会员登录|免费注册|忘记密码|管理入口 返回主站||保存桌面
信息收集详解
2024-11-16IP属地 浙江2

1.whois信息

信息收集详解

2.子域名(包括具有功能的IP) 这个最后讲(重中之重

3.端口 用Nmap(不能随意扫描,会坐牢的

4.旁站(同ip网站

5.C段 120.203.75.55 120.203.75.1-120.203.75.255

6.目录扫描

7.指纹识别

8.内容敏感信息泄露 (google hacking

whois信息:站长工具查询 (域名Whois查询 - 站长之家

端口:Nmap -O 192.168.1.1 (kali自带

(http://www.atool9.com/port_scanner.php

旁站:站长工具查询 (同IP网站查询,同服务器网站查询 - 站长工具

https://phpinfo.me/bing.php

C端:确定ip的范围,然后对其段内的Ip主机进行信息收集

目录扫描: 可以使用御剑等工具进行扫描 (查看robots.txt信息

指纹识别:云悉、微步社区

内容敏感信息泄露:各种包含敏感信息的东西(google语法

可以使用镜像站

https://c.g456.top

https://gm1.xueyanren.com/

https://hp.myway.com/myway/index.html

https://gl-search.com

https://fireball.com/

Google Hacking Database (GHDB) - Google Dorks, OSINT, Recon

子域名

1.通过google hack语法进行寻找(爬取搜索引擎

2.通过某些平台(微步社区

3.使用工具爆破DNS服务器(SubBrute Knockpy github有下载) 泛解析(没有设置过的解析

4.网页内蜘蛛爬虫,用burp抓包

GOOGLE语法

“ ” 双引号内的内容不可拆分 “变形金刚大黄蜂”

Site 指定域名 site:ke.qq.com 掌控安全 搜索腾讯课堂上的掌控安全

Inurl url存在关键字的网页 inurl:login 显示的都是跟登录系统有关的 组合使用 site:samwo.com/ inurl:login

Intext 网页正文中的关键字

Filetype 指定文件类型 filetype:xls 密码

Intitle 网页正文中的关键字

Link Link:zkaq.org表示所有和zkaq.org做了链接的url

Info 查找指定站点的一些基本信息

如何使用指纹识别

在线识别

Whatweb: WhatWeb - Next generation web scanner.

Bugscaner:http://whatweb.bugscaner.com/look/

云悉识别:yunsee.cn-2.0

软件识别

御剑web指纹识别

测试网站: http://www.superwing.com.cn /

Nmap的基本功能:识别目标网络内活跃的主机,推断主机的操作系统,扫描主机端口

Nmap探测端口信息

端口的几种状态

Open(开放的) 发现这一点常常是端口扫描的主要目标

Close(关闭的) 没有应用程序在其上监听,过一会扫描也许会开放

Filtered(被过滤的) 由于包过滤阻止探测报文到达端口(防火墙,路由器规则等

Unfiltered(未被过滤的) Nmap不能确定它是开放还是关闭

Open|filtered(开放或者被过滤的) 当无法确定端口是开放还是被过滤的

Closed|filtered(关闭或者被过滤的) Nmap不能确定端口是关闭的还是被过滤的

端口扫描常用指令

Nam purl/ip 最常用的扫描指令

Nmap -p 80,22 url/ip 自定义想扫描的端口

Nmap -p 1-255 url/ip 自定义扫描的端口范围

Nmap -r url/ip 随机扫描端口

nmap 127.0.0.1 -v -p 1-65535 (-v 显示扫描的过程 -p指定端口) ​ nmap -F 127.0.0.1 -v (-F 的意思是快速扫描,但是没感觉有多快QAQ,还是跟网速对应) ​ nmap -Pn 127.0.0.1 -v (这个是与之对应的,如果服务器禁止ping扫描可以一试) nmap –sS -p 端口号 -v 59.63.200.79(使用半开放扫描,指定端口号1-65535,显示扫描过程穿透防火墙扫描。 nmap 59.63.200.79 -A -v 全面扫描 ​ nmap -sL -R 59.63.200.79/24 反向域名解析的扫描。反向域名解析也是服务器常用的技巧,有时候反向域名访问比较快。 ​ —script=vuln 扫描常见的漏洞

一、关于域名
1.子域名收集
  • 收集子域名可以扩大渗透范围,获得更多有关目标公司的资产信息,同一域名下的二级域名都属于目标范围,表现形式:域名加前缀。

a.搜索引擎查找
1.  FOFA(https://fofa.so/) title="公司名称" ; domain="zkaq.cn"  
2.  百度(https://www.baidu.com/s):intitle=公司名称;site:zkaq.cn
3.  Google(https://www.google.com/):intitle=公司名称;site:zkaq.cn
4.  钟馗之眼(https://www.zoomeye.org/) site=域名即可 ;hostname:baidu.com
5.  shodan(https://www.shodan.io/):hostname:"baidu.com"
6.  360测绘空间(https://quake.360.cn/) :domain:"zkaq.cn"
b.在线查询
1.  站长之家:http://tool.chinaz.com/
2.  在线子域名查询:https://phpinfo.me/domain/
3.  子域名扫描:https://www.t1h2ua.cn/tools/
4.  dnsdumpster:https://dnsdumpster.com/
5.  查询网:https://site.ip138.com/
6.  爱站:http://dns.aizhan.com
c.工具
1.  1. 子域名挖掘机: 图形化的使用方式。
2.  2. SubDomainBrute工具: python3 subDomainsBrute.py -t 10 zkaq.cn -f subnames_full.txt -o 111.txt
3.  3. Sublist3r工具 python3 sublist3r -t 10 -b -d zkaq.cn
4.  4. OneForALL工具:python3 oneforall.py --target zkaq.cn run
5.  5. Wydomain工具:python wydomain.py -d zkaq.cn -o zkaq.txt
6.  6. FuzzDomain工具: 图形化的使用方式。
d.SSL/TLS证书查询
1.  SSL/TLS安全评估报告:https://myssl.com
2.  crt.sh:https://crt.sh/
3.  SPYSE:https://spyse.com/tools/ssl-lookup
4.  censy:https://censys.io/
2.端口型站点收集
  • 收集端口型站点和收集子域名是一样的,都是扩大渗透范围,获得更多有关目标公司的资产信息表现形式:域名后加【:端口号】

3.目录文件扫描
  • 目录扫描可以扫出来非常多重要的资源,比如目录型的站点,后台,敏感文件,比如.git文件泄露,.svn文件泄露,phpinfo泄露等等表现形式:域名后加路径

a.目录扫描工具
1.  御剑工具:图形化的使用方式。
2.  7kbstorm工具:图形化的使用方式。
3.  dirbuster工具:图形化的使用方式。
4.  dirmap工具:python3 dirmap.py -i https://bbs.zkaq.cn -lcf
5.  dirsearch工具:python3 dirsearch.py -u https://www.zkaq.cn -e php
6.  gobuster工具:gobuster dir -u "https://bbs.zkaq.cn" -w "/root/tools/DirBrute/dirmap/data/fuzz_mode_dir.txt" -n -e -q --wildcard
b.github搜索
1.  in:name huawei #仓库标题中含有关键字huawei
2.  in:descripton Huawei.com #仓库描述搜索含有关键字huawei
3.  in:readme huawei #Readme文件搜素含有关键字Huawei
4.  smtp 58.com password 3306 #搜索某些系统的密码
c.google搜索
1.  密码搜索:
2.          site:Github.com sa password
3.          site:Github.com root password
4.          site:Github.com User ID='sa';Password
5.          site:Github.com inurl:sql
6.  SVN 信息收集
7.          site:Github.com svn
8.          site:Github.com svn username
9.          site:Github.com svn password
10.        site:Github.com svn username password
11.综合信息收集
12.        site:Github.com password
13.        site:Github.com ftp ftppassword
14.        site:Github.com 密码
15.        site:Github.com 内部
d.在线网站
1.  乌云漏洞库:https://wooyun.website/
2.  网盘搜索:
3.      凌云搜索  https://www.lingfengyun.com/
4.      盘搜搜:http://www.pansoso.com/
5.      盘搜:http://www.pansou.com/
e.文件接口工具

1.jsfinder:JSFinder: JSFinder is a tool for quickly extracting URLs and subdomains from JS files on a website.

2.Packer-Fuzzer: https://github.com/rtcatc/Packer-Fuzzer

3.SecretFinder:SecretFinder: 接口扫描

4.旁站和C段
  • 旁站:同一个服务器内的站点。

  • C段:同网段,不同服务器内的站点

a.旁站查询
1.  站长之家:http://stool.chinaz.com/same
2.  在线:https://chapangzhan.com/
3.  搜索引擎:fofa: ip="1.1.1.0/24"
b.C段查询
1.  1. webscan:https://c.webscan.cc/
2.  2. Nmap:
3.  3. msscan
5.网站技术架构信息
  • 了解网站的基础架构信息,能够帮助我们更有信心的去测试目标系统。

a.基础知识
1.  只列出一些↓:
2.  常见的脚本类型语言:asp、php、aspx、jsp、cgi等等
3.  网站类型:电商(偏向于业务逻辑漏洞)、论坛(站点层漏洞、逻辑类漏洞)、门户类(综合类漏洞)等等
4.  数据库:access、mysql、mssql、oracle、postsql等等
5.  源码与数据库组合:asp+access、php+mysql、aspx+mssql、jsp+mssql、oracle、python+mongdb等等
6.  除了这些外,还有加密的结构、目录结构、常见端口号及对应的服务等等这些都需要再进行了解。
b.网站头信息
1.  1.F12 , 浏览器内获取查看
2.  2.在线网站:http://whatweb.bugscaner.com/look/
3.  3.插件:Wappalyzer    
4.  4. curl命令查询头信息:curl https://bbs.zkaq.cn -i
6.CMS识别
  • CMS可以说指的是网站的源码,如果能识别出一个网站使用的哪一种CMS的话,那么可以通过搜索引擎去发现相应的漏洞,若网站管理员没有处理的话,则可以直接突破站点。

1.  1.云悉:https://www.yunsee.cn/ 
2.  2.潮汐指纹:http://finger.tidesec.net/
3.  3.whatweb:http://whatweb.bugscaner.com/look/
4.  4.github查找:https://github.com/search?q=cms识别
5.  5.whatcms:whatweb bbs.zkaq.cn
6.  6.cmsIdentification:python cmsIdentification.py https://bbs.zkaq.cn/

二、关于IP

1.CDN
  • CDN可以说是一种资源服务器,不仅可以加速网站访问,还可以提供waf服务,如防止cc攻击,SQL注入拦截等多种功能,除此之外,还可以隐藏服务器的真实IP,cdn服务会根据你所在的地区,选择合适的线路给予你访问,所以如何绕过CDN就十分重要了。

a.CDN检测
1.  使用全球ping:不同的地区访问有着不同的IP,这样就确定了该域名使用了cdn了
2.      http://ping.chinaz.com/
3.      https://ping.aizhan.com/
4.      https://www.17ce.com/
b.CDN绕过
  • 绕过的核心还是hosts绑定,当发现ip后,可以尝试nc端口探测,也可以用nmap进行服务探测,如果像正常的服务器,就可以模糊确定是真实IP。若发现真实ip,可进行hosts绑定,绕过CDN的防御,直接发起渗透,也可以进行IP反查,通过反查的网站来渗透。

1.  1. 国外dns获取真实IP:部分cdn只针对国内的ip访问,如果国外ip访问域名 即可获取真实IP。
2.      https://www.wepcc.com/
3.      http://www.ab173.com/dns/dns_world.php
4.      https://dnsdumpster.com/
5.      https://who.is/whois/zkaq.cn
6.  2. DNS历史绑定记录
7.      https://dnsdb.io/zh-cn/  # DNS查询,查看A记录有哪些,需要会员。
8.      https://x.threatbook.cn/ # 微步在线,需要登录。
9.      https://viewdns.info/ # DNS、IP等查询。
10.    https://tools.ipip.net/cdn.php # CDN查询IP
11.    https://sitereport.netcraft.com/ # 记录网站的历史IP解析记录
12.    https://site.ip138.com/ # 记录网站的历史IP解析记录
13.3. 被动获取:让目标连接我们获得真实IP。比如网站有编辑器可以填写远程URL图片,或者有SSRF漏洞。
2.主机发现
a.二层发现
  • 主要利用**arp协议,速度快,结果可靠,不过只能在同网段内的主机。**

1.  arping工具:arping 192.168.1.2 -c 1 
2.  nmap工具:192.168.1.1-254 –sn
3.  netdiscover -i eth0 -r 192.168.1.0/24
4.  scapy工具:sr1(ARP(pdst="192.168.1.2"))
b.三层发现
  • 主要利用ip、icmp协议,速度快但没有二层发现快,可以经过路由转发,理论上可以探测互联网上任意一台存活主机,但很容易被边界防火墙过滤。

1.  ping工具:ping 192.168.1.2 –c 2
2.  fping工具:fping 192.168.1.2 -c 1
3.  Hping3工具:hping3 192.168.1.2 --icmp -c 2
4.  Scapy工具:sr1(IP(dst="192.168.1.2")/ICMP())
5.  nmap工具:nmap -sn 192.168.1.1-255
c.四层发现
  • 主要利用tcp、udp协议,速度比较慢,但是结果可靠,可以发现所有端口都被过滤的存活主机,不太容易被防火墙过滤。

1.  Scapy工具:
2.      sr1(IP(dst="192.168.1.2")/TCP(dport=80,flags='A') ,timeout=1))  #tcp发现
3.      sr1(IP(dst="192.168.1.2")/UDP(dport=33333),timeout=1,verbose=1)  #udp发现
4.  nmap工具:
5.      nmap 192.168.1.1-254 -PA80 –sn #tcp发现
6.      nmap 192.168.1.1-254 -PU53 -sn #udp发现 
7.  hping3工具:
8.      hping3 192.168.1.1 -c 1 #tcp发现
9.      hping3 --udp 192.168.1.1 -c 1 #udp发现
3.操作系统识别
  • 知道目标存活主机的操作系统后,可以依据操作系统来实施针对性的渗透测试。

1.  1.TTL值:Windows(65~128),Linux/Unix(1-64),某些Unix(255)
2.  2.nmap工具:nmap 192.168.1.1 -O
3.  3.xprobe2工具:xprobe2 192.168.1.1
4.  4.p0f工具:使用后,直接访问目标即可
4.端口扫描
  • 端口探测可以发现目标服务器上开启的网络服务以及应用程序,这些都是更具体的一些攻击面。

1.  scapy工具:
2.      sr1(IP(dst="192.168.1.1")/UDP(dport=53),timeout=1,verbose=1)    # UDP端口扫描
3.      sr1(IP(dst="192.168.1.1")/TCP(dport=80),timeout=1,verbose=1)    # TCP端口扫描
4.  nmap工具:
5.      nmap -sU 192.168.1.1 -p 53  # UDP端口扫描
6.      nmap -sS 192.168.1.1 -p 80  # 半连接tcp扫描
7.      nmap -sT 192.168.1.1 -p 80 # 全连接TCP扫描
8.      nmap 192.168.1.1 -sI 192.168.1.2 -Pn -p 0-100 # 僵尸扫描
9.  dmitry工具:dmitry -p 192.168.1.1
10.nc工具:nc -nv -w 1 -z 192.168.1.1 1-100
11.hping3工具:hping3 192.168.1.1 --scan 0-65535 -S
5.服务探测
1.  nc工具:nc -nv 192.168.1.1 22
2.  dmitry工具:dmitry -pb 192.168.1.1
3.  nmap工具:
4.      nmap -sT 192.168.1.1 -p 22 --script=banner    
5.      nmap 192.168.1.1 -p 80 -sV
6.  amap工具:
7.      amap -B 192.168.1.1 1-65535 | grep on
8.      amap 192.168.1.1 20-30 -qb
a.SNMP服务
  • SNMP是简单网络管理协议,由于经常被管理员错误配置,导致很容易造成系统的信息泄露,可以说是“信息的金矿”。

1.  onesixtyone工具:onesixtyone 192.168.1.1 public 
2.  snmpwalk工具:snmpwalk 192.168.1.1 -c public -v 2c
3.  snmpcheck工具:snmpcheck -t 192.168.1.1 -c private -v 2
b.SMB服务
  • smb是一个协议名,它能被用于Web连接和客户端与服务器之间的信息沟通。默认开放,实现复杂,实现文件共享,这也是微软历史上出现安全问题最多的一个协议。

1.  nmap工具:nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 192.168.1.1
2.  nbtscan工具:-r 192.168.1.0/24
3.  enum4linux工具:enum4linux -a 192.168.1.1
c.SMTP服务
  • SMTP是一种提供可靠且有效的电子邮件传输的协议。如果能发现目标系统的邮箱账号,那么可以进行相关的攻击,比如钓鱼等。

1.  nc工具:nc -nv 192.168.1.1 25
2.  nmap工具:nmap smtp.163.com -p25 --script=smtp-open-relay.nse
3.  smtp-user-enum工具:smtp-user-enum -M VRFY -U users.txt -t 192.168.1.1
6.其他识别
  • 一些杂项识别,总之,信息收集就是收集有关目标系统的一切。

1.  防火墙识别:nmap -sA 172.16.36.135 -p 22
2.  负载均衡识别:lbd bbs.zkaq.cn
3.  WAF识别:nmap bbs.zkaq.cn --script=http-waf-detect.nse

三、其他技术

1.搜索引擎
a.Google语法
1.  +充值 -支付+代表必须带关键字,-代表必须减去关键字
2.  “充值 支付”:双引号内的内容,进行一个整体搜索
3.  inurl:?id:URL中必须带?id
4.  intitle:充值:网站标题中必须有充值
5.  intext:充值:网站正文中必须有充值
6.  filetype:pdf:找pdf文件
b.Shodon语法
1.  Net:8.8.8.8 # 查询ip的相关的主机信息,也可以直接搜网段
2.  City:Beijing # 查询城市为北京的设置
3.  Country:CN # 查询属于中国的设备 。CN中国
4.  Port:80 # 查询指定开放端口的设备。
5.  Os:windows # 指定操作系统
6.  Hostname:baidu.com # 搜索主机或域名为baidu.com的主机或设备
7.  Server:Apache # 指定中间件
c.Fofa语法
1.  1、同IP旁站:ip="192.168.0.1“
2.  2、C段:ip="192.168.0.0/24“
3.  3、子域名:domain="baidu.com“
4.  4、标题/关键字:title="百度“
5.  5、如果需要将结果缩小到某个城市的范围,那么可以拼接语句
6.   title="百度"&& region="Beijing“
7.  6.特征:body="百度"或header="baidu"
2.whois查询
  • 注册域名的时候留下的信息。比如域名注册人的邮箱、电话号码、姓名等。根据这些信息可以尝试制作社工密码,或者查出更多的资产等等,也可以反查注册人,邮箱,电话,机构及更多的域名。

a.在线网站查询
1.  站长之家域名WHOIS信息查询地址:http://whois.chinaz.com/
2.  爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/
3.  腾讯云域名WHOIS信息查询地址 https://whois.cloud.tencent.com/
4.  美橙互联域名WHOIS信息查询地址 https://whois.cndns.com/
5.  爱名网域名WHOIS信息查询地址 https://www.22.cn/domain/
6.  易名网域名WHOIS信息查询地址 https://whois.ename.net/
7.  中国万网域名WHOIS信息查询地址 https://whois.aliyun.com/
8.  西部数码域名WHOIS信息查询地址 https://whois.west.cn/
9.  新网域名WHOIS信息查询地址 http://whois.xinnet.com/domain/whois/index.jsp
10. 纳网域名WHOIS信息查询地址 http://whois.nawang.cn/
b.反查邮箱
1.  福人:https://bbs.fobshanghai.com/checkemail.html
2.  whois反查:https://www.benmi.com/rwhois
3.  站长工具:http://whois.chinaz.com/reverse?ddlSearchMode=1
c.注册人反查
1.  注册人查询:www.reg007.com 
2.  站长工具:http://whois.chinaz.com/reverse?ddlSearchMode=1
d.备案查询
1.  天眼查 https://www.tianyancha.com/
2.  爱站备案查询https://icp.aizhan.com/
3.  域名助手备案信息查询 http://cha.fute.com/index
4.  站长工具:http://icp.chinaz.com/
3.隐藏域名hosts碰撞
  • 一般来说,通过ip直接访问目标,要比通过域名来访问目标网站,得到的信息会更多。但如果域名绑定过多个ip的话,管理员出现配置上的失误,是会导致一些敏感信息泄露的,那么这种情况就可以通过域名+ip捆绑的形式进行碰撞,收集目标公司资产的域名以及解析过的所有ip,将他们一对多的形式进行碰撞,能发现一些很有意思的东西出现。

1.如何查看网站cms

可能在页面源代码里,或者用指纹识别的平台查找,在一些特殊页面也有显示

2.如何探测Waf

输入一些恶意参数,他拦截你的时候就知道了,也可以用云平台看看yunsee.cn-2.0,微步社区

3.收集子域名的方法

用子域名扫描器爆破收集,用爬虫工具收集,通过证书获取 https://censys.io/certificates?q=

4.子域名里的二级域名是什么

二级域名是和隶属于主域名下,但又相对独立的分支,就是从主域名分出来的,形式如sad.asd.com,二级域名一般正常而言是属于同一个公司的不同资产

5.如何查找C段

找到真实的ip,比如真实ip 1.1.1.1 那么C端范围就是1.1.1.1-1.1.1.255 https://phpinfo.me/bing.php

6.如何查找旁站

旁站可以在站长之家的同ip网站查询,https://phpinfo.me/bing.php

7.目录扫描用什么工具

御剑扫描工具

8.子域名收集工具有哪些

Layer

subDomainsBrute(github地址 https://github.com/lijiejie/subDomainsBrute

https://phpinfo.me/domain/ (在线的子域名收集网站

9.whois查询如何去查询

站长之家

Netcraft | Leader in Phishing Detection, Cybercrime Disruption and Website Takedown

  1. 旁站和C段的区别

旁站是同ip网站,C段是公网Ip同一网段下的网站

  1. 收集子域名信息有什么意义

通过收集子域名,扩大攻击的范围,一般来说主站的防护相对严密,而子域名的站点可能防护没有那么严密

  1. 如何查找网站真实ip

用nslookup ,如果有多个ip就说明用了cdn

网络空间搜索引擎

站长工具

  1. 所有网站都有robots.txt吗

不是所有网站都有robots.txt,不是所有网站的robots.txt都可以利用

  1. 一个二级子域名下能有很多个三级域名吗

可以

  1. 如何识别伪静态

控制台输入 javascript:alert(document.lastModified),如果网站是个html,但是显示的却是现在的时间,就是伪静态页面

  1. C段是不是内网

不是内网,但是有可能同一个C端在同一个内网

  1. 网站里的分支网页算不算旁站

不一定,分支网页有些是不同文件夹下的文件

  1. 子域名一定在同一ip下吗

不一定在同一ip下,一个ip里面有可能是一个庞大的内网

  1. 哪里寻找robots.txt

一般在域名后直接加上robots.txt,御剑等扫描器都可以扫描出来

  1. 爬虫能爬网站链接 还能爬其他的东西吗

可以,可以爬取图片、下载文件、表格这些的

  1. 子域名和旁站的区别

旁站指同一ip下的网站,子域名指顶级域名下的二级域名或者三级甚至更多级的域名,子域名有些同一ip有些不同一ip

  1. 一个ip可以对应多少网站

按照端口数来区分,上万个是没有问题的(前提是服务器性能撑得住,不过如果ip里面是个庞大的内网是可以的

  1. 如何通过前台找到后台

使用目录扫描,根据cms的特征

  1. 同一个ip多个网站什么意思

就是多个网站用同一个ip,他们被称为互相的旁站,但是同ip不一定是同服务器,因为1个ip里面可能有一个庞大的内网

  1. 页面源码里是否会存在敏感信息

,会隐藏一些敏感文件,cms信息,robots.txt,或者一些偷偷隐藏的链接