Skip to content

信息收集

域名信息

通过 ICP 备案查询一个公司的全部域名
但是一家公司可能有很多子公司,子公司有不同的备案号,这时可以借助天眼查等工具查询
还需要收集获得子域名,可以使用站长之家的子域名查询工具
可以使用 https://whois.chinaz.com 等 WHOIS 信息网站查询注册商联系人的关键信息,查询个人信息比较好用
借助站长之家等工具还可以通过 IP 反查域名,可能有多个域名解析到同一个 IP
证书和域名不匹配会出现报错,可以借助这一特性使用收集到的 IP 和自定义的域名作为字典进行碰撞,可以通过自动化工具(cckuailong/hostscan)修改 host 碰撞,用于有 IP 地址但是没有域名的情况
谷歌搜索语法:site:360.com -www intext:ICP备案号
有的网站底部还会显示网站地图 sitemap.xml
通过 fofa.info shodan.io 等查询域名
可以用 dnsenum subDomainsBrute OneForAll Layer 等工具用字典爆破子域名
通过 x.threatbook.com 查看域名解析记录和子域名等

IP 信息

如果网站使用了 CDN,则 DNS 可能不会直接解析出真实 IP
超级 Ping
多个地点 ping 同一个域名,观察响应 IP 是否相同
nslookup
nslookup <域名> 存在 CNAME 记录,有可能使用了 CDN 服务
Header 信息
有时 Header 信息中会显示 CDN

绕过 CDN 获取真实 IP

DNS 历史解析记录
由于很多网站不是一开始就通过 CDN,可以通过历史记录找到真实 IP
Ping www 域名和一级域名
ping www 域名和一级域名,由于通过 CNAME 不能使用 CDN,所以其中一个很可能是真实 IP
多地 Ping
多地 Ping 目标域名,分析重复的 IP
黑暗搜索引擎
通过 FOFA 等空间测绘引擎搜索
国外 Ping
有时 CDN 加速仅提供国内服务
ssl 证书查询
myssl.com/ssl.html 有时解析出的 IP 地址就是真实 IP
敏感信息泄露
例如通过 phpinfo 泄露敏感信息

旁站和 C 段

多个域名可能对应同一台服务器,这些不同域名的网站互为旁站
IP 地址反查
运用工具通过 IP 地址反查域名
C 段:大公司买公网 IP 会直接购买一个网段,一个 C 段包含 256 个 IP 地址,其中有一些特殊不许使用
查询邮箱服务器:nslookup -qt=mx qq.com mx 是邮箱有关的记录类型,这类服务器不可能使用 CDN,因此可以通过返回的 IP 得知所在的网段,之后可以运用工具扫描整个 C 段的 80 和 443 端口,如 IISPutScanner

端口和服务信息

常用端口

ftp 21
ssh 22
telnet 23
dns 53
smb 445
https 443
http 80
apache 80 443
nginx 80 443
tomcat 8080
weblogic 7001
mysql 3306
mssql 1433
oracle 1521
redis 6379
mongodb 27017
IIS 80
jboss 8080
rdp 3389
可以用 Goby 收集端口和服务

Nmap

功能
1. 主机发现,扫描存活 IP
2. 端口扫描,扫描每个 IP 开放的端口
3. 操作系统识别
4. 软件版本识别
端口扫描
发送 SYN 握手包收到 SYN+ACK 判断端口开放,发送 ACK 收到 RST 判断端口开放,都称为版扫描,因为三次握手未完成,全扫描则是完成三次握手和四次挥手,不容易被检测
参数
-Pn 跳过主机发现阶段,直接进行端口扫描
-O 操作系统扫描
-sV 扫描服务版本
-p1-65535 指定扫描端口,默认为常用的 1000 端口
--script=auth,vuln 扫描常见漏洞

指纹信息

在线网站

主要识别网站使用了什么 CMS,可以用云悉指纹(需要充值)、潮汐指纹(推荐)等网站

工具类

如 Wappalyzer 等插件探测指纹信息
通过 icon 文件寻找网页,wget 获得 ico 文件,md5sum favicon.ico,通过钟馗之眼等网站通过 icon 图标寻找

TideFinger

python TideFinger.py -u https://i4t.cn -d 1
此时 \TideFinger\python3\webanalyzer\rules 目录为空,为了提高指纹识别的准确度,指纹库https://github.com/webanalyzer/rules,替换到对应的 webanalyzer/rules 目录即可

敏感信息

目录信息

使用工具 7kb 进行目录爆破,KALI 也自带一些工具,如 dirb 等,还有很多管理员会把网站备份打包成压缩文件,直接下载就可以得到网站源码,对其进行代码审计可以发现漏洞

代码管理工具信息泄露

.git 目录泄露时,可以用 GitHack 等工具获取网站源代码,因此要注意克隆代码后删除 .git 目录
SVN 也可能发生泄露,.svn 目录下有 wc.db,是 SVN 对应的数据库文件,可以用 SQLite 有关工具如 SQLiteStudio 读取
有时 .DS_Store 文件未删除,也会造成目录结构泄露

代码托管平台泄露

有时一些重要信息如数据库连接凭证,服务器控制凭证会泄露在 Github 上,可以通过这些信息控制系统和数据,如云服务器的的 AK/SK 利用等

综合信息收集工具

ARL 灯塔水泽 等工具