浅谈Web渗透之信息收集（上）

作者 |林海文 上海控安可信软件创新研究院汽车网络安全组版块 |鉴源论坛 · 观模社群 |添加微信号“TICPShanghai”加入“上海控安51fusa安全社区”
信息收集在渗透测试过程中是最重要的一环，“浅谈web渗透之信息收集”将通过上下两篇，对信息收集、渗透攻击两块进行探讨，分享目前国内外常用的信息收集工具。本篇重点讨论Whois查询与域名信息收集。

01

概 要

1.1 渗透测试目的

通过渗透测试的方式，模拟黑客的攻击思路与技术手段，达到从攻击者角度，发现平台存在的安全隐患；深度挖掘渗透测试范围内应用系统各个层面（应用层、网络层、系统层）的安全漏洞；检验当前安全控制措施的有效性，针对发现的安全风险及时进行整改，增强系统自身防御能力，提升安全保障体系的整体健壮性。渗透测试作为独立的安全技术服务，其主要目的就在于验证平台系统的技术安全性，通过渗透测试，可在技术层面定性的分析系统的安全性。

1.2 常见参考标准

1.3 渗透测试流程

渗透测试流程总体分为7大部分，分别为前期交互、信息收集、威胁建模、漏洞扫描、渗透攻击、后渗透测试、形成报告。本文主要针对信息收集、渗透攻击两块进行讲解，这也是渗透测试中最为核心的两大块。

总流程如图所示：

图1 渗透测试总流程

02

信息收集

2.1 信息搜集与分析

根据平台委托范围和时间，对目标系统进行信息搜集与分析，信息搜集是每一步渗透攻击的前提，通过信息搜集可以有针对性地制定模拟攻击测试计划，提高模拟攻击的成功率，同时可以有效的降低攻击测试对系统正常运行造成的不利影响。信息搜集的目标是得到主机存活情况、DNS名、IP地址、网络链路，网络拓扑信息、操作系统指纹、应用类型、账号情况、系统配置等有价值的信息，为更深层次的渗透测试提供资料。同时通过对目标地址进行漏洞扫描，鉴定其操作系统，确定其所开放的TCP/UDP端口及服务的数量和类型，这是所有渗透测试的基础。通过对某某网络信息收集分析，可以相应地、有针对性地制定模拟黑客入侵攻击的计划，以提高入侵的成功率、减小暴露或被发现的几率。信息收集的方法包括主机网络扫描、操作类型判别、应用判别、账号扫描、配置判别等等。主要方式有两种，主动和被动。

2.2 收集什么信息

· Whois

· 域名信息收集

· 端口探测

· 旁站、C段

· 目录扫描、敏感信息泄露

· 指纹识别、架构探测

2.2.1 Whois

Whois是用来查询互联网中域名的IP以及所有者等信息的传输协议。可以获取关键注册人的信息，包括注册商、所有者、邮箱、联系电话、域名状态、域名注册时间、域名到期时间、DNS服务器等。

✦ 常用工具

a. 站长之家：

http://whois.chinaz.com/

b. 国外的who.is：

https://who.is/

c. 爱站：https://whois.aizhan.com/

d. 微步：

https://x.threatbook.cn/

e. 全球WHOIS查询：

https://www.whois365.com/cn/

f. VirusTotal：

https://www.virustotal.com/gui/home/upload

g. 阿里云：

https://whois.aliyun.com/

2.2.2 域名信息收集

子域名：域名按照层级可以分为顶级域、主域名、子域名等。例如.com是顶级域，主域名是ticpsh.com，子域名则是在主域名的前面添加自定义名称，例如像www.ticpsh.com 、mail.ticpsh.comt这一类都可统称为子域名。一/二/三级域名：以www.ticpsh.com为例，.com为顶级域名/一级域名，ticpsh.com为二级域名，www.ticpsh.com为三级域名。那回到本篇主题，搜集子域名的目的是什么？众所周知，一个网站的主站通常更安全，而一些不常用或新上线的子站安全性往往较差，可能成为系统的弱点。因此子域名可以用来扩大攻击的范围，同一个域名下的二级域名都属于相同资产，一般而言都有一定的联系。所以在渗透过程中，收集子域名可以发现更多测试范围内的资产来增加发现漏洞的机率。

下面列举常见的四大搜集方法及对应的工具：

✦ 采用检测工具a. 高并发的DNS暴力枚举工具：

subDomainsBruteSub扫描方法：

扫描结果:

b. 子域名挖掘机：

layer.exe

c. 收集能力强大的开源子域收集工具：

OneForAll

✦ 采用搜索引擎

利用Google、Bing 、shodan和百度这样的搜索引擎进行搜索查询，例如：

✦ 采用三方聚合平台应用a. VirusTotal：

https://www.virustotal.com/#/home/search

b. DNSdumpster：

https://dnsdumpster.com/

✦ 查询SSL证书

域名、子域名和邮件地址常常也会包含在SSL/TLS证书内，因此也可通过证书查询的方式获取到需要的信息。

a.

https://crt.sh/

b.

https://censys.io/

c.

http://z.zcjun.com/

进阶利用

email：邮箱命名规则、公司是否具有邮箱默认密码（这个可以采取社工

员工号：很多oa、um、sso系统都是采用员工号登录，知道员工号的规则尝试进行撞库

商家信息：如果是一些具有商家系统的，能收集到一些商家账户

敏感目录：网站后台目录／一些登录地址／一些接口目录

敏感文件：比如数据库配置文件、网站源码啊、数据库备份文件等

中华人民共和国网络安全法

第二十七条

任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动:不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具，明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。

声明：本文章所分享内容仅用于网安爱好者之间的技术讨论，禁止用于违法途径，所有渗透都需获取授权！否则需自行承担，本文章及原作者不承担相应的后果。

审核编辑 黄宇