信息收集 Chapter 2

但是，我们常说，路不止一条，只看你愿不愿意选择。

例子3

被动搜集

这次随机采集的是一个卖蛋蛋的公司，打开首页可以发现下面的信息：

1. 网址：http://www.xxxxx.net/
2. 标题：xxxxx生产销售_xxxxx蛋批发
3. 联系方式：xxxxxx9600
4. 微信：18xxxxxx354
5. 地址：xxxxx镇尖山村委诗房队及独竹一队瓦窑顶
6. 目标服务：卖蛋蛋的，但是只有对公司流程的介绍
7. 技术支持：伯才网络
8. 页面存在搜索框
9. 页面存在留言板功能
10. 动态网址做了伪静态处理

按F12查看返回的头部信息:

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Connection: Keep-Alive
Content-Encoding: gzip
Content-Length: 8518
Content-Type: text/html
Date: Tue, 16 Apr 2019 05:56:45 GMT
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Keep-Alive: timeout=5, max=99
Pragma: no-cache
Server: Apache/2.4.10 (Unix) PHP/5.5.7
Vary: Accept-Encoding
X-Powered-By: PHP/5.5.7

可以得知：

1. 服务器：UNIX
2. WEB容器：apache/2.4.10
3. 脚本语言：PHP/5.5.7

根据经验猜测是php+mysql搭建的网址，基于UNIX服务器，使用到apache容器。

查看robots.txt，发现什么都么有，随便点开一个网页，在后面加上and 1=2 接着出现了安全狗拦截- -，根据经验输入admin,manage,login,phpmyadmin的目录，都跳转到404页面，因为判断是php写的，于是加上admin.php,运气好直接跳转到管理登陆页面了。发现管理后台有这么一行介绍

Copyright © 2012 - 2019 , BoCaiCMS All Rights Reserved.http://www.bocaicms.com

菠菜cms？？//黑人问号

google搜索bocaicms，搜索到67200个结果，排在前面的都是不同网站的后台管理界面，直接访问这个cms的官方返回异常，直接跳转404，但是在搜索引起中发现很多网址的图片都是引用这个网址的图片，服务器是存活的

src="http://img.bocaicms.com/d/file/content/2018/03/5ab356f8a5087.png

等等，重新看一下上面的技术支持的公司，伯才网络​…..

果然惯性思维是可怕的- -，整理一下：

1. WAF:安全狗
2. CMS:bocaicms
3. 后台：http://www.xxxxx.net/admin.php

谷歌搜索这个cms的漏洞，并没有什么信息，这种成套的CMS系统存在的漏洞应该比较少，这个时候可以把方向放到源码上，如果有源码就能做代码审计，找到漏洞点，就能批量成千上万的入侵这套CMS系统，当然我并不会带码审计嘻嘻

通过谷歌黑客什么信息都没能弄到，子域名什么的就拉到吧，这种小站还子域名呢

整理一下被动搜集到的信息：

1. 网址：http://www.xxxxx.net/
2. 标题：xxxxx生产销售_xxxxx蛋批发
3. 联系方式：xxxxxx9600
4. 微信：18xxxxxx354
5. 地址：xxxxx镇尖山村委诗房队及独竹一队瓦窑顶
6. 目标服务：卖蛋蛋的，但是只有对公司流程的介绍
7. 技术支持：伯才网络
8. 页面存在搜索框
9. 页面存在留言板功能
10. 动态网址做了伪静态处理
11. 服务器：UNIX
12. WEB容器：apache/2.4.10
13. 脚本语言：PHP/5.5.7
14. WAF:安全狗
15. CMS:bocaicms
16. 后台：http://www.xxxxx.net/admin.php

主动搜集

通过站长之家和云悉查询，获取到的结果进行真理筛选后如下：

1. ip：IP：0.0.0.44[香港 阿里云]
2. 域名服务器：whois.west263.com

并没有备案，吊吊吊。
通过多地PING发现该网站并没有使用CDN，但是上面有安全狗，所以不能轻举妄动。先通过一些网站的在线扫描开放端口试试水，发现只有80端口开放着，哇难受啊。

直接通过浏览器访问该ip，发现不得了的事，该ip可以访问，并且存在目录访问，页面显示：

Index of /
_p__h-p-MyAdm__in__.zip
_p__h-p-MyAdm__in__/
bocai/

第一个事PHPmyadmin的安装包，第二个事phpmyadmin的登陆界面，第三个点进去显示404，尝试禁用javascript还是没用，通过F12发现network中有

Location：http://0.0.0.44/error.html

重定向，尝试使用python的socket模拟发起http请求，返回的结果如下：

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>伯才网络</title>
</head>
<body>
    <h1 style="margin:10% auto;text-align:center;">没有找到站点的相关信息，请联系管理员！</h1>
</body>
</html>

按照推理应该是有每个网站不同的配置信息，或者这个是加载cms的一些功能的，反正没有源码只能瞎猜，还可能猜错。罢了- -

能发现phpmyadmin的登陆界面也不错了，接下来试一试新写的基于多进程异步协程框架的探测多端口程序，扫描50000个端口只需不到3分钟，因为是采用访问域名+端口号形式，发起的http协议的访问，如果安全的不是服务器安全狗，而是安装的网址安全狗的话，有机会希望不会被安全狗拦截住。

结果很幸运和很不幸，幸运的是安全狗没有封我的IP，不幸的是扫描的结果只有下面一个：

当前分端口允许访问  网址:http://www.xxxxx.net:80  状态:200

行吧，无所谓。

通过设置御剑1个线程，请求方式为get请求，先扫一下目录，然后再扫一扫文件，看看能不能发现什么敏感文件。

结果太太巧了，什么都没得，通过NMAP扫一扫看看能有什么发现好了，

nmap -sS -sU -T4 -A -v -PE -PP -PS80,443 -PA3389 -PU40125 -PY -g 53 --script "default or (discovery and safe)" 0.0.0.44

截取部分有效的信息：

| http-grep: 
|   (1) http://0.0.0.44:80/_p__h-p-MyAdm__in__/: 
|     (1) ip: 
|_      + 0.0.0.44
| http-headers: 
|   Date: Tue, 16 Apr 2019 08:07:46 GMT
|   Server: Apache/2.4.10 (Unix) PHP/5.5.7
|   Content-Length: 2625
|   Connection: close
|   Content-Type:  text/html; Charset=utf-8
|   
|_  (Request type: HEAD)
| http-internal-ip-disclosure: 
|_  Internal IP Leaked: 10.
| http-methods: 
|_  Supported Methods: GET HEAD POST OPTIONS
|_http-mobileversion-checker: No mobile version detected.
|_http-referer-checker: Couldn't find any cross-domain scripts.
|_http-security-headers: 
|_http-server-header: Apache/2.4.10 (Unix) PHP/5.5.7
|_http-title: Index of /
| http-traceroute: 
|_  Possible reverse proxy detected.
| http-useragent-tester: 
|   Status for browser useragent: 200
|   Allowed User Agents: 
|     Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
|     libwww
|     lwp-trivial
|     libcurl-agent/1.0
|     PHP/
|     Python-urllib/2.5
|     GT::WWW
|     Snoopy
|     MFC_Tear_Sample
|     HTTP::Lite
|     PHPCrawl
|     URI::Fetch
|     Zend_Http_Client
|     http client
|     PECL::HTTP
|     Wget/1.13.4 (linux-gnu)
|_    WWW-Mechanize/1.34
|_http-xssed: No previously reported XSS vuln.
3306/tcp open   mysql      MySQL (unauthorized)
| banner: F\x00\x00\x00\xFFj\x04Host '210.22.82.252' is not allowed to co
|_nnect to this MySQL server
8080/tcp closed http-proxy
No exact OS matches for host (If you know what OS is running on it, see https://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=7.70%E=4%D=4/16%OT=80%CT=53%CU=%PV=N%DS=17%DC=T%G=Y%TM=5CB58DBF%P
OS:=i686-pc-windows-windows)SEQ(SP=107%GCD=1%ISR=10C%TI=Z%TS=U)OPS(O1=M5A0%
OS:O2=M5A0%O3=M5A0%O4=M5A0%O5=M5A0%O6=M5A0)WIN(W1=3908%W2=3908%W3=3908%W4=3
OS:908%W5=3908%W6=3908)ECN(R=Y%DF=Y%TG=40%W=3908%O=M5A0%CC=Y%Q=)T1(R=Y%DF=Y
OS:%TG=40%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=N)T5(R=Y%DF=Y%TG=40%W=0%
OS:S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=N)T7(R=N)U1(R=N)IE(R=N)

梳理一下，有用的是：

1. 开放端口：3306（mysql），但是不允许外联，不给爆破的机会
2. 数据库管理界面：http://0.0.0.44/_p__h-p-MyAdm__in__/

梳理

1. 网址：http://www.xxxxx.net/
2. 标题：xxxxx生产销售_xxxxx蛋批发
3. 联系方式：xxxxxx9600
4. 微信：18xxxxxx354
5. 地址：xxxxx镇尖山村委诗房队及独竹一队瓦窑顶
6. 目标服务：卖蛋蛋的，但是只有对公司流程的介绍
7. 技术支持：伯才网络
8. 页面存在搜索框
9. 页面存在留言板功能
10. 动态网址做了伪静态处理
11. 服务器：UNIX
12. WEB容器：apache/2.4.10
13. 脚本语言：PHP/5.5.7
14. WAF:安全狗
15. CMS:bocaicms
16. 后台：http://www.xxxxx.net/admin.php
17. ip：IP：0.0.0.44[香港 阿里云]
18. 域名服务器：whois.west263.com
19. 开放端口：3306（mysql），但是不允许外联，不给爆破的机会
20. 数据库管理界面：http://0.0.0.44/_p__h-p-MyAdm__in__/