhome Mozilla/5.0 (en-us) AppleWebKit/534.14 (KHTML, like Gecko; Google Wireless Transcoder) Crome/9.0597 Safari/534.14 Google Rogging

工具下载：https://pan.baidu.com/s/1u2mj_RjBUsBYi-sLxJXbQQ 密码：5h1m

tool download: https://pan.baidu.com/s/1u2mj_RjBUsBYi-slxJXbQQ password: 5h1m

爬虫也是一种目录扫描，通过爬虫分析网站目录结构从而可以判断出网站所使用的CMS和网站的脚本，运气好的话可以爬到一些信息泄露的目录和文件，能够进一步进行渗透测试。

reptiles are also a catalogue scan that analyses the directory structure of the web site so that it can judge the scripts of

爬虫--中国菜刀：

span style=font-family: Song body" > reptiles - Chinese kitchen knife:

链接：https://pan.baidu.com/s/1FTWbdm0ACMBQKL48ayuJMA 密码：3xix

https://pan.baidu.com/s/1FTWbm0ACMBQKL48ayuJMA password: 3xix

Webrobot:

Webrobot:

像这个网站便爬取到了可能是管理员的邮箱，丢社工库查询可能拿下邮箱，在Whois信息被管理员设置权限后通过爬虫爬到管理员邮箱，真是山重水复疑无路，柳暗花明又一村。

3.0、端口扫描

3.0, port scan

通过端口扫描可以判断出网站开启的服务，从而通过爆破枚举或者漏洞利用进行突破，进一步提升网站权限，端口扫描也是信息收集必备的操作。

is also essential for information gathering.

扫描到的端口也许是网站的一个旁站，可以尝试对旁站进行漏洞探测，但是有些服务开启的端口可能被管理员修改，通过手工判断分析即可（例如开启了8888端口，通过尝试远程桌面连接确定该端口为3389修改过的端口）。

Scanted port may be a by-site of the site, and some service opening ports may be modified by the administrator and analysed by manual judgement (e.g. 8888 port, which has been modified to 3389 by attempting remote desktop connections)./strong>

4.0, sideline C

旁站：同服务器其他站点

C段：同一网段其他服务器

对于防护比较强的主站，通常是很难挖掘到漏洞的，这时需要查看该站点的旁站，通过探测旁站的漏洞进行利用，从而拿下主站的权限。

当网站不存在旁站时，就需要进行C段探测（有些网站买断了相邻的几个IP做为分站，如果拿到分站的管理员敏感信息，如密码之类的，可以尝试对主站进行撞库），通过拿下C段中服务器进行ARP欺骗达到劫持域名的效果。

旁站--同IP网站查询

with IP website

C段--C段查询

, paragraph C -- paragraph C for

5.0、整站分析

5.0, full station analysis

5.1 服务器类型

5.1 server type

检测服务器平台、版本等，获取后可以制定漏洞挖掘方案（如IIS6.0存在解析漏洞等）。

IIS6.0 has an solver gap, etc.).

不区分大小写（页面正常）--Windows

- Windows

云悉WEB资产梳理

span style="font-family: Song body" >/span>WEB asset comb /strang >

云悉WEB资产梳理：

span style="font-family: Song body" >/span>WEB asset combing:

5.3 脚本类型

5.3 Script type

判断ASP、ASPX、PHP、JSP等

一、通过修改首页文件后缀查看页面响应判断。

.

通过修改index.xxx后缀内容（为ASP\ASPX\PHP\JSP），查看页面返回情况，页面返回正常便可以判断脚本类型，判断脚本类型是信息收集中最基本的工作之一。

by modifying index.xx postfix (for ASP\ASPX\PHP\JSP) to look at page returns and return to normal pages to determine script type, which is one of the most basic tasks in information collection.

二、通过搜索框查找相关文章辨别脚本类型。

ii. Find relevant articles in search boxes to identify script types./span>

在网站搜索框中输入任意字符，查询后，通过浏览器上的URL判断网站脚本类型。

enter any character in the search box of the site and, after querying, determine the site script type through the browse URL type.

三、通过爬虫工具爬取网站目录判断网站脚本类型。

iii.

5.4 CMS类型

5.4 CMS type

识别dedecms、phpcms、emlog、帝国cms等，通过网站使用的CMS找取该CMS已经公布的漏洞进行利用，进一步渗透网站。

dedecms, phpcms, emlogs, imperial cms etc., using the web site to exploit the leaks that the CMS has already published. further penetration

云悉在线WEB指纹CMS识别平台

span style="font-family: Song body" >

BugScaner Online Fingerprint Identification Platform

5.5 数据库类型

5.5 database type

access、sqlserver、mysql、oracle、postgresql等

access, sqlserver, Mysql, oracle, potgresql et al.

通常情况：access--asp mysql--php oracle--jsp sqlserver--aspx

span style= "font-family: Song body" > access-asp mysql-php oracle-jsp sqlserver-aspx

postgresql--php 数据库的类型判断对于SQL注入必关重要，只有通过知道数据库类型才能进一步对网站进行SQL注入。

postgresql - php database type judgement is essential for SQL injection, and further SQL infusion to the website can only be made by knowing the type of database.

也可以通过端口扫描器扫描出网站开放的端口，然后对应开启的数据库类型。

can also scan open portals through port scanners and then correspond to the type of database opened.

1433--sql server 3306--mysql oracle--1521 postgresql--5432

1433 -- sqlserv 3306 --mysql oracle -- 1521 postgresql -- 5432

access--默认不开放连接端口，数据库存储在FTP服务器上。

access -- default closed connection port stored on the FTP server.

端口扫描判断数据库类型的方法较为准确，但是管理员也可能选择不开放外网数据库端口，开放内网的数据库端口，也有些管理员喜欢使用站库分离的方法或者使用WAF进行拦截端口扫描来防护站点，这样我们通过端口扫描判断数据库类型的方法便有些失效了。

port method of scanning the database type is more accurate, but administrators may also choose not to open the outer database port, open the inner network database port, and some of them prefer to use site separation or use the WAF for blocking port scanning to protect the site, so that the method of determining database type through port scanning is somewhat ineffective.

在搜索框中输入XSS弹窗代码<script>alert('XSS')</script> ，WAF拦截后判断WAF。

二、搜索引擎的利用

span style= "font-family: Song body" >ii, use of search engines

2.0 谷歌Hacker

2.0 Google Hacker

利用google hacking可以快速的对目标进行信息收集。

google hackering can quickly gather information on targets.

谷歌入侵的原理是利用谷歌去搜索包括特定文本字符串的网页，通过搜索引擎往往能查找到我们需要的网站信息，如后台页面、敏感文件、目录遍历等。

1. intext:后台管理      

查询页面中含有后台管理的网站，这里还可以利用site:语句（下同）指定查找的网站（包含子域名）中页面含有后台管理的站点，

2.intitle：管理登录  

查找网站标题中存在管理登录的页面

3. filetype： pdf

查找网站中pdf格式的文件，也可以搜索网站sql或者压缩包等文件

4. inurl:  php?id=

查找url中带有php?id=的网站

5.site：baidu.com       

指定查找baidu.com网站的信息，一般能搜索出子域名

6.  filetype：pdf  site:baidu.com

查找baidu.com网站内所有pdf格式的文件， filetype：pdf 可以替换成其他语法。

2.1 shodan搜索引擎

2.1 shodan search engine

shodan网络搜索引擎偏向网络设备（摄像头、路由器）以及服务器（端口、开启服务、服务器平台版本）的搜索，具体内容可上网查阅，这里给出它的高级搜索语法。

shodan web search engine in favor of network equipment (camera, router) and server (port, open service, server platform version) search, which is available online, giving its advanced search syntax.