1、cms識別基礎(chǔ)

為什么要找CMS信息呢？因為有了CMS信息之后，會給我們很多便利，我們可以搜索相應CMS，有沒有公開的漏洞利用

根據(jù)敏感文件的判斷：robots.txt文件

robots.txt文件我們寫過爬蟲的就知道，這個文件是告訴我們哪些目錄是禁止爬取的。但是大部分的時候我們都能通過robots.txt文件來判斷出cms的類型

從wp路徑可以看出這個是wordPress/ target=_blank class=infotextkey>WordPress的cms

通過版權(quán)信息進行查詢,一般來說，網(wǎng)站的底部就有相關(guān)的信息顯示出來

通過查看網(wǎng)頁源碼的方式

有些站點沒有robot.txt，也把版本信息改了，這時候首頁查看網(wǎng)頁源碼可能找得到，如圖

也有一些工具和一些網(wǎng)站平臺來搜索到的等等

在線網(wǎng)站:

網(wǎng)站是通過數(shù)據(jù)包來識別的，也有可能加載了一些特俗的

以及我們上篇文章講到的插件，可識別出常見的cms。

搜索引擎

這個方法我常用，就是在google里site:目標站 CMS 或者內(nèi)容管理系統(tǒng)。很多時候都能出結(jié)果。 其實這里還可以拓展

site:目標.com cms

site:目標.com 內(nèi)容管理系統(tǒng)

site:目標.com 版權(quán)

site:目標.com title:cms

site:目標.com title:內(nèi)容管理

site:目標.com inurl:cms

等等 都要靠自己拓展

'

我們可以通過回顯的包，來搜索他們的名字等等

我們可以看到，這個就是基于搜索引擎的等等

網(wǎng)站的一些源碼，都會公開在網(wǎng)上，所以我們可以通過這個東西，來進行一個信息收集，

2、Waf的探測

WAF也稱Web應用防護系統(tǒng)，Web應用防火墻是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產(chǎn)品。原理：WAF識別大多基于Headers頭信息。通過發(fā)送惡意的內(nèi)容，對比響應，尋找數(shù)據(jù)包被攔截、拒絕或者檢測到的標識。探測方式手工（提交惡意數(shù)據(jù)）:手工探測WAF在網(wǎng)址URL參數(shù)后面輸入惡意數(shù)據(jù)，通過提交后被WAF攔截得知WAF信息。

工具（WAFW00F、Nmap、sqlmap）:

我們可以通過工具判斷，如果工具檢測到WAF的存在，手工驗證一下是否存在誤報；如果工具檢測不到WAF的存在，我們也可以通過手工來判斷WAF到底存不存在

1)、Nmap探測WAF

Nmap探測WAF有兩種腳本，一種是http-waf-detect，一種是http-waf-fingerprint。

2)、sqlmap探測WAF

Sqlmap用來探測WAF的命令如下：

Python sqlmap.py -u "http://www.vxxxx.org/ex.php?id=1" --identify-waf

3、cdn的判斷和繞過

用戶去訪問的時候，由于之前在這個用戶的所在地區(qū)，有人訪問過， 那么呢就會形成一個a的緩存，這時候他訪問網(wǎng)站的時候，a呢？就是一個緩存，他訪問看到的是a。a就是正式網(wǎng)站的一個鏡像，所以他這里看到的是a。所以根據(jù)我們滲透的話，這是一個滲透攻擊者去訪問網(wǎng)站的時候，看見的是網(wǎng)站的緩存，這個會對我們的滲透造成一定的阻礙

如何判定這個網(wǎng)站有沒有存在CDN？

我們可以用第三方平臺的"超級ping"

而超級ping的原理是利用橋網(wǎng)的多線路的掃描，服務(wù)器對這個網(wǎng)站的ping，來探針目標網(wǎng)站的地址，

利用站長工具多地方ping，可以看見這方面的解析ip記錄，此網(wǎng)站存在cdn

另外的話可以根據(jù)返回的狀態(tài)碼判斷，因為如果存在cdn，那么他這里就會出現(xiàn)所有的文件狀態(tài)碼都是200，那么的話，我們在進行目錄掃描的時候會有一定的阻礙。

(2)繞過的方法

1)、我們可以利用查詢它的這個CDN的一個記錄呢，來獲取一些相關(guān)的ip。這些ip很有可能就是它這個網(wǎng)站的真實地址ip

我們可以通過這個網(wǎng)站查詢相關(guān)的解析記錄

2)、第二個方法就是查詢子域名

主站有了CDN，而子域名一般沒有，再加上和主站是有關(guān)系的，就是在同一ip或者是同一個網(wǎng)段內(nèi)（c段）我們可以通過子域名的ip輔助來查找主站的ip

子域名收集的方法上節(jié)課有講到

工具

我們可以使用工具，子域名爆破工具，比如說子域名挖掘機（這個工具可以獲取子域名的一個ip，通過子域名來推算主站，），還有一些第三方平臺的查詢，

這種方法適用于網(wǎng)站有子域名，而子域名沒有用cdn，我們就可以用這個方法

、利用網(wǎng)站漏洞

目的就是讓目標服務(wù)器主動來鏈接我們，這樣我們就知道其真實ip了，比如說：xss盲打，命令執(zhí)行反彈shell，ssrf等等

服務(wù)器合法服務(wù)主動鏈接我們

同上一樣的思路就是讓服務(wù)器主動連接我們告訴我們它的ip，不過使用的是合法的服務(wù)，如rss郵箱訂閱、很多網(wǎng)站都自帶的sendmail，會發(fā)郵箱給我們，此事看郵箱源碼里面就會包含服務(wù)器的ip了

目標敏感文件泄露

也行目標服務(wù)器上存在一些泄露的敏感文件中會告訴我們網(wǎng)站的ip，另外就是比如說phpinfo一些的探針了。

、 圖片上傳法有的網(wǎng)站是支持通過URL來上傳頭像或圖片的，我們只要放一張圖片在自己的WEB服務(wù)器上，然后通過URL上傳圖片。之后查看網(wǎng)站的日志就可以找到目標站點的真實IP

目標網(wǎng)站弱功能點

1)、比如說登錄的地方

有些登錄提示賬號不正確，利用此提示得到其用戶名，也有可能存在一些sql注入、xss、可用字典撞庫等等。

、注冊登錄，找上傳之類敏感功能

我們可以注冊后，上傳頭像之類的功能，嘗試突破上傳，直接拿shell

、robots.txt文件

此文件包含了一些銘感的路徑，也會存在一方面的后臺登錄地址

、后臺登錄的地方

后臺登錄的地方最為重要，在測試的過程中如果沒有做好防御，可能會出現(xiàn)一些弱口令，萬能密碼直接登錄進去、或者存在一些未授權(quán)訪問的頁面。