基于滲透測試理論的信息搜集技術*

冷濤 四川警察學院

引言

近年來，網站漏洞問題依然嚴峻，挖礦木馬成為網站最大的現實威脅，網絡賭博、釣魚網站、網絡色情等涉網案件層出不窮，這給企事業單位和網民造成了大量損失。《中華人民共和國網絡安全法》自2017年6月1日正式實施，對國內運營的信息系統實施等級保護提出了明確要求。滲透測試技術廣泛應用于網站安全等級評估和涉網案件的偵查工作中，信息搜集技術作為滲透測試的重要階段，對攻防雙方都是掌握信息的關鍵，作為情報偵查員，可以先發制人，搜集目標信息；作為案件偵查員，利用信息搜集技術可以后發制人，對攻擊者實施信息搜集，歸因溯源。從學者研究來看，郭璞等人介紹了信息收集的常見方法，主要有網站信息收集、Google Hacking、蜘蛛爬蟲、掃描工具、網絡媒體平臺。該方法寫的較簡略，分類不夠明晰。莫懷海等人結合主動和被動信息收集介紹了域名信息、服務器信息、架構信息、指紋信息、敏感目錄、敏感信息等，做了大量工作，但分類還不夠全面。國外的文獻也多側重于某一具體技術的研究。筆者主要基于滲透測試理論，詳解介紹信息搜集的內容和技術，為實戰提供方法論。

一、滲透測試理論

（一）定義和類型

滲透測試是一種通過模擬惡意攻擊者的技術與方法，挫敗目標系統的安全措施，取得訪問控制權，并發現具備業務影響后果安全隱患的一種安全測試與評估方式。主要包括黑盒測試、白盒測試和灰盒測試。

（二）測試流程

PTES標準中定義了滲透測試的七個階段，分別是前期交互階段、信息搜集階段、威脅建模階段、漏洞分析階段、滲透測試攻擊階段、后滲透攻擊階段和報告階段。滲透測試團隊嘗試利用各種信息來源與搜集技術方法，嘗試獲取關于目標組織的網絡拓撲、系統配置與安全防御措施的信息。情報搜集的方法包括公開來源信息查詢、Google hacking、社會工程學、網絡踩點、掃描探測、被動監聽、服務查點等。

二、信息搜集的主要內容

作為網絡攻擊者，在已知目標名稱和域名的情況下，在攻擊準備階段，需要知道在網絡中的“地理位置”，如DNS、IP地址、單位地址、網絡拓撲、電話號碼、網管員及聯系方式等，還需知道目標系統中存在的安全缺陷和漏洞以及目標系統的安全防護機制（IDS、IPS、WAF等），作為網絡防御方，信息搜集的主要內容是追查入侵者的身份、網絡位置、所攻擊的目標、采用的攻擊方法等，追查是否存在域、子域，搜集IP地址、網絡范圍、分配的ASN號碼，在這些IP地址的操作系統、服務、開放端口等，以及入侵者的電子郵件地址等相關信息。

三、信息搜集技術

信息搜集技術分為被動信息搜集和主動信息搜集，被動信息搜集是指在不被目標系統察覺的情況下，通過搜索引擎、社交媒體等方式對目標外圍的信息進行搜集。例如網站的Whois信息、DNS信息、管理員，以及工作人員的個人信息等。主動信息搜集技術則要與目標進行接觸，如端口探測、指紋探測等。下面根據滲透測試關注內容的相關技術進行介紹。

（一）目標域名查詢技術

1.Whois信息

目標域名的Whois信息，包括管理員姓名、郵箱、電話、Ns產商等。滲透測試者重點關注注冊商、注冊人、郵件、DNS解析服務器、注冊人聯系電話。對于獲取的郵箱賬號，可通過各種公開的社工庫查詢該郵箱密碼。Whois查詢可通過在線網站，如愛站網、站長之家、微步在線等，也可通過Kali系統命令Whois。

2.備案信息查詢技術

網站備案是根據國家法律法規規定，網站的所有者需向國家相關部門申請注冊并備案。在中國境內的網站可查詢備案信息，查詢網站有天眼查、ICP備案查詢網。

3.DNS各類記錄獲取

DNS記錄類型較多，在信息搜集階段，需要重點關注地址記錄（A）、郵件服務器記錄（Mx）、名字服務器記錄（Ns），通過A記錄觀察域名解析到的IP，需要注意的是，如果目標使用了CDN，所獲IP不一定是目標真實IP。通過Mx記錄：檢查Smtp、Imap、Pop3是否可枚舉目標郵件用戶名，通過Ns記錄，檢查是否允許傳送，如果可傳送，將直接獲取目標所有真實子域。

4.子域名信息查詢技術

子域名即二級域名，是在頂級域名下的域名，收集的子域名越多，測試的目標越多，成功率也越大。子域名搜集的方法主要有：基于Google語法、第三方聚合應用枚舉、基于SSL證書查詢和爆破枚舉法。基于Google語法是指利用Google和Bing這樣的搜索引擎進行搜索查詢（Site:www.xxx.com），Google還支持額外的減號運算符，以排除對“網站：wikimedia.org-www-store”不感興趣的子域名。第三方聚合應用枚舉是利用第三方在線網站查詢子域名，如VirusTotal、https://dnsdumpster.com/等網站。Kali集成工具Dmitry，Recon-ng也可獲取子域名信息。證書透明度（CertificateTransparency，CT）是證書授權機構（CA）的一個項目，證書授權機構會將每個SSL/TLS證書發布到公共日志中。一個SSL/TLS證書通常包含域名、子域名和郵件地址，因此查找這些公共日志也可以獲取目標的子域名。常用查詢網站有“https://crt.sh”和“https://censys.io”等。爆破枚舉法是利用爆破形式的子域名挖掘常用工具有Layer子域名挖掘機、Subdomainbrute、K8、DNSRecon等，其中Layer子域名挖掘機是Windows下的檢測工具，在域名對話框直接輸入域名即可進行掃描，工具顯示比較細致，有域名、解析IP、CDN列表、Web服務器和網站狀態等。

（二）目標IP信息獲取技術

1.CDN判斷和IP定位

當前大多數網絡運營商都采用了CDN來提高網絡響應速度，為了順利實現滲透測試，需要繞過CDN尋找真實的IP地址。CDN即內容分發網絡，是為解決因傳輸距離和不同運營商節點造成的網絡速度性能低下的問題而出現的一種技術，它通過緩存用戶經常訪問的靜態數據資源并在用戶二次訪問時就近分發來提高網站的響應速度及用戶體驗。所以當Ping目標域名時，得到的IP只是返回最近目標節點的CDN服務器的IP，并非真實IP。判斷是否使用了CDN可通過多地區Ping目標主域，如果目標服務器返回結果出現多個IP地址，則說明使用了CDN。繞過CDN的方法有很多，如網絡空間引擎搜索、查詢歷史DNS記錄、查詢子域名、漏洞利用、RSS郵件訂閱，通過Zmpap全網爆破查詢真實IP等。還可嘗試通過國外IP訪問。在確定真實IP后，可通過“ipip.net”等網站查詢服務器真實地理位置，如果確定在第三方云服務器，公安機關可通過調證手段獲取目標信息。

2.旁站、C段搜集

旁站是指和目標網站處于同一服務器的其它站點，有些情況下，對一個網站進行滲透，如果發現安全性較高，可以嘗試從旁站入手，通過旁站看是否有跨目錄權限，如果沒有，可繼續提權拿到更高權限之后再對目標網站進行滲透。C段是指和目標服務器IP處在同一個網段的其它服務器。通過C段可探測該網段的開放端口和開放Web，進而開展內網滲透獲取信息。常用工具有御劍、愛站網、Tools內部旁注掃描器、K8_c段旁注工具、Nmap等。

（三）敏感資源獲取技術

敏感資源主要包括數據庫文件、配置信息、CMS的安裝文件和后臺地址、Robots.txt、備份文件、招聘信息、人員信息、歷史漏洞信息、Github、郵箱、網盤等。常用技術如下：

1.Google Hacking

Google提供了多個關鍵字自定義搜集信息，見表1。其關鍵字可組合使用。作用是搜索網頁正文中含有"后臺管理"并且域名后綴是“edu.cn”的網站。此外Google搜索引擎還可用來收集數據庫文件、SQL注入、配置信息、源代碼泄露、未授權訪問和Robots.txt等敏感信息。

?

2.Shodan

Shodan是世界上第一個互聯網連接設備的搜索引擎。使用Shodan可發現哪些設備連接到Internet，它們位于何處，使用者是誰等。Shodan可以跟蹤網絡中所有可以直接從Internet訪問的計算機。使用Shodan可發現許多網絡設備的足跡，如連接的攝像頭，網絡攝像頭，交通信號燈等。

3.威脅情報大數據平臺

微步在線情報社區（https://x.threatbook.cn/），提供云Api接口，支持對內部資產進行失陷檢測和發現威脅；對內部大數據平臺或者安全設備日志的威脅進行檢測；對公網開放的應用或者服務的外放訪問IP的風險識別；對終端/服務器的可疑文件/進程是否屬于惡意程序進行分析識別；對外部安全事件的關聯拓線及溯源追蹤等。

4.開源程序

敏感資源的獲取還可通過開源程序，如Github源代碼信息泄露搜集（Github_Nuggests，GitHack）、Svn信息泄漏搜集（Svn_git_scanner）、Seekret（目錄信息搜索）、SeaySVN漏洞利用工具，DS_Store泄露（DS_Store_exp），批量信息泄露掃描（bbscan）、.hg源碼泄漏（Cvcs-Ripper-Master）。Theharvester：為域提供電子郵件地址、虛擬主機、不同域名、Shodan結果等。Spiderfoot：Spiderfoot是一種偵察工具，它可以自動查詢100多個公共數據源（OSINT），以搜集有關IP地址、域名、電子郵件地址、名稱等的情報。Recon-ng：自動化信息搜集框架，既提供了被動掃描的功能，又提供了主動掃描的功能。

5.字典或暴力破解

基于字典或暴力破解敏感目錄的工具較多，如御劍后臺掃描，DirBuster、Wwwscan、Spinder.py（輕量快速單文件目錄后臺掃描），Sensitivefilescan（輕量快速單文件目錄后臺掃描），Weakfilescan（輕量快速單文件目錄后臺掃描）。

DirBuster 是一款路徑及網頁暴力破解的工具,可以破解出一直沒有訪問過或者管理員后臺的界面路徑。還可掃描敏感的文件、目錄、后臺或者網站備份文件和數據庫文件。

（四）服務器和網站信息探測技術

在獲取目標真實IP后，需要探測目標服務器的操作系統版本、Web服務及版本信息、后端腳本，網站是否使用開源程序或框架。對目標主機的系統版本、服務版本以及目標站點所用的應用程序版本進行探測，為漏洞發現做鋪墊。例如使用nmap -sS -sV -O 192.168.26.13，參數-sS使用syn掃描，參數-sV探測詳細的服務版本信息，參數-O是探測系統指紋。而對網站CMS（內容管理系統）指紋識別，由于網站包含Html、Js、Css等文件，在這些文件中含有一些特征碼，這些特征碼就是CMS的指紋，在滲透測試中通過識別CMS查找與其相關的漏洞進行下一步操作。常用的CMS如MetInfo（米拓）、蟬知、Ecshop、DedeCMS、帝國CMS、PHPCMS、Wordpress、Discuz、Phpwind等，開源框架如Thinkphp等。識別此類網站的方法主要通過Whatweb、御劍Web指紋識別、WebRobo、椰樹、輕量Web指紋識別、大禹CMS識別等工具，也可通過網站Bugscanner、云悉指紋進行識別。

（五）目標服務器端口探測技術

在滲透測試的過程中，對端口信息的收集是一個很重要的過程，通過掃描服務器開放的端口以及從該端口判斷服務器上存在的服務，以此對癥下藥。常用的端口掃描工具有Nmap、Zenmap、御劍等，針對掃描出的文件共享服務端口、遠程連接服務端口、Web服務端口、數據庫服務端口、郵件服務端口、網絡常見協議端口、特殊服務端口等進行定向攻擊。

（六）目標網絡拓撲獲取技術

掌握目標網絡的拓撲結構，對整個系統網絡的滲透成功具有重要意義。常見的網絡拓撲探測工具有Nslookup、Maltego、Visualroute等。其中，Maltego是圖形化界面，可搜集目標的網絡拓撲及相關的各類信息，Visualroute工具將Traceroute、Ping以及Whois等功能集合在了一個簡單易用的圖形界面里，可以用來分析互聯網的連通性，并找到快速有效的數據點以解決相關的問題。此外，該軟件還具有一個獨特的功能，即能夠找到路由器或者服務器的地理位置。

（七）Waf探測技術

Waf也叫Web應用防火墻，是通過執行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產品。常見的探測方法有利用Wafwoof、Nmap、Sqlmap等工具。

（八）目標郵箱獲取技術

由于許多網站后臺通過郵箱登錄，因此搜集郵箱賬號可用來爆破或者弱口令登錄以及撞褲攻擊。常用的搜集郵箱賬號的方法主要有通過Google語法搜集，通過說明文檔以及網站頁面收集，或者從網站發表者以及留言板信息處收集賬號，常用工具有Msf的Search_email模塊、社工庫等。

（九）社會工程學

社會工程學分為非接觸信息搜集和與人交流的社會工程學。非接觸信息搜集是指在不物理接觸目標的情況下，通過互聯網或其他手段，對目標進行信息搜集。主要收集姓名、性別、出生日期、身份證號碼、身份證家庭住址、快遞收貨地址、地理位置（包括照片EXIF提取、IP地址、附近的人三角定位）、學歷目標履歷素描、QQ、手機號（曾用與現用）、郵箱、銀行卡、電子郵箱、支付寶、各SNS主頁、微博、人人網、百度貼吧、網易輕博客等常用ID、目標性格素描。常用的社會工程學工具有Theharvester和Kali平臺下的Setoolkit集成化社會工程學工具。其中Set工具提供了網站攻擊、魚叉式釣魚攻擊、介質感染攻擊、群發郵件攻擊等10多種集成攻擊手法。

四、實戰應用

在一起案件中，獲得嫌疑網站域名為Http://www.cpfxxx.Com/，通過上述技術信息搜集技術獲取信息如表2所示。

?

五、結語

無論是滲透測試工程師、網絡管理員，還是網絡警察，在實際網絡安全評估或涉網案件的偵查工作中，信息搜集技術作為一項重要技術應用廣泛。研究基于滲透測試理論技術，詳細介紹了信息搜集的內容、技術和相關工具，對相關工作者具有一定的借鑒意義。