第12天 Web信息打点（1）

查企业信息：
小蓝本： https://www.xiaolanben.com/
爱企查： https://aiqicha.baidu.com/index/index

通过查询得到关联资产，寻找突破点。

业务资产：
1、Web网站
2、APP应用
3、PC应用
4、小程序应用
5、微信公众号
6、其他产品等

Web单域名：
1、备案信息
2、企业产权
3、注册域名
4、反查解析（通过IP地址看看有没有对应的域名）

Web子域名：
1、DNS数据（查看历史 解析记录）
dnsdumpster： https://dnsdumpster.com/
2、证书查询（是不是用的同一个证书）
CertificateSearch： https://crt.sh/
3、网络空间
FOFA： https://fofa.info/
全球鹰： https://hunter.qianxin.com/
360： https://quake.360.net/quake/#/index
4、威胁情报
微步在线 情报社区： https://x.threatbook.com/
奇安信 威胁情报中心： https://ti.qianxin.com/
360 威胁情报中心： https://ti.360.cn/
5、枚举解析（用字典去替换，子域名看看域名存不存在）

Web架构资产：
1、程序语言
2、框架源码
3、搭建平台
4、数据库类型
5、操作系统

指纹识别：（就是查架构资产等信息的）
TideFinger潮汐： http://finger.tidesec.net/
云悉指纹： https://www.yunsee.cn/

第13天 Web信息打点（2）

指纹识别中的CMS识别可以识别出一些常用的源码

源码泄露 参考文章： https://www.secpulse.com/archives/124398.html
网站备份压缩文件泄露
网站的压缩备份在网站目录下通过目录扫描就可以直接拿到备份的源码
下载下来的源码可能是加密过的
PHP常用zend进行加密

git 源码泄露 SVN 源码泄露 DS_Store 文件泄露也较为常见

常用的开源平台，尝试寻找源码
https://github.com/
https://gitee.com/
https://www.oschina.net/
https://www.huzhan.com/ （源码售卖平台 小型灰色产业可能会用到上面的源码）
直接检查（F12）也可以获得一定的源码信息，拿到相关信息后再进行检索

第14天 Web信息打点（3）

JS渗透测试

JS语言由于是由浏览器运行的，所以是可以看到JS的源代码的，像里面的一些敏感信息就可以获取到，URL、加解密逻辑、验证逻辑等

手动搜索分析

F12打开直接看，先看文件名，可以大概锁定范围
可以搜索关键字进行检索：
src=
path=
method:"get"
http.post("
$.ajax
http://service.httppost
http://service.httpget

半自动Burp分析

自带功能：

官方插件：JS Link Fidder & JS Miner
第三方插件：HaE（基于插件JavaAPI开发的高亮标记与信息关键字提取） & Unexpected_information（用于标记一些请求包的敏感信息、JS接口和一些特殊字段）
HaE： https://github.com/gh0stkey/HaE
Unexpected_information： https://github.com/ScriptKid-Beta/Unexpected_information
插件加载器：jython-standalone-2.7.2

自动化项目分析

下载浏览器插件：
Findsomething （简便、快捷、实用）
URLFinder（提取网址还能自动访问）： https://github.com/pingc0y/URLFinder
URLFinder快速使用

单url

显示全部状态码
URLFinder.exe -u http://www.baidu.com -s all -m 3

显示200和403状态码
URLFinder.exe -u http://www.baidu.com -s 200,403 -m 3

批量url

结果分开保存
导出全部
URLFinder.exe -s all -m 3 -f url.txt -o .
只导出html
URLFinder.exe -s all -m 3 -f url.txt -o res.html

结果统一保存
URLFinder.exe -s all -m 3 -ff url.txt -o .

参数（更多参数使用 -i 配置）：

-a  自定义user-agent请求头  
-b  自定义baseurl路径  
-c  请求添加cookie  
-d  指定获取的域名,支持正则表达式
-f  批量url抓取,需指定url文本路径  
-ff 与-f区别：全部抓取的数据,视为同一个url的结果来处理（只打印一份结果 | 只会输出一份结果） 
-h  帮助信息   
-i  加载yaml配置文件,可自定义请求头、抓取规则等（不存在时,会在当前目录创建一个默认yaml配置文件）  
-m  抓取模式：
        1  正常抓取（默认）
        2  深入抓取 （URL深入一层 JS深入三层 防止抓偏）
        3  安全深入抓取（过滤delete,remove等敏感路由） 
-max 最大抓取数
-o  结果导出到csv、json、html文件,需指定导出文件目录（.代表当前目录）
-s  显示指定状态码,all为显示全部  
-t  设置线程数（默认50）
-time 设置超时时间（默认5,单位秒）
-u  目标URL  
-x  设置代理,格式: http://username:password@127.0.0.1:8877
-z  提取所有目录对404链接进行fuzz(只对主域名下的链接生效,需要与 -s 一起使用）  
        1  目录递减fuzz  
        2  2级目录组合fuzz
        3  3级目录组合fuzz（适合少量链接使用）

ffuf （找到更多的JS文件）
https://github.com/ffuf/ffuf/
https://wordlists.assetnote.io （字典下载网站）
功能强大的模糊化工具，用它来FUZZ模糊化JS文件

Packer-Fuzzer （针对Webpack打包器的）
https://github.com/rtcatc/Packer-Fuzzer
一款针对Webpack等前端打包工具的所构建的网站进行快速、高效安全检测的扫描工具

第十五天 Web信息打点（4）

检查中间件，在header中可能会有更加详细的中间件信息

端口扫描：Nmap、Masscan、网络空间

通过端口可以猜测中间件类型和数据库类型，这些都有默认的端口

Nmap、Masscan 这两个是主动收集
网络空间是被动收集
https://nmap.org/download.html
https://github.com/robertdavidgraham/masscan

端口有三种类型的：open、closed、filtered(过滤，部分程序可以走这个端口)
考虑：1、防火墙 2、内网环境
内网环境可能出现的问题：数据库端口开放，网站可以正常打开，但是在端口扫描的时候发现数据库的端口没有开放（排除防火墙问题）

WAF防火墙识别

WAF应用防护系统，这个是执行一系列对于HTTP/S的安全策略来专门对Web应用提供防护的产品
WAF基本上是绕不过的

云WAF：百度安全宝、阿里云盾、长亭雷池、华为云、亚马逊云等
硬件WAF：绿盟、深信服、安恒、知道创宇等公司的产品
软件WAF：宝塔、安全狗、D盾等（中小企业没有经济实力的，这个可以绕过）
代码级WAF：自己写的WAF规则，防止出现注入等，一般是在代码里面写死的

wafw00f（自动识别waf的工具）
https://github.com/EnableSecurity/wafw00f

identywaf（自动识别waf的工具）
https://github.com/stamparm/identYwaf

识别蜜罐平台

蜜罐是一种安全威胁识别技术，其本质在于引诱和欺骗攻击者，并通过记录攻击者的攻击记录来产生价值。安全人员可以通过蜜罐的被攻击记录推测攻击者的攻击意图和手段等信息。攻击方可以通过蜜罐识别技术来发现和规避蜜罐。所以很有必要学一学。

依据交互程度分为：
低交互蜜罐、中交互蜜罐、高交互蜜罐
根据蜜罐模拟的目标进行分类
数据库蜜罐、工控蜜罐、物联网蜜罐、Web蜜罐

识别原理： https://mp.weixin.qq.com/s/jPz9hBmUypFyQlU27vglUg

识别技术

项目识别：
浏览器插件
https://github.com/graynjo/Heimdallr （如果指纹识别和蜜罐告警这里面有东西一般就是蜜罐、可能误报）
https://github.com/360quake/quake_rs （更加专业）
quake.exe init apiKey值（初始化api值，需要账号上积分）
quake.exe honeypot 目标(ip地址)

ping可以拿ip地址

人工

端口多而有规律
Web访问协议就下载
设备指纹分析

网络空间

鹰图，Quake

第十六天 Web信息打点（5）

CDN

CDN是一个中转节点，CDN 会将内容从源服务器缓存到最近的边缘节点，访问的就不再是网站本身而是CDN节点。

CDN配置
配置1：加速域名-选择需要加速的域名
子域名获取真实IP

配置2：加速区域-需要加速的地区
国外访问获取真实IP

配置3：加速类型-需要启用加速的资源

用超级ping进行CDN检测

主动漏洞
比如说网络图片链接，想要加载图片就一定要去访问对应的链接，这个时候就可以绕过CDN直接拿到服务器的IP地址
如果是PHP搭建的网站直接访问/phpinfo.php（这个是PHP的介绍信息）上面会记录有对应网站的IP信息

邮件系统
这个也是主动类型的，也可以绕过DNS，并且邮件也无法配置CDN服务，但是前提是这个网站有配置邮件服务，如果用的第三方的邮件服务就没用了。
还有一种就是用自己的邮件服务器（不能用第三方的）给对方发送邮件，由于发送不成功就会退回，退回的信息里会包含IP地址

检查网站IP： https://get-site-ip.com （不一定对）fofa 也可以查

如果都不行就全网扫描
需要知道CDN的服务厂商
厂商查询：
https://tools.ipip.net/cdn.php
工具项目：
https://www.cz88.net/geo-public
https://github.com/Tai7sy/fuckcdn

第十七天 Web信息打点（6）

组件和开发框架

可以根据框架和组件寻找漏洞

指纹识别本地工具-GotuScan
https://github.com/newbe3three/gotoscan
本地工具适合不出网环境

复现框架漏洞的平台： https://vulfocus.cn/#/dashboard

python 开发框架
Django
1、用插件识别
2、set-Cookie:csrftoken=
Flank
1、用插件识别
2、X-Powered-By:flask

PHP
ThinkPHP
Lavavel
Yii

Java
框架组件非常多

识别，特有的URL路径、Response返回包、ico图标
只要是识别到了对应的框架和组件有漏洞的存在直接就可以着手开始操作了

第十八天 APP信息打点（1）

如何获取目标的APP信息

1、名称获取APP信息（点点/七麦/小蓝本/爱企查）
https://www.qimai.cn
https://app.diandian.com （更好用一点）

2、URL网站备案查APP
查备案信息再搜
网站上有APP下载链接
市场直接搜单位名称

如何从APP中获取APP资产信息

通过获取APP配置、数据包，去获取url、api、osskey、js等敏感信息
APP中收集资产
1、抓包-动态表现
2、提取-静态表现&动态调试
3、搜索-静态表现

抓包抓表现出来的数据
优点：没有误报
缺点：无法做到完整

反编译从源码中提取数据
优点：数据较为完整
缺点：有很多无用的资产

APP信息提取
AppInfoScanner
https://github.com/kelvinBen/AppInfoScanner
MobSF（本地搭建好了之后就和下面这两个在线网站一毛一样而且非常好用）
https://github.com/MobSF/Mobile-Security-Framework-MobSF
在线平台
https://www.zhihuaspace.cn:8888/
https://mogua.co/