A12.WEB主机-信息搜集

WEB主机-信息搜集

通例的信息搜集包罗：CDN、真实IP、域名、旁站、主机、端口、网站WAF、WEB等方面，在实验情况里，省略了前面的一些过程。假如想相识这些本领，可以利用关键词“渗出测试 信息网络”获取网络上的资料。
WEB站点信息的搜集，通常可以利用目次扫描，CMS指纹辨认，查察网站结构、源代码人工分析等方法，找出网站特性信息，假如是利用公开的CMS步调构建的，就可以下载到相应的源代码，在有源代码的情况下，发掘毛病，如许就轻易一些。
渗出测试前期，信息网络可以说黑白常告急的。所谓，“知己知彼，百战不殆”，信息网络是渗出测试乐成的保障，对目标主机信息把握的越多，越有利于对后续的渗出测试。
扫描存活主机

扫描工具有许多，这里保举利用Nmap扫描工具，选项丰富，功能强盛。下载安装最新版本的Nmap，新版本的Nmap会自动参加情况变量PATH，因此在cmd下可以直接利用，本次利用下令nmap –sn 192.168.10.0/24举行扫描。
-sn选项（对应旧版本的-sP）：告诉Nmap仅仅举行ping扫描(主机发现)，然后列出对扫描做出相应的主机。利用-sn举行默认扫描时，会发送一个ICMP回显哀求、到端口443的TCP SYN、到端口 80 的 TCP ACK哀求，以及默认情况下的 ICMP 时间戳哀求。-sn 选项可以与任何发现探测范例（-P*选项）联合利用，会得到更大的机动性。当运行 Nmap 的源主机和目标网络之间有严酷的防火墙时，发起利用这些高级技能。否则，当防火墙扬弃探测或相应时，主机大概会被错过。

1. 注意：如果在VMware虚拟机里的NAT模式或者主机模式进行-sn扫描时，扫描结果因为VMware虚拟网络的问题会出现误报，这时可以尝试使用以下命令避免误报。

复制代码

1. nmap -sn -PE -n 192.168.3.0/24

复制代码

假如主机屏蔽了ping哀求的情况下，可以利用-Pn选项（实用于物理情况，在VMware的主机模式和NAT模式下会误报）。
-Pn选项（旧版本的-P0大概-PN）：假如主机屏蔽了ping哀求，Nmap大概会以为该主机没有开机。这将使得Nmap无法举行进一步检测，比如端口扫描、服务版本辨认和操纵体系辨认等探测工作。为了降服这一题目，就须要禁用Nmap的主机检测功能。在指定这个选项之后，Nmap会以为目标主机已经开机并会举行全套的检测工作。
扫描端口和服务

利用下令nmap -sV 192.168.10.130举行端口和服务探测。
-sV选项：启用版本探测，通过相应的端口探测对应的服务，根据服务的指纹辨认出相应的版本。默认情况下，Nmap 版本检测会跳过 TCP 端口 9100。假如不打扫任何端口，须要加上--allports选项。

扫描后发现有三个端口开放，分别是80、135、445和49154，操纵体系是Windows 2008或2012。
实验情况利用的Windows 2008未打任何补丁。针对特定的端口，可以利用MS17-010等远程毛病利用工具，直接得到管理权限，非常简朴，但这并不是构建内网靶场的目标。
根据扫描结果，目标主机上开放了Web服务，接下来从Web服务入手举行安全测试。
网站目次扫描

目次扫描包罗了目次和文件扫描。目次扫描的工具有许多，如DirBuster、Dirsearch、dirmap、dirb、御剑等等。扫描国内的网站时，发起利用国内开辟的工具，如许内置的字典符合国内CMS目次的定名风俗。利用扫描工具时，一是看速率，二是看字典，一个好的字典黑白常告急的。
下载御剑目次扫描专业版，利用自带的字典举行扫描。根据网站特点，选择ASP、BAK、DIR、MDB几个字典扫描即可，不须要选择全部字典。

内置的字典包罗的目次数目太少，颠末扫描，固然得到了一些信息，但没有扫描到网站背景目次信息。
接下来须要搜刮、下载一个数目比力多的目次字典，重新举行扫描。下载以后，按照软件的定名规则，把御剑原来的目次字典dic.txt（在files目次下），改名大概删除，把新的字典文件定名为dic.txt。重新打开软件，可以看到这个字典有38万多条目次，由于数据量太多，以是可以恰当进步一下扫描的参数。在作者的实验情况中，将扫描的线程和速率都设置为最大时，扫描服从最高。匀称每秒扫描2884个，不到3分钟扫描就完成了385138个URL。须要注意的是线程和速率并非越高越好，须要根据扫描电脑的性能和被扫描电脑的性能举行设置。

扫描软件挂上这个字典后，乐成的扫出许多目次来。固然，此中最告急的是扫出了网站背景的目次Admin_aspcms。
题目：扫描软件利用的方法“高速HEAD”详细是指什么？
CMS指纹辨认

CMS（内容管理体系）又称为整站体系，用户只须要下载对应的CMS步调，就能摆设搭建一个网站。一样寻常来说，差别的CMS都有其独特的结构定名规则和特定的文件内容，因此可以利用其特性来获取网站所利用的CMS步调及其版本。
辨认CMS的目标在于，方便利用已公开的毛病举行安全测试，还可以下载对应的CMS举行本地白盒代码审计，双管齐下，进步测试服从。
手工从源代码里探求特性信息

打开网站首页，欣赏器标题栏、Logo提示、底部的版权信息，明显的表明白这个网站利用的是步调是ASPCMS。等一下，有这么轻易吗？这是由于我们是本身架设的ASPCMS，没有修改网站名称，网站Logo，版权信息导致的，企业在利用时，通常会修改掉这些信息。假如在实际的场所中，一样寻常不会遇到这种情况。以是须要忽略掉这些信息，继承从别的地方探求特性。
接下来，先查察网站首页的源代码，除了刚才提到的未更改的默认特性信息，在底部发现了包罗特性的文件名AspCms_AdvJs.asp。

别的，在源代码中搜刮AspCms，发现尚有几个同样包罗此前缀的文件名。（这里须要有肯定的Web源代码分析履历，可以大概快速的过滤掉非关键信息：如list，content，jquery.form.js等）。通过搜刮引擎搜刮ASPCMS，可以得知ASPCMS确实是一套开源步调的名称。
CMS指纹工具自动辨认

当有同样需求的人/次数充足多的时间，就会出现这方面的工具/产物。不外，这些产物带来的影响有好有坏，对于履历丰富的人来说，可以进步服从；对于新手来说，假如只会利用工具，不能透过工具，相识到其背后的运行机制，那就变成了坏事。
早期的测试职员都是手动发掘特性信息。厥后就出现了CMS指纹辨认工具，有单机版的，也有在线的。颠末搜刮资料并分析，得知现在单机版的指纹辨认工具规则库缺乏维护，很少更新，因此选择在线指纹辨认。
但如许会遇到另一个题目。要测试的网站摆设在内部网络中，在互联网上无法访问。如许就在线辨认网站的“爬虫”无法毗连到内网IP所在，也就无法辨认。怎么办？
办法就是干脆找一些在互联网上利用ASPCMS搭建的网站。如许也符合实际情况。
利用刚才发现的ASPCMS文件名特性，利用语法：“inurl: AspCms_AdvJs.asp”，搜刮在URL中包罗AspCms_AdvJs.asp的网址。

搜刮之后，得到了1000多条结果。可见只管ASPCMS已经制止维护了多年了，但仍然有一些小的企业、单元在利用原版、或经第三方修改过的ASPCMS来搭建网站。选出3个已经将网站名称，网站Logo，版权信息都修改为公司信息的网站，一会准备举行指纹辨认测试。
接下来须要探求可以大概在线举行CMS指纹辨认的网站。利用关键词“在线cms指纹辨认”，找到了一些结果，从中选择了一个不消注册（需扫码）的网站，BugScaner: http://whatweb.bugscaner.com/look/举行测试。把选择的几个网址，举行在线辨认，此中2个辨认结果为ASPCMS，另一个辨认结果为DBCMS或ASPCMS。

市场上许多从事网站开辟的公司其产物都是在一些常见的开源CMS根本上修改的，修改后仍然会生存一些原CMS的特性，这里的辨认结果出现了2种CMS，推测大概就是这个缘故起因。
CMS毛病信息搜集

接下来搜刮ASPCMS的毛病信息。在百度百科有ASPCMS的词条信息，在“版本更新”里，可以发现从2.2.4起，默认背景所在更改为Admin_Aspcms。

根据这一信息，访问一下背景。访问乐成，根据网页下方的时间2012-2013，推测其是2012-2013年前的产物。联合百度百科版本时间，推测版本号很大概位于2.2.4--2.2.9之间。
开始利用“ASPCMS V2 毛病”举行搜刮，发现搜刮到的资料不理想。因此去掉版本号，直接利用关键词 “ASPCMS 毛病”举行搜刮。

颠末一番搜刮后，找到了以下资料，经事后期验证/Plug/Comment/Commentlist.Asp页面存在SQL注入毛病，可以乐成利用。

注意：在搜刮的资料中，假如遇到的资料前面先容了毛病，但给出的背景所在仍然是Admin目次，那就阐明版本是2.2.4以下的，这个毛病就大概无法利用。