一、渗透测试流程
1.信息收集(包括被动搜集和主动搜集)
2.漏洞扫描
3.漏洞利用
4.提权
5.植入后门,清理痕迹
6.生成渗透测试报告
很多人在信息收集阶段大概会占用30%到50%的时间,由此可见,信息收集是十分重要的前期工作。
二、被动信息收集介绍
1.被动信息收集概念:被动信息收集指的是通过公开渠道可获得的信息,与目标系统不产生直接交互,尽量避免留下一切痕迹的信息探测。被动信息收集不会在日志中留下痕迹。
2.被动信息收集内容:IP地址、域名信息、邮件地址、文档图片数据、公司地址、公司组织架构、联系电话/传真号码、人员姓名/职务、目标系统使用的技术架构、公开的商业信息等。
3.被动信息收集的信息用途:
(1):用信息描述目标
(2):发现主机
(3):社会工程学攻击
(4):物理缺口
三、信息收集–nslookup
1.DNS域名解析流程
DNS解析过程如下:
1.用户输入网址 ,主机先向其本地域名服务器进行递归查询。
2.本地域名服务器查询不到该域名的IP信息,然后本地域名服务器采用迭代查询向根域名服务器请求解析 这个域名的IP地址。
3.根域名服务器一般不会直接把待查询的域名直接转换成IP地址,而是会告诉本地域名服务器去向顶级域名服务器–com域名服务器进行查询。
4.本地域名服务器向顶级域名服务器–com域名服务器进行查询。
5.顶级域名服务器–com域名服务器告诉本地域名服务器,下一次应查询的权限域名服务器的IP地址。
6.本地域名服务器向权限域名服务器–abc域名服务器进行查询。
7.权限域名服务器–abc域名服务器告诉本地域名服务器,所查询的 的这个域名的IP地址。
8.本地域名服务器拿到 这个域名的IP地址后,先在自己本地的域名服务器中缓存一份,然后再将这个域名的IP地址告诉主机。
9.当下次再请求 这个域名时,就可以直接查询本地域名服务器得到IP地址,而不用再去向根域名服务器查询。这样加快了解析时间。
2.根域名服务器简介
(1):全球共有13台根域名服务器,编号为A-M,其中10台在美国,剩余三台分别位于于英国、瑞典和日本。但不是根域名服务器只有13台机器,如果只有13台机器,那么根本不可能为全世界用户提供满意的服务。实际上,互联网的根域名服务器是由这13套装置构成,但是每一套装置在很多地方安装根域名服务器(相当于镜像服务器),它们使用同一个域名。
(2):根域名服务器采用了任播技术,因此当DNS用户向某个根域名服务器的IP地址发出查询报文时,互联网上的路由器就能马上找到离这个DNS客户最近的一个根域名服务器。这样做不仅加快了DNS的查询过程,也更加合理的利用了互联网的资源。
(3):下图为全球13台根域名服务器:
3.DNS的域名记录
A记录:A (Address) 记录是用来指定主机名(或域名)对应的IP地址记录,域名绑定A记录就是告诉DNS,当输入域名的时候给你导向那个A记录所对应的服务器。(一个域名可以指定多个A记录,这样就可以实现负载均衡)NS记录:NS(Name Server)记录是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析。SOA记录:SOA(Start Of Authority)记录是起始授权机构记录,SOA记录说明了在众多NS记录里哪一台才是主DNS服务器。MX记录:MX (MX record)记录是邮件交换记录,这是域名系统(DNS)中的一种资源记录类型,用于指定负责处理发往收件人域名的邮件服务器。CNAME记录:CNAME(Canonical Name)记录,通常称别名指向。在这里,您可以定义一个主机别名,比如设置 ,用来指向一个主机 ,那么以后就可以用 来代替访问 了。PTR记录:PTR (Pointer Record),反向地址解析记录,作用是把IP地址解析为域名。DNS的反向区域负责从IP到域名的解析,因此如果要创建PTR记录,必须在反向区域中创建。
4.域名与FQDN的区别
(1):FQDN:(Fully Qualified Domain Name)完全限定域名:同时带有主机名和域名的名称。
(2):域名:不带有主机名的名称
(3):例如: 就是一个完全限定域名; 就是一个域名。
5.nslookup的使用
(1):交互式
(2):非交互式
四、信息收集–dig
1.dig在默认情况下查询A记录
2.指定查询其他记录(比如mx记录)
3.从指定的DNS服务器上进行查询
4.查询一个域名的所有记录
5.反向查询(由IP查找域名)
(1):查询8.8.8.8的域名服务器
(2):查询114.114.114.114的域名服务器
6.限制显示结果
(1):显示简短信息
(2):只显示指定部分信息(+noall表示不显示任何信息;+noall +answer表示只显示answer部分)
7.查询BIND信息
8.DNS追踪
根域名服务器–>顶级域名服务器–>权限域名服务器
root@root:~# dig +trace ; <<>> DiG 9.11.3-1-Debian <<>> +trace ;; global options: +cmd.5INNSj.root-..5INNSm.root-..5INNSc.root-..5INNSl.root-..5INNSf.root-..5INNSb.root-..5INNSh.root-..5INNSa.root-..5INNSg.root-..5INNSk.root-..5INNSe.root-..5INNSd.root-..5INNSi.root-..5INRRSIGNS 8 0 518400 0418050000 0405040000 25266 . VNWzDcvX06igl5CFfUiI17m1zagzlUYd2+RSepxu/XU+4KXcPgCe0ZdT kUqePg9vudkrlyVutXe4kpv8WRuP30EKVDEt8kU0V+TxAfjUjYiR5lmd u8FuB+eIkbT5yT5NcS4xuY1W5nRdRTvTIgHUqWC2NZ2IrCVwlTcHLnra qbegu9rWlxrYh5kc6FS9/WLdCAHFxH+LIqqaPl7hHFA4PwJ0AgzYf4v2 Fz+SUX6te4AYdj/D3pBPnccoKYQp5gOinNHrYkxfDy3R6hVSpKq7d1bG ERheOLVqkD8vG9dAb21wu1vha+SBkVY9nRVm9A2ujdMEPA90zAUs0G4p 6RzW0A==;; Received 525 bytes from 192.168.37.2#53(192.168.37.2) in 116 mscom.172800INNSl.gtld-.172800INNSi.gtld-.172800INNSk.gtld-.172800INNSd.gtld-.172800INNSg.gtld-.172800INNSh.gtld-.172800INNSa.gtld-.172800INNSc.gtld-.172800INNSj.gtld-.172800INNSb.gtld-.172800INNSe.gtld-.172800INNSm.gtld-.172800INNSf.gtld-.86400INDS30909 8 2 E2D3C916F6DEEAC73294E8268FB5885044A833FC5459588F4A9184CF C41A5766com.86400INRRSIGDS 8 1 86400 040000 0407040000 25266 . xJfyk0apzGEdqqnqJplDAclMAYiD4rWQJmaEXHa0k1NvKFHV40Yp+SEN 1o8bXA2KXDqdxRZjwr6YD79EOHYEXNIffuD3sUnINkej7+T/vMb2tY5t KmHtMVeMgxHGRW3G9MeCl9CVGAOsEiGg6olpongBPed8pnOiUmPNYJ5b AJng4pH8r4RDt1EMPnT6PKaLZ8eA0l+RxwAILBzE3LnMQmcInl2ou/Em Vsn4vVplISs7vsn5PvHTig0bZ4pehajnr0/HeSDqlkPJSPh0uscicrx1 8n0DWF01Erqh/FEWHj39Nz3QHclFZmzQOFIGexZph2Da0zxvYPhM8IZO WaK1qQ==;; Received 1200 bytes from 199.9.14.201#53(b.root-) in 307 ............... 86400 IN NSEC3 1 1 0 - CK0Q1GIN43N1ARRC9OSM6QPQR81H5M9A NS SOA RRSIG DNSKEY . 86400 IN RRSIG NSEC3 8 2 86400 0413044428 0406033428 16883 com. KDKyKhfEhyxmB3esZoOugsRqNEbqOD4m7st+H+2lroRIpaKyGflx2DPN yorfB62+ox6whk+X9/+fITemoMGaXd4O58PuvunOfVdKyVpkp/Lw2fqd X//PtaGqQ51ZSy6iGY7V945u+FDcDG8NFjBvhCABaSNIUKIct7lnYd+2 7v8=. 86400 IN NSEC3 1 1 0 - TGAINT5FJN61NLBMD25JONRMDSP6IECS NS DS . 86400 IN RRSIG NSEC3 8 2 86400 0412070141 0405055141 16883 com. LNdjTr/cbvHkj3SBeJalnT8Gr3MOHk8kvbWQd+DzjW3PkI2uG4v09Uvz FUQb0woExj+UcLU4Kh8zMFMzwqoObwu1SIqHMWxMxb/l3qf3apCxKRaP /ZsQ+Tr0STZh5D5ZVIX+XCcUmj8WksTbdOx5sMKNuz2m30d6pEi3rxOn iWw=;; Received 727 bytes from 192.26.92.30#53(c.gtld-) in 246 ...60INCNAMEspool..;; Received 103 bytes from 123.125.29.99#53() in 81 ms
五、信息收集–字典爆破
1.fierce
(1):查看相关的软件包,并找到对应的字典
(2):进行字典爆破
fierce -dnsserver 8.8.8.8 -dns -wordlist /usr/share/fierce/hosts.txt
-dnsserver 用来指定进行爆破的服务器
-dns 用来指定要爆破的域名
-wordlist 用来指定进行爆破的字典
2.dnsenum
(1):查看相关的软件包,并找到对应的字典
(2):进行字典爆破
dnsenum -f /usr/share/dnsenum/dns.txt -dnsserver 8.8.8.8 -o sina.xml
-f 用来指定进行爆破的字典
-dnsserver 用来指定进行爆破的服务器
-o 用来指定生成的文件名
root@kali:~# dnsenum -f /usr/share/dnsenum/dns.txt -dnsserver 8.8.8.8 -o sina.xmlSmartmatch is experimental at /usr/bin/dnsenum line 698.Smartmatch is experimental at /usr/bin/dnsenum line 698.dnsenum VERSION:1.2.4----------Host's addresses:. 51 IN A 111.20.46.45Name Servers:. 3600IN A 123.125.29..2469IN A 123.125.29.. 3600IN A 114.134.80..3600IN A 180.149.138.. 3600IN A 114.134.80..3600IN A 121.14.1..3600IN A 36.51.252.. 3600IN A 180.149.138.199Mail (MX) Servers:___________________Trying Zone Transfers and getting Bind Versions:_________________________________________________Trying Zone Transfer for on ... AXFR record query failed: REFUSEDTrying Zone Transfer for on ... AXFR record query failed: REFUSEDTrying Zone Transfer for on ... AXFR record query failed: REFUSEDTrying Zone Transfer for on ... AXFR record query failed: REFUSEDTrying Zone Transfer for on ... AXFR record query failed: REFUSEDTrying Zone Transfer for on ... AXFR record query failed: REFUSEDTrying Zone Transfer for on ... AXFR record query failed: REFUSEDTrying Zone Transfer for on ... AXFR record query failed: REFUSEDBrute forcing with /usr/share/dnsenum/dns.txt:. 60 IN CNAME ....8 IN A 112.19.3...8 IN A 112.19.3...8 IN A 112.19.3...8 IN A 112.19.3...8 IN A 112.19.3...8 IN A 112.19.3...8 IN A 112.19.3...8 IN A 112.19.3.184
3.dnsmap
(1):查看相关的软件包,并找到对应的字典
(2):进行字典爆破
dnsmap -w /usr/share/dnsmap/wordlist_TLAs.txt
-w 用来指定进行爆破的字典
六、信息收集–whois
whois 来查询注册信息