滲透測試中偵查常用方法研究

◆魏星德

滲透測試中偵查常用方法研究

◆魏星德

（海軍士官學校 安徽 233020）

本文主要是對滲透測試偵查概念進行闡述，分析偵查在滲透測試過程中的重要性，研究滲透測試常用偵查方法以及專業工具的使用。滲透測試中偵查的主要作用是為后續滲透收集信息，使用正確的偵查方法、偵查工具可以達到事半功倍的效果。

滲透測試；偵查；信息收集

滲透測試是一種測試計算機系統漏洞并且對其實施漏洞攻擊的方法，是合法且得到授權的行為，目的是為了使這些受測試的系統更加安全。在滲透測試中偵查是最容易被忽視的一個環節，原因是很多從事滲透測試工作的初學者沒有很好理解偵查的概念以及信息收集對后期滲透測試的重要性，認為偵查工作沒有技術含量，缺乏技術挑戰性。實際上一次成功的滲透測試離不開前期的偵查工作，良好的信息收集可以為后續滲透測試提供重要信息參考和滲透測試方向，出色偵查可以讓我們輕而易舉滲透進入網站或者應用系統，這樣的例子在滲透測試中比比皆是，很多時候成功的滲透測試靠的不是技術攻擊而是信息收集。

偵查分為主動偵查和被動偵查，主動偵查是與滲透對象直接進行交互，被動偵查主要是利用互聯網工具收集海量信息，而不與滲透目標進行直接交互。偵查過程中我們需要盡量可能多的收集與目標有關的信息，不能忽視任何細節，哪怕是無關痛癢的信息。下面就滲透測試中常用偵查方法工具進行分析。

1 網站鏡像工具

我們要對一個網站進行偵查，必然需要詳細瀏覽目標網站，需要注意的是，我們在瀏覽和收集目標網站信息的時間越長，我們的偵查行為越有可能被跟蹤記錄，因為任何一次與之交互都有可能留下數字指紋，為了盡量減少與目標網站的交互，通常是通過鏡像工具把網站鏡像到本地，然后再進行偵查分析，鏡像一個網站一般都會被視為攻擊性行為，因此我們一定事先要獲得授權。

HTTrack是一款能夠創建與目標網站完全相同鏡像的免費軟件，HTTrack鏡像內容包括網頁、鏈接、圖片以及html代碼，鏡像一個網站獲取的不是網站的源代碼，而是獲取的網站代碼執行的結果。通過本地鏡像文件，可以對網站進行分析，查找有用、有價值的信息。比如物理地址和位置、上班時間、電話號碼、電子郵箱、商業合作伙伴、社會化媒體賬號以及公司產品，甚至招聘的信息等，通過招聘信息我們可以分析公司使用的技術以及研究方向。通過對目標網站的全面分析，對滲透目標有一個很全面的了解。獲取滲透目標重要信息后，梳理信息，確定新的偵查方向，然后再通過被動偵查手段繼續對目標進行偵查。

2 搜索引擎專業查詢

搜索引擎在被動偵查中是最常用方法之一。搜索引擎種類很多，普通用戶直接在搜索引擎中輸入需要查詢內容，查詢針對性不強，然而通過主動偵查獲取信息進行分析后再對目標進行被動偵查，偵查范圍、偵查方向相對明確，再結合搜索引擎專用查詢指令進行查詢，可是實現更加專業的信息收集，本文我們主要以Google搜索引擎為例。

Google的查詢指令主要有三部分內容組成“查詢指令、指令對象、內容”。site指令查詢指定網址下的內容：site：www.xxx.cn 照片，查詢出來的內容會比我直接輸入‘照片’少很多，無用信息會被自動過濾。inurl指令可以查詢出包含特定字符的網址，比如我們要查詢網址中包含admin，便可以使用如下查詢方法：inurl：admin，這樣查詢的出的結果中只會顯示包含admin的網址，地址中包含admin大部分都是網站的后臺地址，這些信息在我們嘗試獲取網站的后臺登錄地址時提供重要數據參考。filetype指令，通過這個指令我們可以搜索擁有特定擴展名的文件，比如我們想搜索pdf文件的時候，我們可以通過filetype：pdf指定查詢。filetype和site指令結合我們可以查詢指定網站指定類型的文件，site：www.xxx.cn filetype：pdf。這樣我們就可以查詢出www.xxx.cn 網站下所有后綴為pdf的文件。

Google的查詢指令還有很多，通過這些查詢指令我們可以獲取偵查目標發布的相關類型的信息，有些信息非常重要，比如說目標網站的工程師遇到一個解決不了的問題，可能會通過論壇或者其他方式把問題發布到網絡上，我們通過其發布的內容，可以分析偵查目標所使用的具體技術以及可能存在的漏洞從而分析目標網站可能存在的漏洞。

3 收集目標服務器信息

（1）Whois是一個很好的查詢目標服務器信息的工具。其查詢的內容包括IP地址、公司服務器的DNS主機、網絡運營商以及聯系電話和郵箱，通過這些信息我們可以對偵查目標的網絡結構有一個整體了解。Linux操作系統已經內置了Whois，使用也是非常簡單，只需要在終端命令窗口輸入：whois 目標域名。

（2）Netcraft可以查詢出域名包含查詢關鍵詞的所有網站，很多服務器都部署了多個網站，而且大部分服務器都是采用的二級域名對網站進行管理。在偵查時我們要盡量獲取服務器上部署的所有網站，因為我們不能確定那個網站系統會存在漏洞。

（3）Threat Agent Drone是一款優秀的偵查工具，它包含了多種內建的信息收集工具，Drone提取完網站所有信息后會生成一個包含IP地址范圍、電子郵件地址、開放的端口等信息報告，在信息收集工具中相對比較專業。

（4）Ns Lookup 是檢查DNS的重要工具。DNS服務器是滲透測試人員常選目標，DNS主要的工作是負責實現域名到IP地址的轉換，可以說是互聯網的核心組建。如果在滲透測試過程中能獲取DNS服務器的完整權限，將對整個滲透測試提供巨大的幫助。Ns Lookup 主要是查詢DNS服務器信息，獲取DNS的真實IP地址，為后續滲透測試提供目標。

4 社會工程學

在滲透測試偵查階段使用社會工程學方法偵查，是必不可少的一個環節，可以說缺少社會工程的偵查是不完整的偵查。社會工程是信息收集的最簡單、最有效的方法之一。社會工程是攻擊‘人性’弱點的一個過程，通過欺騙的手段入侵計算機系統的一種方法。一個企業或者單位可能采取很周全的技術安全措施來防止滲透測試，但是由于每個公司或單位都是由人組成、由人進行管理，員工可能無意間通過電話、電子郵件把重要信息泄漏出去，從而對信息安全帶來嚴重隱患，所以說這個弱點是每個公司或單位與生俱來的。滲透測試人員通過攻擊公司或單位的特定成員，然后通過其作為中間跳板獲取公司或單位的保密信息。

4.1 偽裝面試技術崗位

例如我們在對一家做汽車配件的公司進行滲透測試，通過前期的偵查我們已經獲取了公司一個技術主管的聯系電話、社交賬號以及郵箱，我們可以給其發送應聘簡歷，咨詢公司研發的產品以及自身的技術能不能勝任公司招聘的崗位，從而套取目標公司的技術發展狀況以及當前的技術問題。

4.2 投放病毒，間接獲取信息。

例如通過前期偵查已經獲取公司的所在的地址以及公司員工停車的位置等信息，我們把可以把預先裝入病毒或者后門程序的U盤放置在公司員工車的旁邊，U盤上寫一個具有誘惑力的標簽，如公司優秀員工打分表。只要公司員工經過，必定會在好奇心驅使下把U盤撿起，并插入到公司的計算機設備上查看內容，這樣我們就可以獲取一個通向目標內部的通道。

4.3 偽造的電子郵件、短信通知。

通過偽造銀行、政府、企業等具有社會公信力的機構或者個人，給目標發送偽造的電子郵件或者消息，進行信息欺騙，通過欺騙獲取用戶信息，如姓名、身份證、手機、家庭住址等信息。這種方法在電信詐騙案件中經常可以見到，滲透測試人員在獲取用戶個人信息后，可以通過字典生成用戶常用口令，為后續滲透提供用戶密碼信息。

4.4 釣魚攻擊。

主要是通過制作虛假的網站引誘用戶訪問并填寫個人信息。釣魚攻擊主要是利用用戶對敏感信息的好奇心，包括色情、賭博、最新電影、八卦娛樂新聞、商品折扣。通過這些信息將用戶從可信的站點引導至滲透測試人員制作的惡意頁面，然后在通過惡意網頁獲取用戶的敏感信息，滲透測試人員可以根據需要定義需要搜集的敏感信息，可以是可信網站的賬號、密碼等。

4.5 技術服務。

滲透測試人員把自己偽裝成技術服務公司的技術人員，對客戶進行回訪，幫助客戶檢查設備、服務器等是否運行正常。這種方法是危害比較大的，目標一般是沒有技術員或者是技術人員較少、實力薄弱的單位。例如滲透測試人員獲取了一家單位使用的網絡設備或者服務器的信息，冒充這些設備供應商的技術人員，并說明目標單位使用的設備或者服務器存在漏洞需要檢查、修復，并要求目標單位提供遠程連接的地址、賬號、密碼。如果滲透成功，幾乎可以偵查到目標單位所有的服務器信息以及使用的應用系統。

5 結語

在任何滲透測試或者黑客攻擊活動中，偵查收集信息都是必不可少的一步。雖然這個步驟與其他步驟相比，技術含量不是很高，但是它在整個滲透測試過程中的地位卻是舉足輕重的，作為滲透測試人員一定要認識到偵查的重要性，專業的偵查方法、工具能收集的更多、更精確的信息，能更好為滲透測試的后續滲透過程提供更明確的滲透方向，并顯著提高滲透測試成效，偵查方法是否專業直接決定了滲透成功率的高低。

[1]莫懷海，李曉東.Web滲透測試信息收集技術研究[J].通訊世界，2019.

[2]巫冬.基于web安全的滲透測試技術探討[J].四川職業技術學院學報，2019.

[3]杜江，任威. 網絡安全滲透測試技術流程研究[J]. 數字技術與應用，2016.

[4]張如云.滲透測試在辦公網站開發的應用研究[J].辦公自動化，2016.

[5]鄭天時.基于滲透測試的內容管理系統安全研究[J].網絡安全技術與應用，2016.