【每天学习一点新知识】渗透测试信息收集篇

1、网页直接获取信息

2、端口扫描

3、子域名查询

4、 C段旁注

5、网络空间搜索引擎、谷歌语法

6、whois查询

渗透测试流程：

信息收集是渗透测试的前期工作，对于渗透测试来说十分重要。只有做好了充分的准备，才能打胜仗。那么今天就从信息收集开始学习吧~

信息收集的方式可以分为两种：主动和被动。

主动信息收集：通过直接访问、扫描网站，这种流量将流经网站
被动信息收集：利用第三方的服务对目标进行访问了解，比例：Google搜索、FOFA搜索等（谷歌和FOFA的搜索语法我在之前也有整合过）

1、网页直接获取信息

通过网页，我们可以找到很多信息，例如网页的url(一个完整的URL包括：服务方或协议、主机地址或端口、资源的具体地址，通过URL我们可以查到该网站的IP、该网站操作系统、脚本语言等)、在线客服、技术支持、关于公司的联系方式、后台登录接口、友情链接、某些二维码等。

2、端口扫描

通常在知道开启了哪些端口之后就知道了开启了哪些服务，然后就可以利用这些服务的已知漏洞进行攻击。

扫描工具：nmap、御剑、单线程python脚本、多线程python脚本

35.网络安全渗透测试—[信息收集篇4]—[端口扫描/常见端口服务]_qwsn的博客-CSDN博客

（1）nmap基础使用

·nmap IP -v（-v 显示扫描过程）
·扫描指定IP开放端口：nmap –sS -p 端口号 -v IP
·指定端口号1-65535，显示扫描过程：nmap IP -v -p 1-65535
·只扫描53，161端口：nmap IP -p 53,161
·穿透防火墙扫描：nmap –Pn/P0 -A IP
·快速扫描：nmap -F IP -v
·使用vuln脚本进行常见的漏洞扫描：nmap --script=vuln IP
·指纹识别扫描，扫描系统和程序版本号检测，并且输出详细信息：nmap -sV -v IP
·扫描整个C段，反向域名解析：nmap -sL -R IP/24 -v

（2）御剑扫描端口

（3）单线程python脚本：portscan.py

第一步：设置脚本中的目标IP和想要扫描的端口
靶机IP：remote_server_ip = “8.210.121.117”
待扫描端口：for i in range(1,65535)

#coding:utf-8
#!/usr/bin/env pythonimport socket
from datetime import datetime
from multiprocessing.dummy import Pool as ThreadPool# 设置靶机IP：remote_server_ip = "x.x.x.x"
remote_server_ip = "192.168.97.214"
ports = []
socket.setdefaulttimeout(0.5)def scan_port(port):try:s = socket.socket(2,1)res = s.connect_ex((remote_server_ip,port))if res == 0: # 如果端口开启 发送 hello 获取bannerprint 'Port {}: OPEN'.format(port)s.close()except Exception,e:print str(e.message)# 设置要扫描的端口：range(x,x)
for i in range(1,65535):        ports.append(i)# Check what time the scan started
t1 = datetime.now()
pool = ThreadPool(processes = 200)
results = pool.map(scan_port,ports)
pool.close()
pool.join()
print 'Multiprocess Scanning Completed in  ', datetime.now() - t1

第二步：修改后，直接运行即可，如下图所示

（4）多线程python脚本扫描网段：下载地址【https://github.com/AnthraX1/InsightScan】

详情见链接35.网络安全渗透测试—[信息收集篇4]—[端口扫描/常见端口服务]_qwsn的博客-CSDN博客

3、子域名查询

子域名信息收集总结_MX-LQ的博客-CSDN博客

通常，一台服务器上有很多个站点，这些站点之间没有必然的联系，是相互独立的，使用的是不同的域名（甚至端口都不同），但是它们却共存在一台服务器上。
如果我们要对某一个站点进行直接渗透无法突破时，那么我们可以对同服务器的其他站点进行渗透，只要能打破一个缺口，就能沦陷服务区上的整个站点，甚至是一个集群。

子域名的收集方法有很多，这里我分为两种：第一种在线子域名收集。第二种利用工具进行子域名收集。比较常见的在线子域名搜索（爆破）的网站有：在线子域名爆破-子成君提供、在线子域名查询等；子域名扫描工具有oneforall、layer子域名挖掘机、SubDomainsBrute等。

4、 C段旁注

对目标主机无计可施时，我们可以尝试一下从C段或者旁注入手。C段入侵是拿下同一C段下的服务器，也就是说是C段1-255中的一台服务器，然后直接从被端掉的服务器出发进行其他测试；旁注的意思就是从同台服务器上的其他网站入手，提权，然后把服务器拿下了，就自然把那个网站拿下了。两者的区别：C段：同网段不同服务器，旁注：同服务器不同站点。C段旁注扫描：同IP网站查询,C段查询,IP反查域名,在线C段,旁站工具 - WebScan

5、网络空间搜索引擎、谷歌语法

利用谷歌语法或者FOFA都可以帮助我们更快更高效的找到相应的网站。常用的空间搜索引擎一般有：FOFA、shodan、zoomeye。其中FOFA一般搜索到的是一些网站的信息，收集到的偏软件类信息比较多；而shodan和zoomeye则是搜索网络在线设备信息，偏向于收集硬件的信息。

具体的搜素语法可以参考谷歌/FOFA 常用搜索语法_RexHarrr的博客-CSDN博客，不过这个东西还是得自己多写多用才能记住捏

6、whois查询

域名whois查询工具,在线网站域名whois查询工具 - 在线工具-wetools.com微工具

不同域名后缀的信息是需要我们到不同的whois域名查询系统去进行查询的。每个域名或IP的WHOIS信息都是由相对应的信息产业管理机构保存。"WHOIS"是当前域名系统中不可或缺的一项信息服务。

大多数网民在使用域名进行Internet冲浪时都希望进一步了解域名、名字服务器的详细信息，这时我们就会用到WHOIS域名查询系统。对于域名的注册服务机构(registrar)而言想要准确的确认域名数据是否已经注册到域名注册中(registry)也是会常常用到WHOIS域名查询系统的。