淺談Web滲透測試的信息收集

郎智哲+封筱宇+董齊芬

摘 要： Web滲透測試是當(dāng)前比較主流的網(wǎng)站安全測試方法，其中，信息收集工作是Web滲透測試的第一步，直接關(guān)系到整個滲透測試的質(zhì)量。文章首先介紹了信息收集，然后結(jié)合實(shí)驗(yàn)詳細(xì)闡述了信息收集中的兩個主要方面，一是外部的信息收集，包括whois查詢、IP地址信息查詢和利用搜索引擎進(jìn)行信息收集；二是利用掃描工具進(jìn)行深入信息收集，包括ping工具、nmap工具和其他漏洞掃描器。該研究能為Web滲透測試的信息收集工作提供有價值的參考。

關(guān)鍵詞： 網(wǎng)絡(luò)安全； Web滲透測試； 信息收集； 掃描工具

中圖分類號：TN915.08 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2017）08-13-04

Abstract： Web penetration test is the most popular method of website security testing. The information gathering is the first step of Web penetration test， and it is directly related to the quality of the entire penetration test. This paper summarizes the information gathering， and then elaborates on the two main aspects of the information gathering according to the experiment. One is the external information gathering， including the whois query， IP address information query and gathering information with the search engines； the other is the deep-going information gathering by using the scanning tools， including Ping tools， nmap tools and other vulnerability scanners. This research can provide valuable reference for information gathering of Web penetration test.

Key words： network security； Web penetration test； information gathering； scanning tool

0 引言

隨著網(wǎng)絡(luò)走進(jìn)千家萬戶，網(wǎng)絡(luò)安全問題也隨之而來。網(wǎng)絡(luò)木馬、互聯(lián)網(wǎng)惡意程序、DDOS攻擊、網(wǎng)頁篡改等網(wǎng)絡(luò)安全事件層出不窮。根據(jù)國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心發(fā)布的2016年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述數(shù)據(jù)顯示，2016年我國境內(nèi)被篡改的網(wǎng)站數(shù)量為1.7萬個，其中，政府網(wǎng)站被篡改數(shù)量為467個；約8萬余個境內(nèi)網(wǎng)站被植入后門；約17.8萬個針對我國境內(nèi)網(wǎng)站的仿冒頁面[1]。由此可見，我國的網(wǎng)絡(luò)安全形勢嚴(yán)峻，必須要做好網(wǎng)絡(luò)安全防范工作，保護(hù)好網(wǎng)絡(luò)資源。

Web滲透測試（Penetration Test）是一種現(xiàn)行主流安全測試與評估方法。它通過模擬黑客的攻擊手段，挫敗目標(biāo)系統(tǒng)安全防御措施，最終取得訪問控制權(quán)限。它可以較好的發(fā)現(xiàn)一個網(wǎng)絡(luò)系統(tǒng)安全上的缺陷，使網(wǎng)站維護(hù)人員可以及時采取防御措施，防止網(wǎng)絡(luò)安全事件發(fā)生。完整的Web滲透測試大致可分為信息收集、滲透注入、獲取后臺數(shù)據(jù)庫數(shù)據(jù)、提權(quán)并獲得webshell等過程。其中，信息收集是對網(wǎng)站進(jìn)行滲透測試的第一步，直接關(guān)系到整個滲透測試的質(zhì)量。

本文將通過分析Web滲透測試中信息收集的幾種主要方法，來說明網(wǎng)絡(luò)安全工程師和黑客在對一個網(wǎng)站系統(tǒng)進(jìn)行注入、提權(quán)等步驟前，是如何收集網(wǎng)站主要信息的。

1 信息收集概述

對目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊之前，首先要收集匯總各種與目標(biāo)系統(tǒng)相關(guān)的信息，形成對目標(biāo)網(wǎng)絡(luò)必要的輪廓認(rèn)識，并為實(shí)施攻擊做好準(zhǔn)備[2]。與目標(biāo)系統(tǒng)相關(guān)的信息主要包括業(yè)務(wù)信息、網(wǎng)絡(luò)信息、網(wǎng)站域名信息、服務(wù)器信息等。其中，對于業(yè)務(wù)信息和網(wǎng)絡(luò)信息，網(wǎng)絡(luò)安全工程師可以通過對網(wǎng)站的多次瀏覽和嘗試，然后進(jìn)行自主分析得到，或者也可以和廠商溝通直接獲取。但對于黑客而言，他們不可能和廠商進(jìn)行溝通后再進(jìn)行攻擊，他們更多是進(jìn)行自主分析，同時利用互聯(lián)網(wǎng)和掃描工具進(jìn)行網(wǎng)站信息的收集。Web滲透測試中的信息收集便是模擬黑客不與廠商溝通的情形，利用互聯(lián)網(wǎng)和掃描工具進(jìn)行網(wǎng)站信息收集。

信息收集，大致可以分為外部的信息收集和利用掃描工具深入信息收集兩個方面，下文將分別詳細(xì)闡述。

2 外部的信息收集

網(wǎng)站信息收集都是從較簡單的和較易得到的外部信息開始的，這些信息通過互聯(lián)網(wǎng)便可以輕易得到。外部的信息收集方法主要有Whois查詢、IP地址信息查詢、利用搜索引擎和社會工程學(xué)等，其中社會工程學(xué)不屬于網(wǎng)絡(luò)技術(shù)范疇，故在此不作詳述。

2.1 Whois查詢

Whois是用來查詢域名IP，以及所有者等信息的傳輸協(xié)議。Whois可用來查詢域名是否已經(jīng)被注冊，以及被注冊域名的詳細(xì)信息（如域名所有人、域名注冊商）。進(jìn)行Whois查詢比較常用的是站長之家，阿里云等網(wǎng)站。利用阿里云（https：//whois.aliyun.com）對www.qq.com進(jìn)行Whois查詢，直接在查詢欄中輸入域名，點(diǎn)擊查詢便會返回查詢結(jié)果。

如圖1所示為www.qq.com的Whois查詢結(jié)果的英文原始注冊信息。在查詢結(jié)果中返回了www.qq.com的注冊商，創(chuàng)建、更新和過期時間，注冊人，管理員，郵箱，聯(lián)系電話等信息。Whois查詢中的郵箱、聯(lián)系電話等都是真實(shí)有效的信息，可以被黑客輕易利用并開展攻擊，最為常見的就是利用這些信息進(jìn)行域名過期搶注和社會工程學(xué)攻擊。

2.2 IP地址信息查詢

有很多網(wǎng)站（比如站長之家）可以查詢網(wǎng)站的IP地址信息。例如，在站長之家IP地址查詢的頁面（http：//ip.chinaz.com/）里輸入“www.qq.com”，便得到騰訊首頁的IP地址信息，如圖2所示。由于一個網(wǎng)站有多個鏡像，也就是同樣的服務(wù)器備份在不同的地方，所以分配的IP地址不一樣，但這些IP地址所使用的域名都是一樣的，因此有些網(wǎng)站會有多個IP地址。故當(dāng)任何一個地方的服務(wù)器損壞，還可以訪問另一個服務(wù)器。

2.3 利用搜索引擎進(jìn)行信息收集

百度、必應(yīng)等搜索引擎作為現(xiàn)今人們廣泛使用的網(wǎng)絡(luò)工具，它們增強(qiáng)了網(wǎng)絡(luò)的豐富性、便捷性和服務(wù)性，但其強(qiáng)大的爬蟲功能和索引功能，為黑客提供了很大的便利。如想要查詢一個網(wǎng)站的后臺管理地址，在搜索框中輸入“網(wǎng)站名+intitle：admin”，便可查找網(wǎng)站后臺管理地址；在搜索框中輸入：“網(wǎng)站名+filetype：sql”可以查詢某網(wǎng)站有沒有sql數(shù)據(jù)庫直接放在互聯(lián)網(wǎng)上；在搜索框中輸入“關(guān)鍵字+site：域名”，可以搜索該域名下所有含有關(guān)鍵字的頁面。搜索常用的指令和含義如表1所示。

比如想查詢FreeBuf網(wǎng)站中，關(guān)于TP link信息的頁面可以在百度或者必應(yīng)的搜索欄中輸入“TP link site：www.freebuf.com”。如圖3所示，在百度的搜索結(jié)果中可以看到，搜索返回了所有在FreeBuf網(wǎng)站中關(guān)于TP link信息的網(wǎng)頁，這樣大大減少了對一個網(wǎng)站逐步進(jìn)行查看和搜集有用信息的時間。同樣的道理，也可以用同樣的方法搜索一個網(wǎng)站是否有對外開放的后臺管理地址等安全隱患更大的敏感頁面。

3 利用掃描工具進(jìn)行深入信息收集

外部信息收集只能收集到網(wǎng)站表面的信息，信息也略顯簡單，具有一定的局限性。利用掃描工具可以收集目標(biāo)主機(jī)或網(wǎng)絡(luò)的詳細(xì)信息，進(jìn)而發(fā)現(xiàn)目標(biāo)系統(tǒng)的漏洞或脆弱點(diǎn)，再根據(jù)脆弱點(diǎn)的位置展開攻擊。網(wǎng)絡(luò)安全工程師可以根據(jù)掃描工具的掃描結(jié)果信息，及時發(fā)現(xiàn)系統(tǒng)漏洞，并采取相應(yīng)的補(bǔ)救措施，免受入侵者攻擊。因此檢測和消除系統(tǒng)中存在的弱點(diǎn)成為安全研究人員的重要課題[3]。

目前，網(wǎng)絡(luò)掃描工具多種多樣，本文主要對Ping工具，Nmap工具和常用的漏洞掃描器進(jìn)行闡述。

3.1 Ping工具

Ping工具是Windows自帶的十分常用、簡單的工具，常用來檢查網(wǎng)絡(luò)是否通暢，但作為網(wǎng)絡(luò)安全工程師更關(guān)心的是Ping工具下TTL值。TTL（Time To Live，生存時間），是IP協(xié)議包中的一個值，指數(shù)據(jù)包被路由器丟棄之前允許通過的網(wǎng)段數(shù)量，數(shù)據(jù)包每經(jīng)過路由器轉(zhuǎn)發(fā)一次TTL至少減一，TTL值通常反應(yīng)包在被丟棄前最多能經(jīng)過的路由器個數(shù)。通過TTL值，可初步判斷目標(biāo)服務(wù)器類型。以百度為例，在CMD命令行中輸入“ping www.baidu.com”，結(jié)果如圖4所示。

一般來說，Linux系統(tǒng)的TTL值為64，Windows2000/NT系統(tǒng)的TTL值為128，Solaris/AIX系統(tǒng)的TTL值為254。上圖中，可以返回來的數(shù)據(jù)包TTL值為54，接近64，因此初步斷定百度使用的是Linux操作系統(tǒng)，中間經(jīng)過8個路由器到達(dá)本機(jī)因此TTL變?yōu)?6。

3.2 Nmap工具

主機(jī)端口掃描工具有很多，其中Nmap最為常用，它提供了基本的TCP和UDP掃描能力，集成大量掃描技巧，如端口掃描，目標(biāo)版本偵測，目標(biāo)服務(wù)器系統(tǒng)偵測等功能。Nmap常用命令和含義如表2所示。Nmap工具使用命令為：nmap+命令+目標(biāo)地址。

另外，在一條nmap命令語句中，多個命令是可以同時使用的，仍舊以百度為例，在搭建好nmap環(huán)境的DOS命令界面輸入命令：nmap -v -O www.baidu.com，可得到如圖5所示結(jié)果。從掃描結(jié)果可以看出，百度開放了80端口和443端口，并將http服務(wù)放在了80端口，https服務(wù)放在的443端口。

3.3 常用的漏洞掃描器

漏洞掃描器是用來自動檢查一個本地或者遠(yuǎn)程主機(jī)安全漏洞的工具，它根據(jù)所定義的漏洞列表對目標(biāo)系統(tǒng)的弱點(diǎn)信息進(jìn)行收集、比較和分析，查看是否有滿足條件的漏洞存在。一旦發(fā)現(xiàn)目標(biāo)有漏洞便提交報告給用戶，并說明如何利用該漏洞以及如何對該漏洞進(jìn)行修補(bǔ)。目前國外常用的掃描器可以分為兩類，一類是主機(jī)掃描器，如Nessus掃描器、Nexpose掃描器等；另一類是Web應(yīng)用掃描器，如AWVS，IBM APPScan、HP WebInspect等。國內(nèi)很多廠商提供的漏洞掃描器也可以掃描出網(wǎng)站的大部分漏洞，性能不劣于國外早已成名的掃描器，目前被普遍使用。

以AWVS掃描器為例，對本地自己搭建的一個實(shí)驗(yàn)網(wǎng)站進(jìn)行掃描。在AWVS中建立一個新的掃描任務(wù)——New Scan，把網(wǎng)站地址輸入以后會進(jìn)行自動化掃描，掃描結(jié)果如圖6所示。

掃描后會顯示大量掃描器自動捕捉到的漏洞，如圖6中紅色的高危漏洞中有SQL盲注漏洞、XSS跨站腳本漏洞等。由于掃描器是根據(jù)既定的掃描策略進(jìn)行自動化掃描的，掃描結(jié)果未必一定準(zhǔn)確，所以要再對這些漏洞進(jìn)行手工驗(yàn)證。如果漏洞確實(shí)存在，就可以及時進(jìn)行修補(bǔ)，起到對網(wǎng)站的保護(hù)作用，也防范了黑客利用這些漏洞進(jìn)行攻擊。

漏洞掃描工具通過對整個網(wǎng)站目錄的掃描，以及對每個頁面的掃描，可以發(fā)現(xiàn)網(wǎng)站中存在的一些在掃描器漏洞列表中的漏洞，省去了人工手動查找一些較明顯漏洞的時間，提高了滲透的效率。但掃描器掃描過程略顯暴力，可能會發(fā)生后臺服務(wù)器宕機(jī)的現(xiàn)象，所以不能盲目和依賴使用掃描器。網(wǎng)絡(luò)安全工程師在進(jìn)行滲透測試，滲透掃描時一定要得到對方授權(quán)，并事先通知掃描時間，以防意外發(fā)生。

4 結(jié)束語

本文闡述了Web滲透測試中信息收集的相關(guān)技術(shù)。通過技術(shù)分析，可以較為全面的收集到一個網(wǎng)站的信息。信息收集完成之后需要對數(shù)據(jù)進(jìn)行整理和分析，為后期測試做好準(zhǔn)備工作，主要工作有以下三個方面：

⑴ 根據(jù)系統(tǒng)版本，確定系統(tǒng)可能存在的漏洞；

⑵ 根據(jù)獲取到的電話號碼、單位縮寫制作密碼字典等；

⑶ 針對目標(biāo)系統(tǒng)的防護(hù)設(shè)備，制定相應(yīng)的漏洞掃描策略[2]。

參考文獻(xiàn)（References）：

[1] CNCERT/CC.2016年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告 [EB/OL].http：//www.cert.org.cn/publish/main/upload/File/2016_cncert_report.pdf，2017-05-27.

[2] 宋超臣，王希忠，黃俊強(qiáng)等.Web滲透測試流程研究[J].電子設(shè)計工程，2014.22（17）：165-167

[3] 談進(jìn)，李濤，伍良富等.網(wǎng)絡(luò)安全掃描工具的分析與比較[J].計算機(jī)應(yīng)用研究，2003.20（9）：77-78