渗透测试系统学习-Day5(正式课开始)

简单写一个PHP程序

<?php
    echo "Hello World!";
    echo "<br>";
    echo "</br>";
    echo '你好啊世荣！';
?>

这是一波尴尬的测试.....

<?php
    $sex = '男';
    if($sex == '男')
    {
        echo "欢迎帅哥进来看看!";
    }
    else
        echo "欢迎小姐姐进来看看,店里最近搞活动!"
?>

好了严肃点，中间一波PHP的基础课，我是实在尬不下去了，赶紧开始我的正式课程吧，终于到了付费版。

1.信息收集

为什么要信息收集？ 是为了找到薄弱点进行攻击，针对不同的东西，我们信息收集的内容也是不同的

1.whois信息

注册域名所留下的一些信息，可以直接被查到。

国外的whois网站 在这里所查到信息更加完整,比如国内的whois隐藏了邮箱，而这里则是公开了。

另外知道了这个QQ号也就是说获得了一些关于QQ号的信息，还有邮箱地址，便可以进行钓鱼之类的敏感操作。

2.企查查，天眼查，小蓝本等进一步查询企业相关的信息，便于搜集。

带着一些兴趣去查了一下学校，没想到信息还蛮多的。

3.子域名(证书查询) HTTPS的网站需要SSL证书

域名：顶级域名 二级域名 三级域名 相同顶级域名的域名 a.zkzq.cn b.zkzq.cn 就是子域名 若果网站是HTTPS，那么查询这个网站就可以查到该网站的子域名 证书查询网站

这比扫描软件可快的不是半点。找漏洞是一个概率学：我们攻城，肯定是要多方面去尝试

4.端口探测 (namp主动式扫描)

电脑会开启一些端口，端口会承载一些功能，有一些端口会很容易存在漏洞，这个之前我就做过统计，相关文章可以在我这篇文章看到 端口信息 比如：445(永恒之蓝) 3389(爆破 0708) 6379(Redis未授权访问) 有些网站没有域名，直接给了端口(8080) 有域名的网站安全性大于没有域名的网站 80端口的网站 > 其他端口的网站(主站防御更强)

5.网络空间搜索引擎 针对于网络设备的探索 fofa 钟馗之眼

fofa这个网站可以直接搜索端口

在fofa的URL后面这样构造:

fofa.so/hosts/212.129.234.136

fofa其实有很多新奇的搜索思路，所以这里就不细说了。 CMS: 隐藏真实IP 钟馗之眼 搜索引擎——Shodan Shodan Shodan是一个基于拦截器的搜索引擎，可以帮助我们发现主要的互联网系统漏洞（包括路由器、交换机、工控系统等等）我们可以通过 Shodan 搜索指定的设备，或者搜索特定类型的设备。Shodan能找到的设备有很多，比如：服务器、路由器、交换机、公共ip的打印机、网络摄像头、加油站的泵、voip电话和所有 数据采集监控系统等。其中 Shodan 上最受欢迎的搜索内容是：webcam，linksys，cisco，netgear，SCADA等一个甚至可以看到摄像头漏洞的网站

6.目录扫描 (字典，然后依次拼接访问 主动式的扫描，有风险）

访问任何一个网站，其实都是在访问某个服务器的某个文件夹

不同的目录里面完全不同。 也能找到后台登陆地址、也能找到一些报错

你的IP被封了，可以用代理（买、https://bbs.zkaq.cn/t/4685.html）

状态码： 200 正常访问 302 跳转 404 不存在 403 没权限 50x 服务器内部错误

7.指纹识别

推荐平台： 云悉(收费) 微步 潮汐(推荐) 潮汐指纹识别

8.旁站查询：同IP站点就是旁站 （在线工具 - 站长工具）

同IP站点： 1.同服务器 2.同内网（内网渗透，防御性比较差）

采集路径，采集图片，采集固定文件名(计算MD5值) 计算文件

9.C段扫描： 192.168.1.1 - 192.168.1.255 同一个C段

x.x.x.1-255 166.111.4.100 1-255 很多公司财大气粗买IP的时候会用同一个段（同一机房、同一个公司）

10.内容敏感信息泄露

(低危漏洞)敏感信息泄露 客户信息 网站的敏感信息：路径，数据账号密码 谷歌语法：google hacking 利用谷歌搜索引擎去找一些敏感信息。 这里直接用百度搜索很难搜得到，毕竟谷歌镜像的存活时间也很短，这里推荐使用fofa，带上标签进行搜索 title="谷歌镜像"

1.filetype:xls 身份证号码 2.site:指定域名 功能越多，漏洞越多，有登陆，注册功能则更可能便于测试 后台暴露在公网上的一定都不太安全，时间长未更新的。

思路：通过找到表格，表单获得登录信息的账号(用户名、工号)从而获得爆破的可能。甚至结合起来可以找到默认密码加上用户名或身份证即可完成登录 密码社工字典

3.inurl:指定URL

site:lut.cn inurl:admin.php

https://chaxinlib.lut.edu.cn/index.php?action=adminLogin

这样就很奇妙的找到了一个站点，这可不许抢，自己去找hhhh。

site:lut.cn inurl:admin.php?id=123-1&cid=25
用来测试SQL注入的，用户传参会被当做代码执行

思路：观察网页面的后缀，通过谷歌语法进行搜索，判断是否是用了某个模板，进行指纹识别。如果是同一套CMS那么他们的路径或者登录后台大概也是一样的

4.intitle:指定标题

更多的google hacking的用法，网上也有很多记录，比如这篇文章: Google Hacking

为什么不直接用通配符的证书 答：移动端不兼容通配符证书 https:// 成本(研发运维) 安全性问题 多级子域名无法保护 *.zkaq.com

11.子域名探测法

(1)https证书查询
(2)搜索引擎
(3)旁站
(4)子域名扫描 Layer挖掘机+强大的字典   lijiejie sub(基于Python)

子域名扫描可以与网站交互，也可以与网站不交互(询问DNS服务器即可)和目录扫描不一样，正常情况下可直接访问。

域名查IP
IP反查域名(并不一定准确) 

因为之前有人查过，所以被记录了下来，所以不要随便查域名，原理类似于WIFi万能钥匙

12.Nmap端口扫描

尽量不要随便扫！！！它会访问65535次端口，并且会留下记录，这里我扫描的是我自己的站，域名和服务器都是我自己的，如果是合法渗透，当然可以随便用，但是未授权则不要用。

后面细说Namp这个工具，这篇文章不具体展开说。