信息收集

#总纲
![主][main]
##域名信息收集

####whois

相关信息:
>域名的whois信息：whois是用来查询域名注册所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。通过whois来实现对域名信息的查询。早期的whois查询多以命令行接口存在，但是现在出现了一些网页接口简化的线上查询工具，可以一次向不同的数据库查询。网页接口的查询工具仍然依赖whois协议向服务器发送查询请求，命令行接口的工具仍然被系统管理员广泛使用。whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。

方法: [站长之家whois查询][whois]

####子域名

1. 常用 Google Hacking 语法：

    > 1、intext：（仅针对Google有效）  
把网页中的正文内容中的某个字符作为搜索的条件  
2、intitle：  
把网页标题中的某个字符作为搜索的条件  
3、cache：  
搜索搜索引擎里关于某些内容的缓存，可能会在过期内容中发现有价值的信息  
4、filetype：  
指定一个格式类型的文件作为搜索对象  
5、inurl：  
搜索包含指定字符的URL  
6、site：  
在指定的站点搜索相关内容  
其他GoogleHacking语法：  
1、引号 '' "  
把关键字打上引号后，把引号部分作为整体来搜索  
2、or  
同时搜索两个或更多的关键字  
3、link：  
搜索某个网站的链接  
典型用法：  
1、找管理后台地址  
site：xxx.com intext:管理|后台|登陆|用户名|密码|系统|账号  
site：xxx.com inurl:login/admin/manage/manager/admin_login/system  
site：xxx.com intitle:管理|后台|登陆  
2、找上传类漏洞地址：  
site:xxx.com inurl:file  
site:xxx.com inurl:upload  
3、找注入页面:  
site:xxx.com inurl:php？id=  
4、找编辑器页面：    
site:xxx.com inurl:ewebeditor  

2. 搜索引擎
    + [ShoDan][shodan]
    + [FoFa][fofa]
    + [ZoomEye][zoomeye]
3. Dns查询  
    [站长之家Dns查询][dns]
4. 基于SSL证书查询  
    [中国数字证书SSL查询][ssl]
5. 爆破枚举
    + subDomainsBrute
>本工具用于渗透测试目标域名收集。高并发DNS暴力枚举，发现其他工具无法探测到的域名, 如Google，aizhan，fofa。
>
Usage: subDomainsBrute.py [options] target.com  
Options:  
  --version show program's version number and exit  
  -h, --help show this help message and exit  
  -f FILE File contains new line delimited subs, default is  
subnames.txt.  
  --full Full scan, NAMES FILE subnames_full.txt will be used  
to brute  
  -i, --ignore-intranet  
Ignore domains pointed to private IPs  
  -t THREADS, --threads=THREADS  
Num of scan threads, 200 by default  
  -p PROCESS, --process=PROCESS  
Num of scan Process, 6 by default  
  -o OUTPUT, --output=OUTPUT  
Output file name. default is {target}.txt  

####社工信息收集
+ [天眼查][tianyan]

+ [企查查][qichacha]

+ [ICP备案查询][icp]

+ [公安部备案查询][police]
####Github信息
>Github不仅能托管代码，还能对代码进行搜索，当上传并公开代码时，一时大意，会让某些敏感的配置信息文件等暴露于众。

*Github主要收集:*  
*1.泄露源码*  
*2.泄露数据库、邮箱、ftp、ssh、3389等账号*  
*3.泄露的人员信息*  
*4.泄露其他敏感信息*  

####旁站查询
>旁站是和目标网站在同一台服务器上的其它的网站；如果从目标站本身找不到好的入手点，这时候，如果想快速拿下目标的话，一般都会先找个目标站点所在服务器上其他的比较好搞的站下手，然后再想办法跨到真正目标的站点目录中。  

+ [旁站扫描网站][webscan]
####C段查询
>C段是和目标机器ip处在同一个C段的其它机器,；通过目标所在C段的其他任一台机器，想办法跨到我们的目标机器上。  

+ Router Scan工具

####CMS类型
>每个cms都有其独有的特征，如：css、js命名、固定的管理员URL、robots.txt等。根据以上信息判断出网站所使用的cms类型和版本。通过与漏洞库进行匹配，从而找到渗透测试的切入点。  

+ 浏览器插件 Wapplayzer

+ [云悉][yunsee]

####网站后台扫描
+ 御剑后台扫描工具(比拼字典)

####IP信息收集
1. 真实IP  
    + 邮件信息利用  
a. 网站存在和用户交互的邮件服务时候，通过来往邮件或者MX记录来判断ip。  
b. 通过nslookup 查看MX邮件记录，以百度为例。因为很多目标基本都把邮件服务搭建在网站的核心业务段，通过邮件服务查出邮件服务域名，通过域名进一步判断ip.
    
    + [多地ping(超级ping网站)][ping]  
CND是为了通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。简单来说就是让用户快捷的获取资源。  
ip归属地单一，且延时分布合理，记录和延时正比，那么可以说明响应ip为真实ip且网站不存在CND。
    + 信息泄漏
比如网站报错信息，php探针，phpinfo文件(查看SERVER[“LOCAL_ADDR”]等属性)，github业务源码泄漏等。  

    + DNS解析记录  
dns解析记录可能存在以前未安装CND等防护之前的ip信息。
    + 捆绑本地host  
绑定host之后再次访问，如果和之前显示的页面不一致则可能有了CDN.

    + 二级域名  
部分网站只有主域名存在CDN服务，二级不域名可能不不存在。

    + 空域名  
部分CND对不包含www的地址无效。例如www.baidu.com有CDN，但是baidu.com可能没有。这个和CND配置有一定关系。

2. 不同目标ip特点
    + 小型目标  
网站单一，基本没有CDN，可以直接ping出来。如果IP查出来属于某个云服务商则基本为真实ip。

    + 大型目标
有CDN,WAF等，绕过CND用真实ip访问可以绕过网站WAF。  
IP具有连续性，目标多个网站服务通常IP地址相邻，例如像192.168.1.1，  192.168.1.2。  
IP具有跳跃性， 目标庞大可能采用了不同的运营商服务，前一个网站IP的A段为52,后一个网站的IP的A段可能成了125。  
有邮件服务，利于找到核心业务段，能拿下目标主要服务区，当然难度相对边缘业务更高。  

 

[main]:./main.png "总览图片"
[whois]:http://whois.chinaz.com/
[shodan]:https://www.shodan.io/
[zoomeye]:https://www.zoomeye.org/
[fofa]:https://fofa.so/
[dns]:http://tool.chinaz.com/dns/
[ssl]:https://www.chinassl.net/ssltools/ssl-checker.html
[tianyan]:https://www.tianyancha.com/
[qichacha]:https://www.qichacha.com/
[icp]:http://www.beianbeian.com/
[police]:http://www.beian.gov.cn/portal/recordQuery
[webscan]:http://www.webscan.cc/
[yunsee]:http://www.yunsee.cn/
[ping]:http://ping.chinaz.com/

 

 

 

来源：CSDN

作者：liangchengxinuanyu

链接：https://blog.csdn.net/liangchengxinuanyu/article/details/103935635