基础篇（六）：信息打点

网站

网站架构

• 通过URL文件后缀判断。
  例如https://example.com/index.aspx可以判断出网站是ASP .NET架构搭建的。
• 通过搜索引擎搜索相关的文件，看网上有没有类似的。
• 通过中间件判断。
  • 看返回数据包里有没有信息。
  • 扫描端口。
• 通过数据库判断。
  • 扫描端口。

网站源码

源码的重要性

有了网站源码可以进行白盒测试，更清晰地分析漏洞。
网站源码可分为

• 开源：主要指开源CMS，源码通常在网上能搜到。
• 闭源售卖：给其他人使用但需要收费，且不会开放源代码。
• 自主研发：少数人自己编写并使用。

源码的获取方式

1、对于开源和闭源售卖的：

• 直接购买或下载

2、对于自主研发的：

• composer.json
• git源码泄漏
• svn源码泄露
• hg源码泄漏
• 网站备份压缩文件
• WEB-INF/web.xml泄漏
• DS_Store文件泄露
• SWP文件泄漏
• CVS泄漏
• Bzr泄漏
• Github源码泄漏

3、对于违法网站的：

• 黑灰产市场购买（暂不考虑）

域名

旁注

定义：同服务器不同站点的渗透方案。
场景：网站A无法渗透，可以通过旁注查询获取网站B及其他网站地址，渗透其他网站转而渗透A。权限足够的话，直接夸目录写SHELL，权限不够的话，尝试webshell提权获取服务器权限。

C段

定义：同网段不同服务器的渗透方案。
场景：旁注网站失效的情况（独立网站服务器或其他网站也渗透不成功），这时通过C段查询获取同网段上解析的站点进行渗透，再继续webshell提权获取服务器权限，再来进行内网渗透攻击目标网站服务器。

子域名

子域名是主域名的下一级域名。如官网使用www.example.com，邮箱使用mail.example.com，办公系统使用oa.example.com等等。

域名反查

域名反查是对域名执行的反向解析过程，它将一个域名解析为其对应的IP地址。

系统

• 查看系统上有哪些开放的端口
  • 工具：nmap、masscan
• 常用端口
  • MySQL：3306
  • SqlSever：1433
  • Oracle：1521
  • FTP：20/21
  • SSH：22

阻碍

CDN

‌‌CDN（Content Delivery Network）即内容分发网络，通过在网络各处放置节点服务器，使用户能够就近获取所需内容，降低网络拥塞，提高访问速度和响应速度。
使用超级ping工具检测：www.17ce.com
若解析IP为同一个，则说明该IP就是服务器IP；若解析IP有多个，则说明站点启用了CDN服务。
绕过方法：

• 分站域名
  很多网站主站的访问量会比较大，所以往往主站都挂着CDN的。但是分站就不一定了，毕竟CDN要钱，而且也不便宜。所以可能一些分站就没有挂着CDN，所以有时候可以尝试通过查看分站IP。
• 国外访问
  国内的CDN往往只会针对国内用户访问加速，国外就不一定了。因此通过国外代理访问就能查看真实IP了。或者通过国外的DNS解析，可能就能得到真实的IP。
  工具：https://tools.ipip.net/cdn.php
• 邮件服务
  一些网提供注册、忘记密码服务，可能会验证邮件，Web版的邮件管理可以通过查看网页源代码看到IP，当然这个IP不一定是主站的，需要验证。
• 利用SSRF、XSS漏洞。
• 找phpinfo()之类的探针。
• 社会工程学。
• 查看DNS历史。
• 全网扫描。工具：zmap。

WAF

WAF（Web Application Firewall），中文名为网络应用防火墙或Web应用防护系统，也被称为网站应用级入侵防御系统。
检测WAF种类的方法：

• wafw00f：wafw00f
• 看图识别：https://www.cnblogs.com/charon1937/p/13799467.html

APP/小程序

内部入手

反编译

• jadx
• AppInfoScanner
• JEB

  外部入手

• 抓包

加固加壳类

• Xposed框架
• Frida框架

信息收集工具项目

网络空间测绘

• Fofa
  网址：https://fofa.info
• 360Quake
  网址：https://quake.360.net/quake
• Shodan
  网址：https://www.shodan.io
• Zoomeye
  网址：https://www.zoomeye.org

自动化项目

• ARL灯塔
  快速侦察与目标关联的互联网资产，构建基础资产信息库。 协助甲方安全团队或者渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。
  网址：https://github.com/adysec/ARL

• ShuiZe
  协助红队人员快速的信息收集，测绘目标资产，寻找薄弱点。一条龙服务，只需要输入根域名即可全方位收集相关资产，并检测漏洞。
  网址：https://github.com/0x727/ShuiZe_0x727

• Kunyu
  全面描述和展示网络空间资产、网络空间各要素及要素之间关系，以及网络空间和现实空间的映射关系。
  网址：https://github.com/knownsec/Kunyu

单点项目

• OneForAll
  一款功能强大的子域收集工具
  网址：https://github.com/shmilylty/OneForAll

• ENScan_GO
  一款基于各大企业信息API的工具，解决在遇到的各种针对国内企业信息收集难题。一键收集控股公司ICP备案、APP、小程序、微信公众号等信息聚合导出。
  网址：https://github.com/wgpsec/ENScan_GO

• Finger
  一款红队在大量的资产中存活探测与重点攻击系统指纹探测工具
  网址：https://github.com/EASY233/Finger