作者 |林海文 上海控安可信軟件創新研究院汽車網絡安全組版塊 |鑒源論壇 · 觀模社群 |添加微信號“TICPShanghai”加入“上海控安51fusa安全社區”
信息收集在滲透測試過程中是最重要的一環，“淺談web滲透之信息收集”將通過上下兩篇，對信息收集、滲透攻擊兩塊進行探討，分享目前國內外常用的信息收集工具。本篇重點討論Whois查詢與域名信息收集。

01

概 要

1.1 滲透測試目的

通過滲透測試的方式，模擬黑客的攻擊思路與技術手段，達到從攻擊者角度，發現平臺存在的安全隱患；深度挖掘滲透測試范圍內應用系統各個層面（應用層、網絡層、系統層）的安全漏洞；檢驗當前安全控制措施的有效性，針對發現的安全風險及時進行整改，增強系統自身防御能力，提升安全保障體系的整體健壯性。滲透測試作為獨立的安全技術服務，其主要目的就在于驗證平臺系統的技術安全性，通過滲透測試，可在技術層面定性的分析系統的安全性。

1.2 常見參考標準

序號	文檔名稱
1	《OWASP Testing Guide》
2	《PTES Penetration Testing Execution Standard》
3	《Open Source Security Testing Methodology Manual》
4	《National Institute of Standards and Technology》

1.3 滲透測試流程

滲透測試流程總體分為7大部分，分別為前期交互、信息收集、威脅建模、漏洞掃描、滲透攻擊、后滲透測試、形成報告。本文主要針對信息收集、滲透攻擊兩塊進行講解，這也是滲透測試中最為核心的兩大塊。

總流程如圖所示：

圖1 滲透測試總流程

02

信息收集

2.1 信息搜集與分析

根據平臺委托范圍和時間，對目標系統進行信息搜集與分析，信息搜集是每一步滲透攻擊的前提，通過信息搜集可以有針對性地制定模擬攻擊測試計劃，提高模擬攻擊的成功率，同時可以有效的降低攻擊測試對系統正常運行造成的不利影響。信息搜集的目標是得到主機存活情況、DNS名、IP地址、網絡鏈路，網絡拓撲信息、操作系統指紋、應用類型、賬號情況、系統配置等有價值的信息，為更深層次的滲透測試提供資料。同時通過對目標地址進行漏洞掃描，鑒定其操作系統，確定其所開放的TCP/UDP端口及服務的數量和類型，這是所有滲透測試的基礎。通過對某某網絡信息收集分析，可以相應地、有針對性地制定模擬黑客入侵攻擊的計劃，以提高入侵的成功率、減小暴露或被發現的幾率。信息收集的方法包括主機網絡掃描、操作類型判別、應用判別、賬號掃描、配置判別等等。主要方式有兩種，主動和被動。

2.2 收集什么信息

· Whois

· 域名信息收集

· 端口探測

· 旁站、C段

· 目錄掃描、敏感信息泄露

· 指紋識別、架構探測

2.2.1 Whois

Whois是用來查詢互聯網中域名的IP以及所有者等信息的傳輸協議。可以獲取關鍵注冊人的信息，包括注冊商、所有者、郵箱、聯系電話、域名狀態、域名注冊時間、域名到期時間、DNS服務器等。

? 常用工具

a. 站長之家：

http://whois.chinaz.com/

b. 國外的who.is：

https://who.is/

c. 愛站：https://whois.aizhan.com/

d. 微步：

https://x.threatbook.cn/

e. 全球WHOIS查詢：

https://www.whois365.com/cn/

f. VirusTotal：

https://www.virustotal.com/gui/home/upload

g. 阿里云：

https://whois.aliyun.com/

2.2.2 域名信息收集

子域名：域名按照層級可以分為頂級域、主域名、子域名等。例如.com是頂級域，主域名是ticpsh.com，子域名則是在主域名的前面添加自定義名稱，例如像www.ticpsh.com 、mail.ticpsh.comt這一類都可統稱為子域名。一/二/三級域名：以www.ticpsh.com為例，.com為頂級域名/一級域名，ticpsh.com為二級域名，www.ticpsh.com為三級域名。那回到本篇主題，搜集子域名的目的是什么？眾所周知，一個網站的主站通常更安全，而一些不常用或新上線的子站安全性往往較差，可能成為系統的弱點。因此子域名可以用來擴大攻擊的范圍，同一個域名下的二級域名都屬于相同資產，一般而言都有一定的聯系。所以在滲透過程中，收集子域名可以發現更多測試范圍內的資產來增加發現漏洞的機率。

下面列舉常見的四大搜集方法及對應的工具：

? 采用檢測工具a. 高并發的DNS暴力枚舉工具：

subDomainsBruteSub掃描方法：

掃描結果:

b. 子域名挖掘機：

layer.exe

c. 收集能力強大的開源子域收集工具：

OneForAll

? 采用搜索引擎

利用Google、Bing 、shodan和百度這樣的搜索引擎進行搜索查詢，例如：

? 采用三方聚合平臺應用a. VirusTotal：

https://www.virustotal.com/#/home/search

b. DNSdumpster：

https://dnsdumpster.com/

? 查詢SSL證書

域名、子域名和郵件地址常常也會包含在SSL/TLS證書內，因此也可通過證書查詢的方式獲取到需要的信息。

a.

https://crt.sh/

b.

https://censys.io/

c.

http://z.zcjun.com/

進階利用

email：郵箱命名規則、公司是否具有郵箱默認密碼（這個可以采取社工

員工號：很多oa、um、sso系統都是采用員工號登錄，知道員工號的規則嘗試進行撞庫

商家信息：如果是一些具有商家系統的，能收集到一些商家賬戶

敏感目錄：網站后臺目錄／一些登錄地址／一些接口目錄

敏感文件：比如數據庫配置文件、網站源碼啊、數據庫備份文件等

中華人民共和國網絡安全法

第二十七條

任何個人和組織不得從事非法侵入他人網絡、干擾他人網絡正常功能、竊取網絡數據等危害網絡安全的活動:不得提供專門用于從事侵入網絡、干擾網絡正常功能及防護措施、竊取網絡數據等危害網絡安全活動的程序、工具，明知他人從事危害網絡安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。

聲明：本文章所分享內容僅用于網安愛好者之間的技術討論，禁止用于違法途徑，所有滲透都需獲取授權！否則需自行承擔，本文章及原作者不承擔相應的后果。

審核編輯 黃宇