◆魏星德

滲透測試中偵查常用方法研究

◆魏星德

（海軍士官學(xué)校 安徽 233020）

本文主要是對滲透測試偵查概念進行闡述，分析偵查在滲透測試過程中的重要性，研究滲透測試常用偵查方法以及專業(yè)工具的使用。滲透測試中偵查的主要作用是為后續(xù)滲透收集信息，使用正確的偵查方法、偵查工具可以達到事半功倍的效果。

滲透測試；偵查；信息收集

滲透測試是一種測試計算機系統(tǒng)漏洞并且對其實施漏洞攻擊的方法，是合法且得到授權(quán)的行為，目的是為了使這些受測試的系統(tǒng)更加安全。在滲透測試中偵查是最容易被忽視的一個環(huán)節(jié)，原因是很多從事滲透測試工作的初學(xué)者沒有很好理解偵查的概念以及信息收集對后期滲透測試的重要性，認為偵查工作沒有技術(shù)含量，缺乏技術(shù)挑戰(zhàn)性。實際上一次成功的滲透測試離不開前期的偵查工作，良好的信息收集可以為后續(xù)滲透測試提供重要信息參考和滲透測試方向，出色偵查可以讓我們輕而易舉滲透進入網(wǎng)站或者應(yīng)用系統(tǒng)，這樣的例子在滲透測試中比比皆是，很多時候成功的滲透測試靠的不是技術(shù)攻擊而是信息收集。

偵查分為主動偵查和被動偵查，主動偵查是與滲透對象直接進行交互，被動偵查主要是利用互聯(lián)網(wǎng)工具收集海量信息，而不與滲透目標進行直接交互。偵查過程中我們需要盡量可能多的收集與目標有關(guān)的信息，不能忽視任何細節(jié)，哪怕是無關(guān)痛癢的信息。下面就滲透測試中常用偵查方法工具進行分析。

1 網(wǎng)站鏡像工具

我們要對一個網(wǎng)站進行偵查，必然需要詳細瀏覽目標網(wǎng)站，需要注意的是，我們在瀏覽和收集目標網(wǎng)站信息的時間越長，我們的偵查行為越有可能被跟蹤記錄，因為任何一次與之交互都有可能留下數(shù)字指紋，為了盡量減少與目標網(wǎng)站的交互，通常是通過鏡像工具把網(wǎng)站鏡像到本地，然后再進行偵查分析，鏡像一個網(wǎng)站一般都會被視為攻擊性行為，因此我們一定事先要獲得授權(quán)。

HTTrack是一款能夠創(chuàng)建與目標網(wǎng)站完全相同鏡像的免費軟件，HTTrack鏡像內(nèi)容包括網(wǎng)頁、鏈接、圖片以及html代碼，鏡像一個網(wǎng)站獲取的不是網(wǎng)站的源代碼，而是獲取的網(wǎng)站代碼執(zhí)行的結(jié)果。通過本地鏡像文件，可以對網(wǎng)站進行分析，查找有用、有價值的信息。比如物理地址和位置、上班時間、電話號碼、電子郵箱、商業(yè)合作伙伴、社會化媒體賬號以及公司產(chǎn)品，甚至招聘的信息等，通過招聘信息我們可以分析公司使用的技術(shù)以及研究方向。通過對目標網(wǎng)站的全面分析，對滲透目標有一個很全面的了解。獲取滲透目標重要信息后，梳理信息，確定新的偵查方向，然后再通過被動偵查手段繼續(xù)對目標進行偵查。

2 搜索引擎專業(yè)查詢

搜索引擎在被動偵查中是最常用方法之一。搜索引擎種類很多，普通用戶直接在搜索引擎中輸入需要查詢內(nèi)容，查詢針對性不強，然而通過主動偵查獲取信息進行分析后再對目標進行被動偵查，偵查范圍、偵查方向相對明確，再結(jié)合搜索引擎專用查詢指令進行查詢，可是實現(xiàn)更加專業(yè)的信息收集，本文我們主要以Google搜索引擎為例。

Google的查詢指令主要有三部分內(nèi)容組成“查詢指令、指令對象、內(nèi)容”。site指令查詢指定網(wǎng)址下的內(nèi)容：site：www.xxx.cn 照片，查詢出來的內(nèi)容會比我直接輸入‘照片’少很多，無用信息會被自動過濾。inurl指令可以查詢出包含特定字符的網(wǎng)址，比如我們要查詢網(wǎng)址中包含admin，便可以使用如下查詢方法：inurl：admin，這樣查詢的出的結(jié)果中只會顯示包含admin的網(wǎng)址，地址中包含admin大部分都是網(wǎng)站的后臺地址，這些信息在我們嘗試獲取網(wǎng)站的后臺登錄地址時提供重要數(shù)據(jù)參考。filetype指令，通過這個指令我們可以搜索擁有特定擴展名的文件，比如我們想搜索pdf文件的時候，我們可以通過filetype：pdf指定查詢。filetype和site指令結(jié)合我們可以查詢指定網(wǎng)站指定類型的文件，site：www.xxx.cn filetype：pdf。這樣我們就可以查詢出www.xxx.cn 網(wǎng)站下所有后綴為pdf的文件。

Google的查詢指令還有很多，通過這些查詢指令我們可以獲取偵查目標發(fā)布的相關(guān)類型的信息，有些信息非常重要，比如說目標網(wǎng)站的工程師遇到一個解決不了的問題，可能會通過論壇或者其他方式把問題發(fā)布到網(wǎng)絡(luò)上，我們通過其發(fā)布的內(nèi)容，可以分析偵查目標所使用的具體技術(shù)以及可能存在的漏洞從而分析目標網(wǎng)站可能存在的漏洞。

3 收集目標服務(wù)器信息

（1）Whois是一個很好的查詢目標服務(wù)器信息的工具。其查詢的內(nèi)容包括IP地址、公司服務(wù)器的DNS主機、網(wǎng)絡(luò)運營商以及聯(lián)系電話和郵箱，通過這些信息我們可以對偵查目標的網(wǎng)絡(luò)結(jié)構(gòu)有一個整體了解。Linux操作系統(tǒng)已經(jīng)內(nèi)置了Whois，使用也是非常簡單，只需要在終端命令窗口輸入：whois 目標域名。

（2）Netcraft可以查詢出域名包含查詢關(guān)鍵詞的所有網(wǎng)站，很多服務(wù)器都部署了多個網(wǎng)站，而且大部分服務(wù)器都是采用的二級域名對網(wǎng)站進行管理。在偵查時我們要盡量獲取服務(wù)器上部署的所有網(wǎng)站，因為我們不能確定那個網(wǎng)站系統(tǒng)會存在漏洞。

（3）Threat Agent Drone是一款優(yōu)秀的偵查工具，它包含了多種內(nèi)建的信息收集工具，Drone提取完網(wǎng)站所有信息后會生成一個包含IP地址范圍、電子郵件地址、開放的端口等信息報告，在信息收集工具中相對比較專業(yè)。

（4）Ns Lookup 是檢查DNS的重要工具。DNS服務(wù)器是滲透測試人員常選目標，DNS主要的工作是負責(zé)實現(xiàn)域名到IP地址的轉(zhuǎn)換，可以說是互聯(lián)網(wǎng)的核心組建。如果在滲透測試過程中能獲取DNS服務(wù)器的完整權(quán)限，將對整個滲透測試提供巨大的幫助。Ns Lookup 主要是查詢DNS服務(wù)器信息，獲取DNS的真實IP地址，為后續(xù)滲透測試提供目標。

4 社會工程學(xué)

在滲透測試偵查階段使用社會工程學(xué)方法偵查，是必不可少的一個環(huán)節(jié)，可以說缺少社會工程的偵查是不完整的偵查。社會工程是信息收集的最簡單、最有效的方法之一。社會工程是攻擊‘人性’弱點的一個過程，通過欺騙的手段入侵計算機系統(tǒng)的一種方法。一個企業(yè)或者單位可能采取很周全的技術(shù)安全措施來防止?jié)B透測試，但是由于每個公司或單位都是由人組成、由人進行管理，員工可能無意間通過電話、電子郵件把重要信息泄漏出去，從而對信息安全帶來嚴重隱患，所以說這個弱點是每個公司或單位與生俱來的。滲透測試人員通過攻擊公司或單位的特定成員，然后通過其作為中間跳板獲取公司或單位的保密信息。

4.1 偽裝面試技術(shù)崗位

例如我們在對一家做汽車配件的公司進行滲透測試，通過前期的偵查我們已經(jīng)獲取了公司一個技術(shù)主管的聯(lián)系電話、社交賬號以及郵箱，我們可以給其發(fā)送應(yīng)聘簡歷，咨詢公司研發(fā)的產(chǎn)品以及自身的技術(shù)能不能勝任公司招聘的崗位，從而套取目標公司的技術(shù)發(fā)展狀況以及當(dāng)前的技術(shù)問題。

4.2 投放病毒，間接獲取信息。

例如通過前期偵查已經(jīng)獲取公司的所在的地址以及公司員工停車的位置等信息，我們把可以把預(yù)先裝入病毒或者后門程序的U盤放置在公司員工車的旁邊，U盤上寫一個具有誘惑力的標簽，如公司優(yōu)秀員工打分表。只要公司員工經(jīng)過，必定會在好奇心驅(qū)使下把U盤撿起，并插入到公司的計算機設(shè)備上查看內(nèi)容，這樣我們就可以獲取一個通向目標內(nèi)部的通道。

4.3 偽造的電子郵件、短信通知。

通過偽造銀行、政府、企業(yè)等具有社會公信力的機構(gòu)或者個人，給目標發(fā)送偽造的電子郵件或者消息，進行信息欺騙，通過欺騙獲取用戶信息，如姓名、身份證、手機、家庭住址等信息。這種方法在電信詐騙案件中經(jīng)?？梢砸姷剑瑵B透測試人員在獲取用戶個人信息后，可以通過字典生成用戶常用口令，為后續(xù)滲透提供用戶密碼信息。

4.4 釣魚攻擊。

主要是通過制作虛假的網(wǎng)站引誘用戶訪問并填寫個人信息。釣魚攻擊主要是利用用戶對敏感信息的好奇心，包括色情、賭博、最新電影、八卦娛樂新聞、商品折扣。通過這些信息將用戶從可信的站點引導(dǎo)至滲透測試人員制作的惡意頁面，然后在通過惡意網(wǎng)頁獲取用戶的敏感信息，滲透測試人員可以根據(jù)需要定義需要搜集的敏感信息，可以是可信網(wǎng)站的賬號、密碼等。

4.5 技術(shù)服務(wù)。

滲透測試人員把自己偽裝成技術(shù)服務(wù)公司的技術(shù)人員，對客戶進行回訪，幫助客戶檢查設(shè)備、服務(wù)器等是否運行正常。這種方法是危害比較大的，目標一般是沒有技術(shù)員或者是技術(shù)人員較少、實力薄弱的單位。例如滲透測試人員獲取了一家單位使用的網(wǎng)絡(luò)設(shè)備或者服務(wù)器的信息，冒充這些設(shè)備供應(yīng)商的技術(shù)人員，并說明目標單位使用的設(shè)備或者服務(wù)器存在漏洞需要檢查、修復(fù)，并要求目標單位提供遠程連接的地址、賬號、密碼。如果滲透成功，幾乎可以偵查到目標單位所有的服務(wù)器信息以及使用的應(yīng)用系統(tǒng)。

5 結(jié)語

在任何滲透測試或者黑客攻擊活動中，偵查收集信息都是必不可少的一步。雖然這個步驟與其他步驟相比，技術(shù)含量不是很高，但是它在整個滲透測試過程中的地位卻是舉足輕重的，作為滲透測試人員一定要認識到偵查的重要性，專業(yè)的偵查方法、工具能收集的更多、更精確的信息，能更好為滲透測試的后續(xù)滲透過程提供更明確的滲透方向，并顯著提高滲透測試成效，偵查方法是否專業(yè)直接決定了滲透成功率的高低。

[1]莫懷海，李曉東.Web滲透測試信息收集技術(shù)研究[J].通訊世界，2019.

[2]巫冬.基于web安全的滲透測試技術(shù)探討[J].四川職業(yè)技術(shù)學(xué)院學(xué)報，2019.

[3]杜江，任威. 網(wǎng)絡(luò)安全滲透測試技術(shù)流程研究[J]. 數(shù)字技術(shù)與應(yīng)用，2016.

[4]張如云.滲透測試在辦公網(wǎng)站開發(fā)的應(yīng)用研究[J].辦公自動化，2016.

[5]鄭天時.基于滲透測試的內(nèi)容管理系統(tǒng)安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2016.