Мист Блэйт: учебное пособие по сбору информации

Преподаватель: gh0stkey (https://www.zhihu.com/people/gh0stkey/answers)

Редактор: Фэйлун (https://github.com/)

Соглашение: CC BY-NC-SA 4.0 (http://creativecommons.org/licenses/by-nc-sa/4.0/)

Что собирать?

• Whois-информация:
  • регистрационное имя, адрес электронной почты и т. д.;
• IP-информация (IP-адрес сервера):
  • определение, является ли узел CDN, поиск сайтов с тем же IP, сканирование портов;
• информация о каталоге:
  • определение веб-приложения, получение информации о бэкэнде сайта, получение другой информации;
• сервисная информация:
  • определение сервиса, например IIS, Apache;
• скриптовая информация:
  • ASP, PHP, aspx (asp.net);
• фреймворковая информация:
  • ThinkPHP, Struts и др.;
• прикладная информация:
  • приложения, dedecms, phpcms и др.;
• субдоменная информация:
  • xxx.xx.com, xxx.xxx.xx.com.

Whois

Инструмент для запроса: http://whois.chinaz.com

IP-информация

Мы можем пропинговать определённый URL:

C:\Users\asus> ping www.hi-ourlife.com

正在 Ping www.hi-ourlife.com.cname.yunjiasu-cdn.net [162.159.209.78] 具有 32 字节的数据:
来自 162.159.209.78 的回复: 字节=32 时间=215ms TTL=52
来自 162.159.209.78 的回复: 字节=32 时间=217ms TTL=52
来自 162.159.209.78 的回复: 字节=32 时间=218ms TTL=52
来自 162.159.209.78 的回复: 字节=32 时间=222ms TTL=52

162.159.209.78 的 Ping 统计信息:
    数据包: 已发送 = 4，已接收 = 4，丢失 = 0 (0% 丢失)，
往返行程的估计时间(以毫秒为单位):
    最短 = 215ms，最长 = 222ms，平均 = 218ms

Однако очевидно, что этот IP-адрес является IP-адресом узла CDN.

Мы также можем использовать многоточечный инструмент ping для определения:

Как правило, сайты, использующие CDN, имеют разные результаты пинга в разных местах. Однако здесь он напрямую указывает на узел облачного ускорения Baidu.

Итак, как найти исходный IP-адрес станции?

1. Запрос субдомена: во многих случаях только основная станция использует CDN, а вторичная станция — нет, поэтому мы можем напрямую запросить IP-адрес вторичной станции. Метод поиска вторичной станции см. ниже.
2. Внутренние частичные CDN-сервисы предназначены только для внутреннего использования, и они почти не используют CDN для внешнего доступа. Поэтому мы можем использовать малоизвестный DNS для запроса доменного имени. Например, nslookup xxx.com 199.89.126.10.

C:\Users\asus\Desktop> nslookup hi-ourlife.com 199.89.126.10
服务器:  UnKnown
Address:  199.89.126.10

非权威应答：
名称：   hi-ourlife.com
Address:  45.64.65.85

3. История анализа записей: IP-адрес CDN ранее использовавшегося IP-адреса является истинным IP-адресом.

http://toolbar.netcraft.com/site_report?url=

4. Запрос электронной почты: многие серверы имеют встроенные функции отправки электронной почты, которые можно использовать для получения истинного IP-адреса. Пусть сайт активно отправляет электронные письма, затем щелкните правой кнопкой мыши, чтобы проверить исходный код, вы можете получить истинный IP-адрес.

Этот инструмент может обнаруживать вторичные станции: http://tool.chinaz.com/same/.

Сканирование портов можно выполнить с помощью Nmap, см. раздел «Nmap инструмента».

Информация о каталоге

1. Активное сканирование: сканирование, взлом паролей.

   • AVWS: на основе ссылок сайта (см. раздел AVWS инструмента).
   • Меч: на основе фиксированного словаря.

2. Пассивное сканирование: Burp Spider.

3. Google Hack.

   • intitle: поиск веб-страниц с определёнными символами в заголовке.
   • inurl: поиск URL-адресов, содержащих определённые символы.
   • intext: поиск определённых символов в текстовом содержании веб-страницы.
   • filetype: поиск файлов определённого типа.
   • site: поиск связанных с указанным сайтом URL-адресов.

4. robots.txt (дополнительно).

   Обратите особое внимание на часть Disallow.

5. Поиск сетевых устройств.

   • Зум: www.zoomeye.com.
   • Идиот: www.oshadan.com.

Поиск сетевых устройств может помочь вам найти множество страниц, которые поисковые системы не индексируют, обычно это страницы бэкэнда и т.д.

При построении поисковых ключевых слов:

• Система/бэкэнд, можно искать «xxx система/платформа/управление».
• Корпоративный класс, можно искать «xxx корпоративный/компания/платформа».

Например, нам нужно выкопать систему телекоммуникаций, мы можем искать «система телекоммуникаций/платформа/управление».

Здесь мы используем платформу Oshadan в качестве демонстрации, она может не только контролировать систему, но и находить некоторые внутренние сетевые системы. Обычно это системы управления энергопотреблением, системы мониторинга и т.д., которые обычно являются внутренними системами.

Обычно мы хотим выкопать системы некоторых компаний, таких как телекоммуникационные системы, мы можем выполнить поиск «телекоммуникационные системы/платформы/управления».

Вот мы нажимаем на полный поиск сети, мы видим много внутренних систем, которые внешние сети не могут видеть, обычно это внутренние системы, такие как системы управления энергопотреблением и системы мониторинга.

Сервисная информация

Проверьте заголовок ответа данных пакета Server, чтобы получить информацию о сервере. Например, Server:Microsoft-IIS/6.0.