2023年6月24日发(作者：)

Web渗透测试-实战⽅法思路总结尽可能的搜集⽬标的信息端⼝信息DNS信息员⼯邮箱信息搜集的分类1、主动式信息搜集（可获取到的信息较多，但易被⽬标发现）2、通过直接发起与被测⽬标⽹络之间的互动来获取相关信息，如通过Nmap扫描⽬标系统。3、被动式信息搜集（搜集到的信息较少，但不易被发现）4、通过第三⽅服务来获取⽬标⽹络相关信息。如通过搜索引擎⽅式来搜集信息。搜索引擎Google hacking常⽤搜索语法：intitle:KEYWORD //搜索⽹页标题中含有关键词的⽹页intext:KEYWORD //搜索站点正⽂中含有关键词的⽹页inurl:KEYWORD //搜索URL中包含有指定字符串的⽹址inurl:php?id= //搜索PHP⽹页site:DOMAIN //在指定站点内查找相关的内容filetype:FILE //搜索指定类型的⽂件我们可以同时附加多个条件进⾏筛选，⽐如 inurl:admin intitle:农具两个筛选条件之间⽤空格隔开搜索引擎语法关键字（搜索范围） 引擎【1】完全匹配搜索——精确匹配 “” 引号 和书名号《》查询词很长 ，baidu分析过后 可能是拆分把包含引号部分 作为整体 顺序匹配 来搜索引号为英⽂状态下的引号。屏蔽⼀些百度推⼴eg：“⽹站推⼴策划” 整个名字"“⼿机” / 《⼿机》 "【2】± 加减号的⽤法加号 同时包含两个关键字 相当于空格和and。减号 搜索结果中不含特定查询词 —— 前⾯必须是空格 后⾯紧连着需要排除的词eg:电影 -搜狐⾳乐 +古风【3】OR的⽤法 　　搜索两个或更多关键字eg:“seo or 深圳seo”可能出现其中的⼀个关键字，也可能两个都出现。“seo or 你的名字”(这⾥不加引号)。如果你的名字为常见名。你会发现意外的惊喜，和你同名同姓的居然还有同⾏业。“seo or 深圳seo”(这⾥不加引号) 就发现了和同名同姓的，还跟我同⾏。　　【4】intitle⽹页标题内容——⽹页内容提纲挈领式的归纳竞争页⾯关键词优化eg:(搜的时候不加引号)“intitle:管理登录”“新疆 intitle:雪菊”“⽹络推⼴ intitle:他的名字”【5】intext和 allintext (针对google有效)在⽹页的内容中出现，⽽不是标题，找页⾯⾥包含‘SEO’，标题包含SEO的对应⽂章页⾯。只搜索⽹页部分中包含的⽂字(忽略了标题,URL等的⽂字)，类似在某些⽹站中使⽤的“⽂章内容搜索”功能。eg:“深圳SEO intext:SEO”【6】inurl搜索⽹址中 url链接 包含的的字符串 （中⽂ 英⽂），竞争对⼿ 排名eg:搜索登录地址，可以这样写“inurl:”，想搜索Discuz的论坛，可以输⼊inurl:，“csdn博客 inurl:py_shell”　【7】site搜索特定⽹页看搜索引擎收录了多少页⾯。——某个站点中有⾃⼰需要找的东西，就可以把搜索范围限定在这个站点中“胡歌 空格 insite:”【8】link搜索某个⽹站的链接。搜索某个⽹站url的内部链接和外部链接不是对每个搜索引擎都很准，尤其是Google，只会返回索引库中的⼀部分，并且是随机的⼀部分，百度则不⽀持这个指令。雅虎全⾯⽀持，⽽且查询得⽐较准确，⼀般我们查看⽹站的链接都以雅虎为准，【9】filetype搜索你想要的电⼦书，限定在指定⽂档格式中并不是所有的格式都会⽀持，现在百度⽀持的格式有pdf、doc、xls、all、ppt、rtf，eg:“python教程 filetype:pdf”doc⽂件，就写“filetype:doc”，“seo filetype:doc”，(搜的时候不加引号) ，【10】related(只使⽤于google) 　　指定URL相关的页⾯、⼀般都会显⽰与你⽹站有相同外链的⽹站。竞争的对⼿，相同的外链。【11】 * 通配符 （百度不⽀持）eg： 搜索 * 擎【12】inanchor 导⼊链接 锚⽂字中包含 （百度不⽀持）竞争对⼿链接指向【13】allintitle 包含多组关键字【14】allinurl【15】linkdomain （雅虎）某域名反向链接 排除 得到外部链接linkdomain: -【16】related （google） 某个⽹站 关联页⾯有共同外部链接【17】domain 某⼀⽹站相关信息“domain:url”【18】index （百度）“index of mp3”【19】A|B 包含a或者b2. ShodanShodan与Google这种搜索⽹址的搜索引擎不同的是，Shodan是⽤来搜索⽹络空间中在线设备的。shodan常⽤命令： asn 区域⾃治编号

port 端⼝

org ip所属组织机构 os 操作系统类型 ⽹页内容 ⽹页标题 http请求返回中server的类型 http请求返回响应码的状态 city 市 country 国家 product 所使⽤的软件或产品 vuln CVE漏洞编号，例如：vuln：CVE-2014-0723 net 搜索⼀个⽹段，例如：123.23.1.0/24 country:"CN" os:"windows"3. Zoomeye（钟馗之眼）ZoomEye是⼀款针对⽹络空间的搜索引擎，收录了互联⽹空间中的设备、⽹站及其使⽤的服务或组件等信息。搜索语法1、app:nginx　　组件名2、ver:1.0　　版本3、os:windows　　操作系统4、country:”China”　　国家5、city:”hangzhou”　　城市6、port:80　　端⼝7、hostname:google　　主机名8、site:　　⽹站域名9、desc:nmask　　描述10、keywords:nmask’blog　　关键词11、service:ftp　　服务类型12、ip:8.8.8.8　　ip地址13、cidr:8.8.8.8/24　　ip地址段通过以上不同种类的搜索引擎我们可以获得相当多的有⽤的信息，甚⾄平时搜索东西我们也可以通过zoomeye来找到⾃⼰想要的东西企业信息1. 天眼查天眼查是⼀款“都能⽤的商业安全⼯具”，根据⽤户的不同需求，实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权⽅⾯等多种数据维度的检索。2. 企业信⽤信息公⽰系统3. ⼯业和信息化部ICP/IP地址/域名信息备案管理系统以上⼏个可以⽤来深⼊了解渗透⽬标⽹站所属企业的相关信息whois信息whois（读作“Who is”，⾮缩写）是⽤来查询域名的IP以及所有者等信息的传输协议。whois信息可以获取关键注册⼈的信息，包括注册商、联系⼈、联系邮箱、联系电话、创建时间等,可以进⾏邮箱反查域名，爆破邮箱，社⼯，域名劫持，寻找旁站等等。常⽤的⼯具有：站长⼯具、爱站、微步在线Nslookup的⽤法作⽤：查询DNS的记录，查看域名解析是否正常，在⽹络故障的时候⽤来诊断⽹络问题直接查询域名情况：命令格式：nslookup domain[dns-server]⽰例：nslookup 查询其他记录命令格式：nslookup -qt=type domain[dns-server]⽰例：nslookup -qt=CNAME 其中，type可以是以下这些类型：A 地址记录（直接查询默认类型）AAAA 地址记录AFSDB Andrew⽂件系统数据库服务器记录ATMA ATM地址记录CNAME 别名记录HINFO 硬件配置记录，包括CPU、操作系统信息ISDN 域名对应的ISDN号码MB 存放指定邮箱的服务器MG 邮件组记录MINFO 邮件组和邮箱的信息记录MR 改名的邮箱记录MX 邮件服务器记录NS 名字服务器记录PTR 反向记录RP 负责⼈记录RT 路由穿透记录SRV TCP服务器信息记录TXT 域名对应的⽂本信息X25 域名对应的X.25地址记录

查询语法：nslookup–d[其他参数]domain[dns-server]返回信息说明服务器：本机DNS服务器信息⾮权威应答：Non-authoritative answer，除⾮实际存储DNS Server中获得域名解析回答的，都称为⾮权威应答。也就是从缓存中获取域名解析结果。address：⽬标域名对应物理IP可有多个aliase：⽬标域名同样nslookup也可以验证是否存在域传送漏洞，步骤如下：nslookup进⼊交互式模式Server 设置使⽤的DNS服务器ls命令列出某个域中的所有域名⼦域名收集⼦域名收集可以发现更多渗透测试范围内的域名/⼦域名，以增加漏洞发现机率；探测到更多隐藏或遗忘的应⽤服务，这些应⽤往往可导致⼀些严重漏洞。常⽤的⼯具有：⼦域名挖掘机Layer、subDomainsBrute、Dnsenum、Dnsmap真实IP获取现在⼤多数的⽹站都开启了CDN加速，导致我们获取到的IP地址不⼀定是真实的IP地址。什么是CDN呢？CDN的全称是Content Delivery Network，即内容分发⽹络。其基本思路是尽可能避开互联⽹上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。通过在⽹络各处放置节点服务器所构成的在现有的互联⽹基础之上的⼀层智能虚拟⽹络，CDN系统能够实时地根据⽹络流量和各节点的连接、负载状况以及到⽤户的距离和响应时间等综合信息将⽤户的请求重新导向离⽤户最近的服务节点上其⽬的是使⽤户可就近取得所需内容，解决 Internet⽹络拥挤的状况，提⾼⽤户访问⽹站的响应速度。如果想获取真实IP，我们可以使⽤以下⼏种⽅法1.多地Ping法：由CDN的原理，不同的地⽅去Ping服务器，如果IP不⼀样，则⽬标⽹站肯定使⽤了CDN。这⾥推荐⼀个⽹站可以多个地点ping服务器，/en/2.⼆级域名法：⽬标站点⼀般不会把所有的⼆级域名放cdn上。通过在线⼯具如站长帮⼿，收集⼦域名，确定了没使⽤CDN的⼆级域名后。本地将⽬标域名绑定到同IP（修改host⽂件），如果能访问就说明⽬标站与此⼆级域名在同⼀个服务器上；如果两者不在同⼀服务器也可能在同C段，扫描C段所有开80端⼝的IP，然后挨个尝试。up法：找国外的⽐较偏僻的DNS解析服务器进⾏DNS查询，因为⼤部分CDN提供商只针对国内市场，⽽对国外市场⼏乎是不做CDN，所以有很⼤的⼏率会直接解析到真实IP。法：直接ping ⽽不是，因为现有很多CDN⼚商基本只要求把 cname到CDN主服务器上去，那么直接ping 有可能直接获得真实IP。

指纹识别通过识别⽬标⽹站所使⽤的操作系统、CMS、服务器与中间件信息，可以帮助我们进⼀步了解渗透测试环境，可以利⽤已知的⼀些CMS漏洞或中间件漏洞来进⾏攻击。1、可以在以下地⽅获取信息：1.指定路径下指定名称的js⽂件或代码

2.指定路径下指定名称的css⽂件或代码

3.