Skip to content
体验新版
项目
组织
正在加载...
登录
切换导航
打开侧边栏
OpenDocCN
mst-sec-lecture-notes
提交
8da2751c
M
mst-sec-lecture-notes
项目概览
OpenDocCN
/
mst-sec-lecture-notes
通知
0
Star
0
Fork
0
代码
文件
提交
分支
Tags
贡献者
分支图
Diff
Issue
0
列表
看板
标记
里程碑
合并请求
0
Wiki
0
Wiki
分析
仓库
DevOps
项目成员
Pages
M
mst-sec-lecture-notes
项目概览
项目概览
详情
发布
仓库
仓库
文件
提交
分支
标签
贡献者
分支图
比较
Issue
0
Issue
0
列表
看板
标记
里程碑
合并请求
0
合并请求
0
Pages
分析
分析
仓库分析
DevOps
Wiki
0
Wiki
成员
成员
收起侧边栏
关闭侧边栏
动态
分支图
创建新Issue
提交
Issue看板
前往新版Gitcode,体验更适合开发者的 AI 搜索 >>
提交
8da2751c
编写于
3月 01, 2017
作者:
W
wizardforcel
浏览文件
操作
浏览文件
下载
电子邮件补丁
差异文件
info
上级
4b582d8b
变更
2
隐藏空白更改
内联
并排
Showing
2 changed file
with
222 addition
and
126 deletion
+222
-126
信息收集.md
信息收集.md
+222
-0
挖掘篇.md
挖掘篇.md
+0
-126
未找到文件。
信息收集.md
0 → 100644
浏览文件 @
8da2751c
# 米斯特白帽培训讲义 信息收集
> 讲师:[gh0stkey](https://www.zhihu.com/people/gh0stkey/answers)
> 整理:[飞龙](https://github.com/)
> 协议:[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
## 收集什么?
+
Whois信息
+
注册人名字、邮箱等
+
IP信息(服务器的IP)
+
判断是否为CDN节点,查询同IP网站,端口扫描
+
目录信息
+
判断WEB应用,获取网站后台目录,获取其他
+
服务信息
+
判断服务,例如:IIS、Apache
+
脚本信息
+
ASP、PHP、
`aspx`
(asp.net)
+
框架信息
+
ThinkPHP、Struts等
+
应用信息
+
应用,dedecms、phpcms等
+
子域名信息
+
`xxx.xx.com`
`xxx.xxx.xx.com`
## WHOIS
查询工具:
<http://whois.chinaz.com>
。
## IP 信息
我们可以
`ping`
某个 URL:
```
C:\Users\asus> ping www.hi-ourlife.com
正在 Ping www.hi-ourlife.com.cname.yunjiasu-cdn.net [162.159.209.78] 具有 32 字节的数据:
来自 162.159.209.78 的回复: 字节=32 时间=215ms TTL=52
来自 162.159.209.78 的回复: 字节=32 时间=217ms TTL=52
来自 162.159.209.78 的回复: 字节=32 时间=218ms TTL=52
来自 162.159.209.78 的回复: 字节=32 时间=222ms TTL=52
162.159.209.78 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 215ms,最长 = 222ms,平均 = 218ms
```
但显然,这里的 IP 是 CDN 的 IP。
我们可以使用
[
多地`ping`工具
](
http://ping.chinaz.com/
)
来判断:
一般来说,使用了 CDN 的网站在不同地点的
`ping`
结果是不一样的。不过这里它直接写出了百度云加速节点。
那么如何找出源站 IP 呢?
1.
查询子域:许多情况下只有主站使用了 CDN,二级站点并没有,所以我们就可以直接查询分站的 IP。分站的搜索方法见下文。
2.
国内部分 CDN 服务只针对国内,对国外的访问几乎不使用 CDN。所以我们可以通过国外冷门 DNS 查询域名。比如,
`nslookup xxx.com 199.89.126.10`
。
```
C:\Users\asus\Desktop> nslookup hi-ourlife.com 199.89.126.10
服务器: UnKnown
Address: 199.89.126.10
非权威应答:
名称: hi-ourlife.com
Address: 45.64.65.85
```
3.
历史解析记录:CDN 的 IP 地址之前所用的 IP 就是真实 IP。
<http://toolbar.netcraft.com/site_report?url=>
4.
查询邮件:很多服务器自带邮件发送功能,可以利用它来获取真实 IP。让站点主动发送邮件,然后右键查询源代码,就能获得真实 IP。
这个工具可以检测旁站:
<http://tool.chinaz.com/same/>
。
端口扫描可以使用 Nmap 进行,请见“工具篇 Nmap”一节。
## 目录信息
1.
主动式扫描:爬虫、暴力破解
+ AVWS:根据站点的链接(见“工具篇 AVWS”一节)
+ [御剑](http://www.jb51.net/softs/43405.html):根据固定的字典
2.
被动式扫描:Burp Spider
3.
Google Hack
+ `intitle`:搜索网页标题中包含有特定字符的网页
+ `inurl`:搜索包含有特定字符的 URL
+ `intext`:搜索网页正文内容中的指定字符
+ `filetype`:搜索指定类型的文件
+ `site`:搜索与指定网站有联系的 URL
4.
`robots.txt`
(补充)
重点看`Disallow`的部分。
5.
联网设备搜索
+ 钟馗之眼`www.zoomeye.com`。
+ 傻蛋`www.oshadan.com`。
联网设备搜索引擎可以检索到许多搜索引擎不收录的页面,通常是后台等页面。
构造检索关键词时:
+ 系统/后台类,可以搜索“xxx系统/平台/管理”。
+ 企业类,可以搜索“xxx企业/公司/平台”。
比如我们要挖电信的系统,可以搜索“电信系统/平台/管理”。
这里使用傻蛋这个平台演示一下,它不仅仅能监控系统,还能搜索到一些内网的系统。比如我们要挖一些电信系统,这里点击全网搜索,可以看到很多外网看不到的内部系统。
我们点击其中一个“汕尾用电监控系统”,可以看到详细的用电情况,这个就属于一种越权或者绕过。
## 服务信息
查看返回的数据包的
`Server`
头,获取
`Server`
信息。如
`Server:Microsoft-IIS/6.0`
。
```
GET / HTTP/1.1
Host: www.hi-ourlife.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:49.0) Gecko/20100101 Firefox/49.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: __cfduid=d85643dc07ab45d17ec48c37dde7145d11480308480; PHPSESSID=qfg2unrqvc1adhvcpn8ejhguqulakcd2; CNZZDATA1258769653=1514150716-1480308628-%7C1480308628; timezone=8
X-Forwarded-For: 127.0.0.1
Connection: keep-alive
Upgrade-Insecure-Requests: 1
HTTP/1.1 200 OK
Date: Mon, 28 Nov 2016 05:43:11 GMT
Content-Type: text/html; charset=utf-8
Transfer-Encoding: chunked
Connection: keep-alive
Product: Z-BlogPHP 1.5 Zero
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Vary: Accept-Encoding
Server: yunjiasu-nginx
CF-RAY: 308b8035114c226a-LAX
Content-Encoding: gzip
```
这个封包告诉我们服务器是 Nginx。
## 脚本信息
1.
查看返回的数据包中的
`X-Powered-By`
的值
2.
查看cookie中的信息
```
PHPSESSID
ASPSESSID
```
比如上面的封包中出现了
`PHPSESSID`
,说明站点很可能使用 PHP 编写。
## 框架信息
通过报错信息或是URL结构获取网站使用的框架信息。如ThinkPHP,Struts等。
## 应用信息
目录特征、文件特征、指纹扫描工具、网站特征等。
比如存在
`wp-login.php`
就可能是 WordPress。
## 子域名信息
+
[
子域名挖掘机
](
http://www.cnseay.com/3590/comment-page-1/
)
+
搜素引擎:
`site:*.xxx.com`
## 个人信息
[
社会工程学
](
http://baike.baidu.com/item/%E7%A4%BE%E4%BC%9A%E5%B7%A5%E7%A8%8B%E5%AD%A6
)
:使人们顺从你的意愿、满足你的欲望的一门艺术与学问。
QQ 空间人肉方法的思维导图:
## 附录
+
[
信息安全泄露只在一念之间(一)企鹅扣扣
](
https://zhuanlan.zhihu.com/p/23635061
)
+
[
社工研究组文集
](
https://pan.baidu.com/share/link?shareid=2318908755&uk=1947372036&fid=74383462672650
)
+
[
Kali Linux 秘籍 第四章 信息收集
](
http://www.jianshu.com/p/366e00c32d2b
)
+
[
Kali Linux Web 渗透测试秘籍 第二章 侦查
](
http://www.jianshu.com/p/ad77b3af8651
)
挖掘篇.md
已删除
100644 → 0
浏览文件 @
4b582d8b
# 米斯特白帽培训讲义 挖掘篇
> 讲师:[gh0stkey](https://www.zhihu.com/people/gh0stkey/answers)
> 整理:[飞龙](https://github.com/)
> 协议:[CC BY-NC-SA 4.0](http://creativecommons.org/licenses/by-nc-sa/4.0/)
## 信息侦探
信息侦探技术用于得到网站信息,包括网站服务器、WHOIS 信息,网站用户信息,网站程序信息以及其他。这些信息服务于我们的渗透测试。
信息侦探所用的工具和技术有很多种,主要是站长之家、搜索引擎、站内搜索、社工平台、Maltego、御剑和 Nmap 等等。
### 站长之家
我们访问站长之家工具
`http://tool.chinaz.com/`
:
可以看到其中包含很多工具,我们点击“WHOIS 查询”:
我们可以尝试查询
`www.baidu.com`
的 WHOIS,结果如下:
可以看到联系人和联系方式。如果对方是个小网站,可能就不注意保护个人隐私,我们还可能会看到更多。
然后查询它的 Alexa:
### 搜索引擎
我们可以使用
`site:baidu.com`
或者
`inurl:baidu.com`
来搜索
`baidu.com`
的子域名。
## 厂商寻找
### 厂商是什么
厂商可以是一个网站(Web 应用),或者一段程序(PC、移动应用)。从白帽子的角度来说,两个都是厂商,都可以挖掘。
### 基于漏洞平台的寻找
现在国内有三大漏洞平台:
**补天**
补天是零门槛的,不需要邀请码。
目前已加入补天的所有厂商请见
`https://butian.360.cn/company/lists`
。不同的是,它设置了私有 SRC 厂商,请见
`https://butian.360.cn/company/reward`
。私有 SRC 厂商即付费厂商,是给现金奖励的。
此外,如果发现其他网络的漏洞也可以提交,补天并不只收列出来的厂商。
**乌云**
由于现在已经关闭了,这里只是稍微提一下。
厂商请见
`http://www.wooyun.org/corps/`
,同样不只收列出来的厂商。
乌云的账号注册需要邀请码。如果没有也不影响漏洞提交,漏洞审核之后会发给你邀请码。
**漏洞银行**
厂商列表
`http://www.bugbank.com/tasklist.html`
。需要邀请码,并且只收列出来的厂商,奖金也比较丰富。
### 基于搜索引擎的寻找
主要推荐四大搜索引擎:
+
百度
`www.baidu.com`
。
+
谷歌
`www.google.com`
。
+
钟馗之眼
`www.zoomeye.com`
。
+
傻蛋
`www.oshadan.com`
。
前两个是通用搜索引擎,Google/Baidu Hack 的技巧不多说了。
那么如何构建搜索关键词?
+
系统/后台类,可以搜索“xxx系统/平台/管理”。
+
企业类,可以搜索“xxx企业/公司/平台”。
比如我们要挖电信的系统,可以搜索“电信系统/平台/管理”。
这里使用傻蛋这个平台演示一下,它不仅仅能监控系统,还能搜索到一些内网的系统。比如我们要挖一些电信系统,这里点击全网搜索,可以看到很多外网看不到的内部系统。
我们点击其中一个“汕尾用电监控系统”,可以看到详细的用电情况,这个就属于一种越权或者绕过。
## 漏洞提交
漏洞提交需要满足两个条件,第一个是自己先要确认能够利用。不能在扫描器扫到之后就立即提交,自己先要手动试一遍。第二个是要证明其危害。比如一个 SQL 注入漏洞,你首先需要用 SQLMap 检测一遍确认漏洞的确存在,其次你需要使用
`--count`
参数来确认它的数据量。
下面以补天为例讲解一下漏洞提交的过程。
访问补天之后先登录,登录之后在个人页面上有个“提交漏洞”的按钮,点击之后会跳转到提交页面
`https://butian.360.cn/vul/submit`
:
这些是需要详细填写的信息,比如说我们在腾讯某分站上发现了一个 SQL 漏洞。
+
问题类型:如果是开源的软件/网站,选择“通用型漏洞”,否则选择”事件型漏洞“。这里我们选择后者。
+
漏洞标题:一般是“xxx网站yyy页面存在zzz漏洞”,比如“腾讯某分站存在 SQL 注入漏洞”。
+
厂商:事件型写公司名称。通用型漏洞就无所谓了,写程序名称(比如 DedeCMS),开发组名称,或者公司(如果有的话)都可以。这里我们写“腾讯”。
+
域名:公司域名,或者该软件主页的域名。这里我们写
`www.qq.com`
。
+
漏洞类型:因为我们已经知道它是什么漏洞了,这里如实填写就行了。这里我们填“SQL 注入”。
+
漏洞等级:如果泄露了用户信息那肯定是高危,其它的就看着选吧。这里我们选“高危”。
+
漏洞描述:随便写。
+
漏洞细节:对于 SQL 注入来说,首先要写上注入点,比如是
`xxx.qq.com/yyy.php?id=zzz`
。然后留下一张利用的证明,这里是 SQLMap 检测到注入的截图。然后再留下一张危害证明,这里是 SQLMap 获取
`--count`
的结果截图。
+
修复方案:对于 SQL 注入,写什么预处理或者过滤都可以。
编辑
预览
Markdown
is supported
0%
请重试
或
添加新附件
.
添加附件
取消
You are about to add
0
people
to the discussion. Proceed with caution.
先完成此消息的编辑!
取消
想要评论请
注册
或
登录
