渗透测试，你真的会收集信息吗？

2016-09-12 Augus 边界安全
战争的时候，情报应该是最重要的一个因素之一了。
那么我们在渗透测试的时候呢？
有人会说无图你言卵，无案例你言屌。
表哥真的不是这样的人,本篇文章将会分享表哥的信息收集流程，真实案例。
有可能我收集的方式还不是很全面，请大家多多指教。
不多废话了上图：

有人会说流程图看着很乱啊，其实每条线连贯起来看，就不会乱了，是不是想打我。
不要慌，下面就进行流程图拆分讲解。
信息收集，要测试的站点明确
① 站点信息：收集测试站点的，服务器信息，网站语言，网站框架，是否有waf拦截
目录结构：收集的方式有爬虫采集，目录扫描等等。分析是否有备份文件，通用编辑器路
径，网站框架漏洞。
目录结构这一块有一个语言要特殊说明一下****：网站.NET语言开发，MVC框架，Model（模型）View（视图）Controller（控制器）简称MVC。因为MVC框架开发的网站，是要配置路由的，当然并不是只有MVC框架才能配置路由这个功能，普通站点也是可以的，遇到这样的目录结构希望能知道为什么是这样的路径
路由资料：http://www.cnblogs.com/oer2001/archive/2013/03/19/2968887.html

配置出来以后显示模式比如:www.xxx.com/index or www.xxx.com/index/getinfo/2,这个样子的解析
（index就是Controller，getinfo是Controller里面的方法，2就是getinfo的参数了）
所以一般扫描碰到这样的就懵逼了。

①
邮箱/用户名等等：邮箱页面采集就好了，一般联系我们模块有。用户名怎么收集呢，一般网站发表文章会存在，作者。那就不好意思了作者一般就是网站用户啦。
那收集出来干吗，结合上面的目录收集，是否有管理登录页面，是否可有尝试爆破，弱口令探测等等
②
主机端口：探测开启的端口，比如PHPMYADMIN，FTP,3389，21,3306等这些可以爆破的，webservice地址，通用站点管理框架，tomcat，weblogic，别的端口是否存在站点(跳回目录结构)，webservice(http://www.cnblogs.com/Jessy/p/3528341.html)是否泄漏敏感信息(跳回邮箱/用户名)
③
子域名收集：有的站点会用二级域台甚至三级域名做后台(admin.xxx.com)或者二级域名站点不严谨,那么我们就可以进行旁站（如果主站存在CDN，可以利用二级域名获取真实IP）。
④
Whios:Whios信息采集，分为注册人，域名反查
⑤
注册人信息：收集联系邮箱，联系人姓名，联系电话，注册地址，公司信息用收集到的信息进行社会工程学，这一点我不是很会。一般都找95zz老大出马，团队合作，其利断金。
⑥ 域名反查：根据联系人/注册名，来反查这个人注册的所有域名，方便下面分析。
⑦ 站点信息收集：根据上面反查出来的站点进行站点对比，是否跟要测试的站点有关联呢，共用程序，解析ip一样，用别的域名来昨晚主站的后台地址等等(跳转站点信息节点)
⑧ 信息对比归档：就是信息归类，很多时候不缺乏一朝顿悟，但是找相关站点取记不得哪去了啊，所以信息对比归类很重要

---

** 下面是实例讲解，域名打码不上图纯文字，绝对不是虚拟的。**
站点信息:www.0101.com .net语言，MVC 框架，存在360主机，CDN加速
目录结构:没找到能利用的，伪静态站点，结构比较奇葩
存在子域名：zp.0101.com 视频站点
New.0101.com 文章站点
端口：82,8001,8003
82是webservice，8001,8003，无利用

写个工具把所有信息爬出来
管理信息

公司信息

部门信息

信息有了没登录地址怎么办呢，Whios信息收集
注册邮箱xxx@qq.com->社工我不行放弃，
域名反查：0001.com,0002.com,0003.com等等
站点信息对比，是否跟要测试的站点想关联呢，答案是有的哈哈，主程序是一样的，但是多了很多二级域名作为内部程序，比如 jms.0001.com 是项目管理系统，admin.0002.com 后台管理系统，xxcms.0003.com cms系统等等，还有很多没用的二级域名，
Admin.0002.com 存在注入漏洞，普通权限，单库权限，首先获取admin数据

OK 在集中我刚主站收集的admin信息，来组装自定义爆破字典

进行爆破，所以最好所有能查到的管理系统都破了
最好收集信息的结构图为下面所示：

杂项里面放点东西如图：

全文完，不足之处请多多指教。