上一節講到滲透測試中的代碼審計講解,對整個代碼的函數分析以及危險語句的避讓操作,近期很多客戶找我們Sine安全想要了解如何獲取到網站的具體信息，以及我們整個滲透工作的流程，因為這些操作都是通過實戰累計下來的竟然,滲透測試是對網站檢查安全性以及穩定性的一個預防針,前提是必須要有客戶的授權才能做這些操作！

2.2. 站點信息

判斷網站操作系統

Linux大小寫敏感

Windows大小寫不敏感

描敏感文件

robots.txt

crossdomain.xml

sitemap.xml

xx.tar.gz

xx.bak

等

確定網站采用的語言

如PHP / Java / Python等

找后綴，比如php/asp/jsp

前端框架

如jQuery / BootStrap / Vue / React / Angular等

查看源代碼

中間服務器

如 Apache / Nginx / IIS 等

查看header中的信息

根據報錯信息判斷

根據默認頁面判斷

Web容器服務器

如Tomcat / Jboss / Weblogic等

后端框架

根據Cookie判斷

根據CSS / 圖片等資源的hash值判斷

根據URL路由判斷（如wp-admin）

根據網頁中的關鍵字判斷

根據響應頭中的X-Powered-By

CDN信息

常見的有Cloudflare、yunjiasu

探測有沒有WAF，如果有，什么類型的

有WAF，找繞過方式

沒有，進入下一步

掃描敏感目錄，看是否存在信息泄漏

掃描之前先自己嘗試幾個的url，人為看看反應

使用爬蟲爬取網站信息

拿到一定信息后，通過拿到的目錄名稱，文件名稱及文件擴展名了解網站開發人員的命名思路，確定其命名規則，推測出更多的目錄及文件名

2.3. 端口信息

2.3.1. 常見端口及其脆弱點

FTP 21

默認用戶名密碼 anonymous:anonymous

暴力破解密碼

VSFTP某版本后門

SSH 22

暴力破解密碼

Telent 23

暴力破解密碼

SMTP 25

無認證時可偽造發件人

DNS 53 UDP

測試域傳送漏洞

SPF / DMARC Check

DDoS（DNS Query Flood / DNS 反彈）

SMB 137/139/445

未授權訪問

弱口令

SNMP 161

Public 弱口令

LDAP 389

匿名訪問

注入

Rsync 873

任意文件讀寫

RPC 1025

NFS匿名訪問

MSSQL 1433

弱密碼

Java RMI 1099

RCE

Oracle 1521

弱密碼

NFS 2049

權限設置不當

ZooKeeper 2181

無身份認證

MySQL 3306

弱密碼

RDP 3389

弱密碼

Postgres 5432

弱密碼

CouchDB 5984

未授權訪問

Redis 6379

無密碼或弱密碼

Elasticsearch 9200

代碼執行

Memcached 11211

未授權訪問

MongoDB 27017

無密碼或弱密碼

Hadoop 50070

除了以上列出的可能出現的問題，暴露在公網上的服務若不是最新版，都可能存在已經公開的漏洞

2.3.2. 常見端口掃描方式

2.3.2.1. 全掃描

掃描主機嘗試使用三次握手與目標主機的某個端口建立正規的連接，若成功建立連接，則端口處于開放狀態，反之處于關閉狀態。 全掃描實現簡單，且以較低的權限就可以進行該操作。但是在流量日志中會有大量明顯的記錄。

2.3.2.2. 半掃描

在半掃描中，僅發送SYN數據段，如果應答為RST，則端口處于關閉狀態，若應答為SYN/ACK，則端口處于監聽狀態。不過這種方式需要較高的權限，而且部分防火墻已經開始對這種掃描方式做處理。

2.3.2.3. FIN掃描

FIN掃描是向目標發送一個FIN數據包，如果是開放的端口，會返回RST數據包，關閉的端口則不會返回數據包，可以通過這種方式來判斷端口是否打開。 這種方式并不在TCP三次握手的狀態中，所以不會被記錄，相對SYN掃描要更隱蔽一些。

2.3.3. Web服務

Jenkins

未授權訪問

Gitlab

對應版本CVE

Zabbix

權限設置不當

2.3.4. 批量搜索

Censys

Shodan

ZoomEye

2.4. 搜索信息收集

2.4.1. 搜索引擎利用

恰當地使用搜索引擎（Google/Bing/Yahoo/Baidu等）可以獲取目標站點的較多信息。

常見的搜索技巧有：

site:域名

返回此目標站點被搜索引擎抓取收錄的所有內容

site:域名 keyword

返回此目標站點被搜索引擎抓取收錄的包含此關鍵詞的所有頁面

此處可以將關鍵詞設定為網站后臺，管理后臺，密碼修改，密碼找回等

site:域名 inurl:admin.php

返回目標站點的地址中包含admin.php的所有頁面，可以使用admin.php/manage.php或者其他關鍵詞來尋找關鍵功能頁面

link:域名

返回所有包含目標站點鏈接的頁面，其中包括其開發人員的個人博客，開發日志，或者開放這個站點的第三方公司，合作伙伴等

related:域名

返回所有與目標站點”相似”的頁面，可能會包含一些通用程序的信息等

intitle:”500 Internal Server Error” “server at”

搜索出錯的頁面

inurl:”nph-proxy.cgi” “Start browsing”

查找代理服務器

除了以上的關鍵字，還有allintile、allinurl、allintext、inanchor、cache等。

還有一些其他的tips

查詢不區分大小寫

* 代表某一個單詞

默認用and

OR 或者 | 代表邏輯或

單詞前跟+表強制查詢

引號引起來可以防止常見詞被忽略

括號會被忽略

搜索引擎的快照中也常包含一些關鍵信息，如程序報錯信息可以會泄漏網站具體路徑，或者一些快照中會保存一些測試用的測試信息，比如說某個網站在開發了后臺功能模塊的時候，還沒給所有頁面增加權限鑒別，此時被搜索引擎抓取了快照，即使后來網站增加了權限鑒別，但搜索引擎的快照中仍會保留這些信息。

另外也有專門的站點快照提供快照功能，如 Wayback Machine 和 Archive.org 等。

2.5. 目標人員信息收集

針對人員的信息收集考慮對目標重要人員、組織架構、社會關系的收集和分析。其中重要人員主要指高管、系統管理員、運維、財務、人事、業務人員的個人電腦。

最容易的入口點是網站，網站中可能包含網站的開發、管理維護等人員的信息。從網站聯系功能中和代碼的注釋信息中都可能得到的所有開發及維護人員的姓名和郵件地址及其他聯系方式。

在獲取這些信息后，可以在Github/Linkedin等網站中進一步查找這些人在互聯網上發布的與目標站點有關的一切信息，分析并發現有用的信息。 如有對此需求滲透測試服務檢查網站漏洞可以聯系專業的網站安全公司來處理解決,國內推薦Sinesafe,綠盟,啟明星辰。

此外，可以對獲取到的郵箱進行密碼爆破的操作，獲取對應的密碼。

我們專注高端建站，小程序開發、軟件系統定制開發、BUG修復、物聯網開發、各類API接口對接開發等。十余年開發經驗，每一個項目承諾做到滿意為止，多一次對比，一定讓您多一份收獲！