信息收集指纹识别
Posted Edward Hopper
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了信息收集指纹识别相关的知识,希望对你有一定的参考价值。
一、指纹识别介绍
指纹收集是信息收集非常重要的一个环节,通常包括系统,中间件,web程序,防火墙四个方面。比如在web程序指纹中的cms识别可以直接查找已有的漏洞进行利用,其他方面也都有助于下一步的攻击操作。
先来几个在线工具:
TideFinger 潮汐指纹 TideFinger 潮汐指纹
二、指纹收集方法
1.系统指纹识别
(1)使用工具nmap -O ip命令对目标主机进行识别,通过tcp/ip数据包发到目标主机,每个操作系统对处理tcp/ip包不同,通过差异来识别主机操作系统,还有其他工具
(2)通过端口扫描的方式来推测系统指纹,windows有特有的服务,比如3389端口RDP协议,445端口smb协议,80端口iis
(3)如果目标主机有web端,可以在url后面的文件目录地方改大小写判断,一般windows对大小写不敏感,linux对大小写敏感,意味着如果输入大写后网页正常显示则大体能判断为windows系统
2.中间件指纹识别
(1)通过端口收集,常见的web中间件对应端口有,直接用nmap扫一扫
apache:80
nginx:80
tomcat:8080
jboss:8080
weblogic:7001
(2)看响应包的server字段,该字段是http服务器的安装信息,直接f12里的network选项重新请求页面会有响应包
3.web程序指纹识别
1.开发语言识别
(1)url目录文件后缀名识别
(2)http响应包x-powered-by字段,若被意识好的处理后就没有
(3)cookie:phpSESSIONID->php,JSPSESSIONID->jsp ASPSESSIONIDAASTCACQ->asp
2.开发框架
开发框架一般可以理解为方便开发,给了你砖你只需要用砖盖房子,就不需要从零开始先造砖了,而框架也有漏洞,如果一个特别火的框架出现漏洞是毁灭性的问题
(1)php的thinkphp框架识别方法特定ico图标
(2)Action后缀90%几率struts.2或者webwork
(3)do后缀50%几率spring mvc
(4)url路径/action/xxx70%几率struts2
(5)form后缀60%几率spring mvc
(6)Vm后缀90%几率VelocityViewServlet
(7)jsf后缀99%几率Java Server Faces
一般用工具收集
3.第三方组件
包括流量统计、文件编辑器、模板引擎。识别方法:一般目录扫描。FCKeditor、CKEditor。
4.cms程序
cms可以理解为给一个毛坯房只需要装修,灵活性要比框架差很多,但是可以在短时间内完成建站
(1)一般通过特定文件夹识别:dede/、admin/admin_Login.aspx...
(2)展示页面的细节如Powered by **
(3)网站favicon图标
一部分考经验,用工具收集会方便很多
(4)御剑web指纹识别系统
5.数据库
(1)通过一些常用的语言和数据库的组合常规判断,asp->sql server,php->mysql,.jsp-oracle,其实也是经验
(2)网站错误信息
(3)端口服务,如:sql server:1443,mysql:3306,oracle:1521
4.防火墙指纹识别
wafw0of工具
web安全--信息收集
title: 信息收集
date: 2021-12-01 09:13:44
tags: Information Gathering
收集思路
架构
cms 识别
这个可以用一些工具像御剑cms等等也可以用一些在线的cms识别像云悉指纹等等
**云悉指纹:**http://www.yunsee.cn/finger.html
在线cms识别小工具:http://whatweb.bugscaner.com/
在知道了cms之后如果是开源的cms可以自己搭建一个平台可以获得许多信息,如文件地址,默认密码等等
搭建习惯
目录型站点 :资源放在同一个根目录下,以不同的目录名作为区分
端口类站点 :网站以不同的端口区分
子域名站点 :网站以不同的网址区分
具体就是在在主域名下划分几个子域名用来指代不同的资源
旁注,C 段站点 :
旁站:指的是同一服务器上的其他网站,查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话,可以先拿下其他网站的webshell ,进而获得目标服务器的权限
C段:指的是同一内网段内的其他服务器
比较好用的在线探测工具:
http://www.webscan.cc/
http://www.5kik.com/
CDN 绕过
CDN 的全称是 Content Delivery Network,即内容分发网络。CDN 是 构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器, 通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所 需内容,降低网络拥塞,提高用户访问响应速度和命中率。但在安全测试过 程中,若目标存在 CDN 服务,将会影响到后续的安全测试过程。
如何判断目标存在 CDN 服务?
利用多节点技术进行请求返回判断
http://ping.chinaz.com/
存在多个地区的响应一般来说含有CDN服务
如何绕过CDN服务
子域名查询:
某些企业业务线众多,有些站点的主站使用了CDN,或者部分域名使用了CDN,某些子域名可能未使用。查询子域名的方法就很多了:
在线网站有DNSDB等等
邮件服务查询:
对于某些网站我们访问它
国外地址请求
通过国外得一些冷门得DNS或IP去请求目标,很多时候国内得CDN对国外得覆盖面并不是很广,故此可以利用此特点进行探测。 通过国外代理访问就能查看真实IP了,或者通过国外的DNS解析,可能就能得到真实的IP查询网站:
遗留文件:
扫描全网:
号称44分钟扫描全网的nmap 具体可以参考这篇文章
简单获取CDN背后网站的真实IP - 安全客 - 有思想的安全新媒体 (360.cn)
黑暗引擎搜索特定文件
dns 历史记录:查询ip与域名绑定历史记录,可能会发现使用CDN之前的目标ip查询网站有
网站测速|网站速度测试|网速测试|电信|联通|网通|全国|监控|CDN|PING|DNS 17CE.COM
以量打量:将对方的CDN的流量打光
WAF防护分析
WAF:Web应用防护系统(也称为:网站应用级入侵防御系统。英文:Web Application Firewall,简称: WAF)。利用国际上公认的一种说法:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Wweb应用提供保护的一款产品。
Waf识别:目前好用的waf识别工具有waf00f
其他
GitHub监控:
便于收集整理最新的poc或者exp
便于发现相关的测试目标的资产cccc
Shuize
下载地址
0x727/ShuiZe_0x727: 信息收集自动化工具 (github.com)
语法 | 功能
| :----------------------------------------------------------------------------- | :---------------------
| python3 ShuiZe.py -d domain.com | 收集单一的根域名资产
| python3 ShuiZe.py --domainFile domain.txt | 批量跑根域名列表
| python3 ShuiZe.py -c 192.168.1.0,192.168.2.0,192.168.3.0 | 收集C段资产
| python3 ShuiZe.py -f url.txt | 对url里的网站漏洞检测
| python3 ShuiZe.py --fofaTitle XXX大学 | 从fofa里收集标题为XXX大学的资产,然后漏洞检测 |
| python3 ShuiZe.py -d domain.com --justInfoGather 1 | 仅信息收集,不检测漏洞
| python3 ShuiZe.py -d domain.com --ksubdomain 0 | 不用ksubdomain爆破子域名
以上是关于信息收集指纹识别的主要内容,如果未能解决你的问题,请参考以下文章