滲透測(cè)試中偵查常用方法研究

◆魏星德

滲透測(cè)試中偵查常用方法研究

◆魏星德

（海軍士官學(xué)校 安徽 233020）

本文主要是對(duì)滲透測(cè)試偵查概念進(jìn)行闡述，分析偵查在滲透測(cè)試過程中的重要性，研究滲透測(cè)試常用偵查方法以及專業(yè)工具的使用。滲透測(cè)試中偵查的主要作用是為后續(xù)滲透收集信息，使用正確的偵查方法、偵查工具可以達(dá)到事半功倍的效果。

滲透測(cè)試；偵查；信息收集

滲透測(cè)試是一種測(cè)試計(jì)算機(jī)系統(tǒng)漏洞并且對(duì)其實(shí)施漏洞攻擊的方法，是合法且得到授權(quán)的行為，目的是為了使這些受測(cè)試的系統(tǒng)更加安全。在滲透測(cè)試中偵查是最容易被忽視的一個(gè)環(huán)節(jié)，原因是很多從事滲透測(cè)試工作的初學(xué)者沒有很好理解偵查的概念以及信息收集對(duì)后期滲透測(cè)試的重要性，認(rèn)為偵查工作沒有技術(shù)含量，缺乏技術(shù)挑戰(zhàn)性。實(shí)際上一次成功的滲透測(cè)試離不開前期的偵查工作，良好的信息收集可以為后續(xù)滲透測(cè)試提供重要信息參考和滲透測(cè)試方向，出色偵查可以讓我們輕而易舉滲透進(jìn)入網(wǎng)站或者應(yīng)用系統(tǒng)，這樣的例子在滲透測(cè)試中比比皆是，很多時(shí)候成功的滲透測(cè)試靠的不是技術(shù)攻擊而是信息收集。

偵查分為主動(dòng)偵查和被動(dòng)偵查，主動(dòng)偵查是與滲透對(duì)象直接進(jìn)行交互，被動(dòng)偵查主要是利用互聯(lián)網(wǎng)工具收集海量信息，而不與滲透目標(biāo)進(jìn)行直接交互。偵查過程中我們需要盡量可能多的收集與目標(biāo)有關(guān)的信息，不能忽視任何細(xì)節(jié)，哪怕是無(wú)關(guān)痛癢的信息。下面就滲透測(cè)試中常用偵查方法工具進(jìn)行分析。

1 網(wǎng)站鏡像工具

我們要對(duì)一個(gè)網(wǎng)站進(jìn)行偵查，必然需要詳細(xì)瀏覽目標(biāo)網(wǎng)站，需要注意的是，我們?cè)跒g覽和收集目標(biāo)網(wǎng)站信息的時(shí)間越長(zhǎng)，我們的偵查行為越有可能被跟蹤記錄，因?yàn)槿魏我淮闻c之交互都有可能留下數(shù)字指紋，為了盡量減少與目標(biāo)網(wǎng)站的交互，通常是通過鏡像工具把網(wǎng)站鏡像到本地，然后再進(jìn)行偵查分析，鏡像一個(gè)網(wǎng)站一般都會(huì)被視為攻擊性行為，因此我們一定事先要獲得授權(quán)。

HTTrack是一款能夠創(chuàng)建與目標(biāo)網(wǎng)站完全相同鏡像的免費(fèi)軟件，HTTrack鏡像內(nèi)容包括網(wǎng)頁(yè)、鏈接、圖片以及html代碼，鏡像一個(gè)網(wǎng)站獲取的不是網(wǎng)站的源代碼，而是獲取的網(wǎng)站代碼執(zhí)行的結(jié)果。通過本地鏡像文件，可以對(duì)網(wǎng)站進(jìn)行分析，查找有用、有價(jià)值的信息。比如物理地址和位置、上班時(shí)間、電話號(hào)碼、電子郵箱、商業(yè)合作伙伴、社會(huì)化媒體賬號(hào)以及公司產(chǎn)品，甚至招聘的信息等，通過招聘信息我們可以分析公司使用的技術(shù)以及研究方向。通過對(duì)目標(biāo)網(wǎng)站的全面分析，對(duì)滲透目標(biāo)有一個(gè)很全面的了解。獲取滲透目標(biāo)重要信息后，梳理信息，確定新的偵查方向，然后再通過被動(dòng)偵查手段繼續(xù)對(duì)目標(biāo)進(jìn)行偵查。

2 搜索引擎專業(yè)查詢

搜索引擎在被動(dòng)偵查中是最常用方法之一。搜索引擎種類很多，普通用戶直接在搜索引擎中輸入需要查詢內(nèi)容，查詢針對(duì)性不強(qiáng)，然而通過主動(dòng)偵查獲取信息進(jìn)行分析后再對(duì)目標(biāo)進(jìn)行被動(dòng)偵查，偵查范圍、偵查方向相對(duì)明確，再結(jié)合搜索引擎專用查詢指令進(jìn)行查詢，可是實(shí)現(xiàn)更加專業(yè)的信息收集，本文我們主要以Google搜索引擎為例。

Google的查詢指令主要有三部分內(nèi)容組成“查詢指令、指令對(duì)象、內(nèi)容”。site指令查詢指定網(wǎng)址下的內(nèi)容：site：www.xxx.cn 照片，查詢出來的內(nèi)容會(huì)比我直接輸入‘照片’少很多，無(wú)用信息會(huì)被自動(dòng)過濾。inurl指令可以查詢出包含特定字符的網(wǎng)址，比如我們要查詢網(wǎng)址中包含admin，便可以使用如下查詢方法：inurl：admin，這樣查詢的出的結(jié)果中只會(huì)顯示包含admin的網(wǎng)址，地址中包含admin大部分都是網(wǎng)站的后臺(tái)地址，這些信息在我們嘗試獲取網(wǎng)站的后臺(tái)登錄地址時(shí)提供重要數(shù)據(jù)參考。filetype指令，通過這個(gè)指令我們可以搜索擁有特定擴(kuò)展名的文件，比如我們想搜索pdf文件的時(shí)候，我們可以通過filetype：pdf指定查詢。filetype和site指令結(jié)合我們可以查詢指定網(wǎng)站指定類型的文件，site：www.xxx.cn filetype：pdf。這樣我們就可以查詢出www.xxx.cn 網(wǎng)站下所有后綴為pdf的文件。

Google的查詢指令還有很多，通過這些查詢指令我們可以獲取偵查目標(biāo)發(fā)布的相關(guān)類型的信息，有些信息非常重要，比如說目標(biāo)網(wǎng)站的工程師遇到一個(gè)解決不了的問題，可能會(huì)通過論壇或者其他方式把問題發(fā)布到網(wǎng)絡(luò)上，我們通過其發(fā)布的內(nèi)容，可以分析偵查目標(biāo)所使用的具體技術(shù)以及可能存在的漏洞從而分析目標(biāo)網(wǎng)站可能存在的漏洞。

3 收集目標(biāo)服務(wù)器信息

（1）Whois是一個(gè)很好的查詢目標(biāo)服務(wù)器信息的工具。其查詢的內(nèi)容包括IP地址、公司服務(wù)器的DNS主機(jī)、網(wǎng)絡(luò)運(yùn)營(yíng)商以及聯(lián)系電話和郵箱，通過這些信息我們可以對(duì)偵查目標(biāo)的網(wǎng)絡(luò)結(jié)構(gòu)有一個(gè)整體了解。Linux操作系統(tǒng)已經(jīng)內(nèi)置了Whois，使用也是非常簡(jiǎn)單，只需要在終端命令窗口輸入：whois 目標(biāo)域名。

（2）Netcraft可以查詢出域名包含查詢關(guān)鍵詞的所有網(wǎng)站，很多服務(wù)器都部署了多個(gè)網(wǎng)站，而且大部分服務(wù)器都是采用的二級(jí)域名對(duì)網(wǎng)站進(jìn)行管理。在偵查時(shí)我們要盡量獲取服務(wù)器上部署的所有網(wǎng)站，因?yàn)槲覀儾荒艽_定那個(gè)網(wǎng)站系統(tǒng)會(huì)存在漏洞。

（3）Threat Agent Drone是一款優(yōu)秀的偵查工具，它包含了多種內(nèi)建的信息收集工具，Drone提取完網(wǎng)站所有信息后會(huì)生成一個(gè)包含IP地址范圍、電子郵件地址、開放的端口等信息報(bào)告，在信息收集工具中相對(duì)比較專業(yè)。

（4）Ns Lookup 是檢查DNS的重要工具。DNS服務(wù)器是滲透測(cè)試人員常選目標(biāo)，DNS主要的工作是負(fù)責(zé)實(shí)現(xiàn)域名到IP地址的轉(zhuǎn)換，可以說是互聯(lián)網(wǎng)的核心組建。如果在滲透測(cè)試過程中能獲取DNS服務(wù)器的完整權(quán)限，將對(duì)整個(gè)滲透測(cè)試提供巨大的幫助。Ns Lookup 主要是查詢DNS服務(wù)器信息，獲取DNS的真實(shí)IP地址，為后續(xù)滲透測(cè)試提供目標(biāo)。

4 社會(huì)工程學(xué)

在滲透測(cè)試偵查階段使用社會(huì)工程學(xué)方法偵查，是必不可少的一個(gè)環(huán)節(jié)，可以說缺少社會(huì)工程的偵查是不完整的偵查。社會(huì)工程是信息收集的最簡(jiǎn)單、最有效的方法之一。社會(huì)工程是攻擊‘人性’弱點(diǎn)的一個(gè)過程，通過欺騙的手段入侵計(jì)算機(jī)系統(tǒng)的一種方法。一個(gè)企業(yè)或者單位可能采取很周全的技術(shù)安全措施來防止?jié)B透測(cè)試，但是由于每個(gè)公司或單位都是由人組成、由人進(jìn)行管理，員工可能無(wú)意間通過電話、電子郵件把重要信息泄漏出去，從而對(duì)信息安全帶來嚴(yán)重隱患，所以說這個(gè)弱點(diǎn)是每個(gè)公司或單位與生俱來的。滲透測(cè)試人員通過攻擊公司或單位的特定成員，然后通過其作為中間跳板獲取公司或單位的保密信息。

4.1 偽裝面試技術(shù)崗位

例如我們?cè)趯?duì)一家做汽車配件的公司進(jìn)行滲透測(cè)試，通過前期的偵查我們已經(jīng)獲取了公司一個(gè)技術(shù)主管的聯(lián)系電話、社交賬號(hào)以及郵箱，我們可以給其發(fā)送應(yīng)聘簡(jiǎn)歷，咨詢公司研發(fā)的產(chǎn)品以及自身的技術(shù)能不能勝任公司招聘的崗位，從而套取目標(biāo)公司的技術(shù)發(fā)展?fàn)顩r以及當(dāng)前的技術(shù)問題。

4.2 投放病毒，間接獲取信息。

例如通過前期偵查已經(jīng)獲取公司的所在的地址以及公司員工停車的位置等信息，我們把可以把預(yù)先裝入病毒或者后門程序的U盤放置在公司員工車的旁邊，U盤上寫一個(gè)具有誘惑力的標(biāo)簽，如公司優(yōu)秀員工打分表。只要公司員工經(jīng)過，必定會(huì)在好奇心驅(qū)使下把U盤撿起，并插入到公司的計(jì)算機(jī)設(shè)備上查看內(nèi)容，這樣我們就可以獲取一個(gè)通向目標(biāo)內(nèi)部的通道。

4.3 偽造的電子郵件、短信通知。

通過偽造銀行、政府、企業(yè)等具有社會(huì)公信力的機(jī)構(gòu)或者個(gè)人，給目標(biāo)發(fā)送偽造的電子郵件或者消息，進(jìn)行信息欺騙，通過欺騙獲取用戶信息，如姓名、身份證、手機(jī)、家庭住址等信息。這種方法在電信詐騙案件中經(jīng)常可以見到，滲透測(cè)試人員在獲取用戶個(gè)人信息后，可以通過字典生成用戶常用口令，為后續(xù)滲透提供用戶密碼信息。

4.4 釣魚攻擊。

主要是通過制作虛假的網(wǎng)站引誘用戶訪問并填寫個(gè)人信息。釣魚攻擊主要是利用用戶對(duì)敏感信息的好奇心，包括色情、賭博、最新電影、八卦?shī)蕵沸侣?、商品折扣。通過這些信息將用戶從可信的站點(diǎn)引導(dǎo)至滲透測(cè)試人員制作的惡意頁(yè)面，然后在通過惡意網(wǎng)頁(yè)獲取用戶的敏感信息，滲透測(cè)試人員可以根據(jù)需要定義需要搜集的敏感信息，可以是可信網(wǎng)站的賬號(hào)、密碼等。

4.5 技術(shù)服務(wù)。

滲透測(cè)試人員把自己偽裝成技術(shù)服務(wù)公司的技術(shù)人員，對(duì)客戶進(jìn)行回訪，幫助客戶檢查設(shè)備、服務(wù)器等是否運(yùn)行正常。這種方法是危害比較大的，目標(biāo)一般是沒有技術(shù)員或者是技術(shù)人員較少、實(shí)力薄弱的單位。例如滲透測(cè)試人員獲取了一家單位使用的網(wǎng)絡(luò)設(shè)備或者服務(wù)器的信息，冒充這些設(shè)備供應(yīng)商的技術(shù)人員，并說明目標(biāo)單位使用的設(shè)備或者服務(wù)器存在漏洞需要檢查、修復(fù)，并要求目標(biāo)單位提供遠(yuǎn)程連接的地址、賬號(hào)、密碼。如果滲透成功，幾乎可以偵查到目標(biāo)單位所有的服務(wù)器信息以及使用的應(yīng)用系統(tǒng)。

5 結(jié)語(yǔ)

在任何滲透測(cè)試或者黑客攻擊活動(dòng)中，偵查收集信息都是必不可少的一步。雖然這個(gè)步驟與其他步驟相比，技術(shù)含量不是很高，但是它在整個(gè)滲透測(cè)試過程中的地位卻是舉足輕重的，作為滲透測(cè)試人員一定要認(rèn)識(shí)到偵查的重要性，專業(yè)的偵查方法、工具能收集的更多、更精確的信息，能更好為滲透測(cè)試的后續(xù)滲透過程提供更明確的滲透方向，并顯著提高滲透測(cè)試成效，偵查方法是否專業(yè)直接決定了滲透成功率的高低。

[1]莫懷海，李曉東.Web滲透測(cè)試信息收集技術(shù)研究[J].通訊世界，2019.

[2]巫冬.基于web安全的滲透測(cè)試技術(shù)探討[J].四川職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2019.

[3]杜江，任威. 網(wǎng)絡(luò)安全滲透測(cè)試技術(shù)流程研究[J]. 數(shù)字技術(shù)與應(yīng)用，2016.

[4]張如云.滲透測(cè)試在辦公網(wǎng)站開發(fā)的應(yīng)用研究[J].辦公自動(dòng)化，2016.

[5]鄭天時(shí).基于滲透測(cè)試的內(nèi)容管理系統(tǒng)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.