信息收集

域名信息

Whois查询

指的是域名注册时留下的信息·管理员名字、电话、邮箱

可以通过社工、查询有误其他域名，扩大攻击范围

• 通过在线工具查询
  
  
  
  • IP138查询网
    
  • 域名信息查询 - 腾讯云
    
  • 新网域名信息查询
    
  • IP Whois查询 - 站长工具
    
  • SearchDns—Netcraft
    
  
  
• 通过命令行查询
  
  
  
  • whois命令
    1. root@kali:/home/mpy# whois xuegod.cn
    2. Domain Name: xuegod.cn
    3. ROID: 20140908s10001s72166376-cn
    4. Domain Status: ok

    复制代码
  
  

邮箱收集

• 通过工具
  
  
  
  • theHarvester
    
  • infoga
    
  
  

备案信息查询

网站备案信息是根据国家法律法规规定，由网站所有者向国家有关部门申请的备案，是国家信息产业部对网站的一种管理途径，是为了防止在网上从事非法网站经营活动，当然主要是针对国内网站。

在备案查询中我们主要关注的是：单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等。

• 通过在线工具查询
  
  
  
  • 备案查询
    
  • ICP/IP地址/域名信息备案管理系统
    
  • 备案巴巴
    
  • 天眼查
    
  • ICP备案查询网
    
  • 国外备案查询
    
  
  

信用信息查询

查一些基础信息，看运气

• 通过在线工具查询
  
  
  
  • 国家企业信用信息公示系统
    
  • 信用中国-个人信用查询搜索-企业信息查询搜索-统一社会信用代码查询
    
  
  

子域名信息

子域名

• 在线工具查询
  
  
  
  • IP138查询网
    
  • Dns-Bufferover
    
  • 在线子域名查询—phpinfo
    
  • 子域名扫描
    
  • 二级子域名扫描
    
  • DnsDumpster
    
  • SearchDns—Netcraft
    
  
  
• 证书透明度公开日志枚举
  

  证书透明度是证书授权机构（CA）的一个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中
  一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也经常成为攻击者非常希望获得的有用信息
  查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志
  

  
  
  
  
  • crt
    
  • censys
    
  • myssl
    
  
  
• 软件
  
  
  
  • theHarvester
    
  • Layer
    
  • subDomainsBrute
    
  
  

DNS记录

通过字典拼接到域名上去访问DN服务器，如果服务器有响应，则该域名存在

Dns域名解析

<ol>ping

1. root@kali:/home/mpy# ping baidu.com
2. PING baidu.com (220.181.38.148) 56(84) bytes of data.
3. 64 bytes from 220.181.38.148 (220.181.38.148): icmp_seq=1 ttl=128 time=68.5 ms

复制代码

nslookup

nslookup baidu.com

1. root@kali:/home/mpy# nslookup baidu.com
2. Server:         192.168.30.2
3. Address:        192.168.30.2#53
5. Non-authoritative answer:
6. Name:   baidu.com
7. Address: 39.156.69.79
8. Name:   baidu.com
9. Address: 220.181.38.148

复制代码

dig

dig @服务器地址 需要查询的地址 any
any：显示所有类型的域名记录（默认只显示A记录）

1. root@kali:/home/mpy# dig baidu.com
2. root@kali:/home/mpy# dig @8.8.8.8 baidu.com
3. root@kali:/home/mpy# dig @8.8.8.8 baidu.com any
4. root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
5.     ……
6. baidu.com.              7191    IN      SOA     dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
7. baidu.com.              21591   IN      NS      ns4.baidu.com.
8.     ……

复制代码

+noall +answer会显示的很整洁

1. root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
2. baidu.com.              7070    IN      SOA     dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
3. baidu.com.              21470   IN      NS      ns4.baidu.com.
4. baidu.com.              21470   IN      NS      ns7.baidu.com.
5. baidu.com.              21470   IN      NS      ns3.baidu.com.
6. baidu.com.              21470   IN      NS      dns.baidu.com.
7. baidu.com.              21470   IN      NS      ns2.baidu.com.
8. baidu.com.              470     IN      A       39.156.69.79
9. baidu.com.              470     IN      A       220.181.38.148
10. baidu.com.              7070    IN      MX      20 mx50.baidu.com.
11. baidu.com.              7070    IN      MX      10 mx.maillb.baidu.com.
12. baidu.com.              7070    IN      MX      15 mx.n.shifen.com.

复制代码

-x使用IP反查域名

1. root@kali:/home/mpy# dig -x 8.8.8.8
2. ; <<>> DiG 9.16.6-Debian <<>> -x 8.8.8.8
3. ;; global options: +cmd
4. ;; Got answer:
5. ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22187
6. ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
8. ;; QUESTION SECTION:
9. ;8.8.8.8.in-addr.arpa.          IN      PTR
11. ;; ANSWER SECTION:
12. 8.8.8.8.in-addr.arpa.   5       IN      PTR     dns.google.

复制代码

DNS域传送漏洞原理

DNS服务器分为：主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库，需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据，并用得到的数据更新自身数据库

若DNS服务器配置不当，可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。同时，黑客可以快速的判定出某个特定zone的所有主机，收集域信息，选择攻击目标，找出未使用的IP地址，绕过基于网络的访问控制。

• DNS域传送漏洞检测
  
  
  
  • nslookup
    

    nslookup #进入交互式shell
    

    server dns.xx.yy.zz #设定查询将要使用的DNS服务器
    

    ls xx.yy.zz #列出某个域中的所有域名
    

    exit #退出
    

    1. root@kali:/home/mpy# dnsdict6 -m baidu.com

    复制代码
    1. -4 查询ipv4地址
    2. -D 显示自带的字典
    3. -t 线程数 最高32，默认是8
    4. -d 显示NS MX域名信息
    5. -S SRV服务名称猜解
    6. -[smlxu] 选择字典大小
    7. -s(mall=100),-m(edium=1419)(DEFAULT)
    8. -l(arge=2601),-x(treme=5886) or -u(ber=16724)

    复制代码
  • nmap
    
    
    
    • 利用nmap漏洞检测脚本"dns-zone-transfer"进行检测
      

    nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn
    

    --script dns-zone-transfer表示加载nmap漏洞检测脚本dns-zone-transfer.nse，扩展名.nse可省略
    --script-args dns-zone-transfer.domain=xxx.edu.cn向脚本传递参数，设置列出某个域中的所有域名
    

    -p 53 设置扫描53端口
    

    -Pn 设置通过Ping发现主机是否存活
    

    
    
  • dig
    

    dig -h
    

    dig @dns.xxx.edu.cn axfr xxx.edu.cn
    

    axfr是q-type类型的一种: axfr类型是Authoritative Transfer的缩写，指请求传送某个区域的全部记录。
    
  
  

指纹识别

指网站CMS指纹识别、计算机操作系统及web容器的指纹识别等

• 通过在线工具
  
  
  
  • Tide安全团队
    
  • WhatWeb
    
  • Finger-P
    
  
  

WAF识别

WAF分类

• 软件WAF
  
  
  
  • D盾
    
    
  • 云锁
    
    
  • UPUPW
    
    
  • 宝塔
    
    
  • 国防G01
    
    
  • 护卫神
    
    
  • 安全狗
    
    
  • 智创防火墙
    
    
  • 360主机卫士 / 360webscan
    
    
  • 西数WTS-WAF
    
    
  • Naxsi
    
    
  • 腾讯云
    
    
  • 腾讯宙斯盾
    
    
  • 百度云
    
    
  • 华为云
    
    
  • 网宿云
    
    
  • 创宇盾
    
    
  
  
• 硬件WAF
  

  GOV站点（政府站点）、国网、运营商
  

  
  

应用信息

公众号、微博、应用程序、App等

• 通过在线工具
  
  
  
  • 天眼查
    
  • 七麦数据
    
  • 苹果app
    
  
  

真实IP

国内外CDN

国内常见CDN

1. root@kali:/home/mpy# dig txt chaos VERSION.BIND @nc3.dnsv4.com

复制代码

国外常见CDN

1. > nslookup
2. Server:  lkwifi.cn
3. Address:  192.168.68.1
5. *** lkwifi.cn can't find nslookup: Non-existent domain
6. > server ss2.bjfu.edu.cn
7. Default Server:  ss2.bjfu.edu.cn
8. Address:  202.204.112.67
10. > ls bjfu.edu.cn
11. [ss2.bjfu.edu.cn]
12. *** Can't list domain bjfu.edu.cn: Query refused
13. The DNS server refused to transfer the zone bjfu.edu.cn to your computer. If this
14. is incorrect, check the zone transfer security settings for bjfu.edu.cn on the DNS
15. server at IP address 202.204.112.67.
16. > exit

复制代码

发现CDN

全国PING

• Ping检测-站长工具
  
• 17CE
  
• ipip (支持国内、国外)
  

绕过CDN

内部邮箱源

一般的邮件系统都在内部，没有经过CDN的解析，通过利用目标网站的邮箱注册、找回密码或者RSS订阅等功能，查看邮件、寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名,就可以获得目标的真实IP。
注意：必须是目标自己的邮件服务器，第三方或公共邮件服务器是没有用的
国外请求

很多时候国内的CDN对国外得覆盖面并不是很广，故此可以利用此特点进行探测。通过国外代理访问就能查看真实IP了，或者通过国外的DNS解析，可能就能得到真实的IP。
国际Ping

• ipip
  
• ASM
  

国外DNS解析

• 世界各地DNS服务器地址大全
  

分站域名&C段查询

很多网站主站的访问量会比较大，所以主站都是挂CDN的，但是分站可能没有挂CDN,可以通过ping二级域名获取分站IP， 可能会出现分站和主站不是同一个IP但在同一个C段下面的情况，从而能判断出目标的真实IP段。
C段查询

• 在线查询
  

1. > nslookup
2. > server dns1.xxx.edu.cn
3. > ls xxx.edu.cn

复制代码

• 工具
  
  
  
  • K8_C段旁注工具6.0
    
  • nmap
    
  • IISPutScanner
    
  • 小米范WEB查找器
    
  
  

小米范WEB查找器：http://pan.baidu.com/s/1pLjaQKF

• 网络资产搜索引擎
  
  
  
  • Fofa、Shodan、ZoomEye
    
  
  

利用这些网络空间资产搜索引擎来搜索暴露在外的端口信息

利用语法搜索C段信息

网站漏洞

通过网站的信息泄露如phpinfo泄露，github信息泄露，命令执行等漏洞获取真实ip。
一些测试文件

phpinfo、test等
SSRF漏洞

服务器主动向外发起连接，找到真实IP地址
查询域名解析记录

一般网站从部署开始到使用cdn都有一个过程，周期如果较长的话 则可以通过这类历史解析记录查询等方式获取源站ip，查看IP与域名绑定的历史记录，可能会存在使用CDN前的记录。
在线网站查询

• dnsdb
  
• NETCRAFT
  
• viewdns
  
• threatbook
  
• securitytrails
  

目标网站APP应用

如果目标网站有自己的App，可以尝试利用Fiddler或Burp Suite抓取App的请求，从里面找到目标的真实IP。
网络空间引擎搜索

shodan、FOFA、zoomeye
敏感信息

目录后台

• 通过工具
  
  
  
  • 7kbscan-WebPathBrute
    
  • dirbuster
    
  • dirmap
    
  • 御剑
    
  
  

备份文件

• 网站备份文件常用名
  

  backup
  db
  data
  web
  wwwroot
  database
  www
  code
  test
  admin
  user
  sql
  

  
  
• 网站备份文件常用后缀名
  

  .bak
  .html
  _index.html
  .swp
  .rar
  .txt
  .zip
  .7z
  .sql
  .tar
  .gz
  .tgz
  .tar
  

  
  
• 常见扫描工具有
  
  
  
  • Test404网站备份文件扫描器 v2.0
    
  
  

公开文件

• 扫描工具
  
  
  
  • snitch
    
  
  

公网网盘

可能有些内部资料存放在公网网盘，被在线网盘抓取，可以利用这个来对目标系统进行信息收集

• 直接输入厂商名字进行搜索
  
• 在线搜索工具
  
  
  
  • 凌风云搜索
    
  • 小白盘搜索
    
  • 大力盘搜索
    
  • 小不点搜索【微盘】
    
  
  

历史网站

wayback会记录网站版本更迭，可以获取到之前版本的网站，可能会找到一些后来删除的敏感资产信息，或者一些漏洞

• https://web.archive.org/
  

源码泄露

1. 阿里云
2. 腾讯云
3. 百度云
4. 网宿科技(ChinanNet Center)
5. 蓝汛
6. 金山云
7. UCloud
8. 网易云
9. 世纪互联
10. 七牛云
11. 京东云等

复制代码

将常见源码泄露加入字典配合FUZZ、御剑等扫描器进行扫描收集

• .git源码泄露：https://github.com/lijiejie/GitHack
  
• .DS_Store泄露：https://github.com/lijiejie/ds_store_exp
  
• .bzr、CVS、.svn、.hg源码泄露：https://github.com/kost/dvcs-ripper
  

JS获取敏感接口

JSFinder

JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具。

• 安装
  

1. Akamai(阿卡迈)
2. Limelight Networks(简称LLNW)
3. AWS Cloud(亚马逊)
4. Google(谷歌)
5. Comcast(康卡斯特)

复制代码

• 使用
  

1. https://phpinfo.me/bing.php

复制代码

LinkFinder

该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息，可最大化地提高URL发现效率

• 安装
  

1. /.bzr/
2. /CVS/Entries
3. /CVS/Root
4. /.DS_Store  MacOS自动生成
5. /.hg/
6. /.svn/ (/.svn/entries)
7. /.git/
8. /WEB-INF/src/
9. /WEB-INF/lib/
10. /WEB-INF/classes/
11. /WEB-INF/database.properties
12. /WEB-INF/web.xml
14. Robots.txt

复制代码

• 使用
  

在线JavaScript文件中查找端点的最基本用法，并将结果输出到results.html：

1. pip3 install requests bs4
2. git clone https://github.com/Threezh1/JSFinder.git

复制代码

CLI输出（不使用jsbeautifier，这使得它非常快）：

1. python3 JSFinder.py -u http://www.mi.com
2. python3 JSFinder.py -u http://www.mi.com -d

复制代码

分析整个域及其JS文件：

1. git clone https://github.com/GerbenJavado/LinkFinder.git
2. cd LinkFinder
3. python2 setup.py install

复制代码

Burp输入（在目标中选择要保存的文件，右键单击，Save selected items将该文件作为输入）：

1. python linkfinder.py -i https://example.com/1.js -o results.html

复制代码

枚举JavaScript文件的整个文件夹，同时查找以/ api /开头的终结点，并最终将结果保存到results.html：

1. pyhon linkfinder.py -i https://example.com/1.js -o cli

复制代码

端口扫描

扫描工具

1. python linkfinder.py -i https://example.com -d

复制代码

Nmap

• 扫描多个IP
  

1. python linkfinder.py -i burpfile -b

复制代码

• 绕过Firewalld【防火墙】扫描主机端口
  

通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制

1. python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html

复制代码

• 初步扫描端口信息
  

1. Nmap  
3. Masscan
5. masnmapscan
7. ZMap  
9. 御剑高速TCP端口扫描工具
11. 御剑高速端口扫描工具
13. IISPutScanner
15. IISPutScanner增强版-DotNetScan v1.1 Beta

复制代码

• 扫描端口并且标记可以爆破的服务
  

1. 扫描整个子网 nmap 192.168.6.1/24
2.            nmap 192.168.1.1/16
3.            nmap 192.168.1-30.1-254
4.            nmap 192.168.1-254.6
5. 扫描多个主机 namp 192.168.6.2 192.168.6.6
6. 扫描一个小范围 nmap 192.168.6.2-10
7. 扫描txt内的ip列表  nmap -iL text.txt
8. 扫描除某个目标外   nmap 192.168.6.1/24 -exclude 192.168.6.25

复制代码

• 判断常见的漏洞并扫描端口
  

1. nmap -sP 192.33.6.128
2. nmap -sT 192.33.6.128
3. nmap -sS 192.33.6.128
4. nmap -sU 192.33.6.128
5. nmap -sF 192.33.6.128
6. nmap -sX 192.33.6.128
7. nmap -sN 192.33.6.128

复制代码

• 精确判断漏洞并扫描端口
  

1. nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt

复制代码

浏览器插件

1. nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute

复制代码

网络空间搜索引擎

1. nmap 127.0.0.1 --script=auth,vuln

复制代码

漏洞公共库

国内

• 国家信息安全漏洞库
  
• 国家信息安全漏洞共享平台
  
• SeeBug
  
• 信息安全漏洞门户 VULHUB
  
• 数字观星
  
• NSFOCUS绿盟科技
  
• BugScan--漏洞插件社区
  
• 漏洞列表 | 教育行业漏洞报告平台（Beta）
  
• 工控系统行业漏洞库平台
  
• exp库-打造中文最大exploit库
  
• 乌云漏洞库
  

国外

• Exploit-db
  
• Sploitus | Exploit & Hacktool Search Engine
  
• packetstorm
  
• SecurityFocus
  
• cxsecurity
  
• rapid7 Vulnerability & Exploit Database
  
• Most recent entries - CVE-Search
  
• CVE security vulnerability database. Security vulnerabilities, exploits
  
• CVE mitre - Search CVE List
  
• 美国官方工控数据库 ICS-CERT Landing | CISA
  
• 路由器漏洞搜索 Routerpwn - One click exploits, generators, tools, news, vulnerabilities, poc
  

社工库

• social-engineer-toolkit
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！