信息收集篇 – 作者:MISUagain

域名信息收集

1、Web接口查询：

https://www.whois365.com/cn/
阿里云域名WHOIS信息查询地址
https://whois.aliyun.com/
站长之家域名WHOIS信息查询地址
https://whois.chinaz.com/
爱站网域名WHOIS信息查询地址
https://whois.aizhan.com/
腾讯云域名WHOIS信息查询地址
https://whois.cloud.tencent.com/
⻄部数码域名WHOIS信息查询地址
https://whois.west.cn/

2、通过whois命令行查询

在kali上输入命令 “whois 域名”进行查询。

---

子域名信息收集

​ 子域名时某个主域的二级域名或多级域名，在防御措施严密情况下无法直接拿下主域，就可以试着拿下子域名，然后无限靠近主域。

1、子域名挖掘工具：layer子域名挖掘机。

2、搜索引擎挖掘：site：sina.com

3、第三方网站查询：

http://tool.chinaz.com/subdomain
https://dnsdumpster.com

---

SSL/TLS证书查询

​ SSL/TSL证书通常包含域名、子域名和邮件地址等信息，结合证书中的信息，可以更快速地定位到目标资产，获取到更多目标资产的相关信息。

https://myssl.com/

CMS指纹识别

​ CMS即内容管理系统，用于网站内容文章管理。常见CMS：dedecms（织梦）、Discuz、phpcms等

CMS在线识别工具：

CMS指纹识别
http://whatweb.bugscaner.com/look/
云悉
http://www.yunsee.cn/finger.html
潮汐
http://finger.tidesec.net/

同IP网站查询

https://www.webscan.cc/

FOFA搜索旁站和C段

常用语法：
子域名：domain="baidu.com"
特征：body="百度"或header="baidu"
同ip旁站：ip="192.168.0.1"
C段：ip="192.168.0.0/24"

---

端口信息收集

1、使用 nmap 探测。

nmap <要扫描的目标ip地址>
-sS：TCP SYN扫描 半开放式扫描—扫描速度高且隐蔽性好
缺点：需要root/administration权限
(用户发出一个SYN包，如果对方返回SYN|ACK响应包就表示目标端口正在监听；如果返回RST数据包，表示目标端口没有监听程序；如果收到一个SYN|ACK包，源主机就会发出一个RST复位数据包断开和目标主机的连接。)
-sF：FIN扫描用于识别端口是否关闭，受到RST回复说明该端口关闭，否则是open或filtered状态（filtered：端口被防火墙IDS/IPS屏蔽，无法确定其状态）
-sA：ACK扫描判断端口是否被过滤。为被过滤的端口（无论打开、关闭）会回复RST包
-sT：TCP 连接扫描(最基础，最稳定的扫描)

简单扫描方式
-A：全面扫描
-sn：主机发现
-O：操作系统检测
-sV：服务扫描
-vv：对扫描结果详细输出

自定义端口扫描
nmap -p(扫描范围) <ip>
eg：nmap -p80-1000 ip或namp -p80，135，3309 ip

2、使用 masscan 探测（实战不建议使用，速度太快）

masscan --ports 0-65535 --adapter-ip <ip>
--adapter-ip：指定发包的ip地址
--rate=0.1：指定所需的传输速率包。这可以是非常小的数字，例如0.1，用于在每10秒1个速率

3、使用在线网站探测

http://tool.chinaz.com/port/
 http://coolaf.com/tool/port

---

敏感信息收集

1、基本语法

google基本语法

Index of/
site: site:baidu.com将返回所有和这个站有关的URL
intext:将返回所有在网页正文部分包含关键词的网页
intitle:将返回所有网页标题中包含关键词的网页
cache:搜索google里关于某些内容的缓存
define:搜索某个词语的定义
filetype:搜索指定的文件类型，如：.bak、.mdb、.inc等
info:查找指定站点的一些基本信息
inurl:搜索我们指定的字符是否存在于URL中
Link: link:baidu.com可以返回所有和baidu.com做了链接的URL

例：搜索C段
site: 122.122.122.*

真实环境：
site:*.edu.tw inurl:php?id=

2、github信息泄露

邮件配置信息泄露：site:github.com smtp、site:github.com smtp @qq.com
数据库信息泄露：site:github.com sa password、site:github.com root password、site:github.com User ID='sa' ;Password
svn信息泄露：site:github.com svn、site:github.com svn username
综合信息泄露：site:github.com password、site:github.com 密码、site:github.com 内部

---

真实IP地址收集

​ CDN即内容分发网络，是构建在网络之上的内容分发网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

通过ping方法判断CDN是否存在。

1、通过设置代理或利用在线ping网站来使用不同地区的Ping服务器来测试目标：

http://ping.chinaz.com/
http://ping.aizhan.com/

绕过CDN

具体可以参考：

https://www.cnblogs.com/qiudabai/p/9763739.html

如果目标没有CDN，可以通过ping获取IP地址。或利用在线网站

http://www.ip138.com

使用了CDN，那就绕过CDN来获取真实的IP地址

1、内部邮箱源，收集到内部邮箱服务器IP地址

2、网站phinfo文件phpinfo.php

3、分站IP地址，查询子域名CDN很贵，很有可能分站就不再使用CDN

4、国外访问

https://asm.ca.com/en/ping.php

因为有些网站设置CDN可能没有把国外的访问包含进去，所以可以绕过。

5、查询域名解析记录

https://viewdns.info/

验证IP地址。因为通过各种方法得到IP地址有很多，就说明有的是伪IP，无法访问，这就需要逐个验证，方法简单但是信息量较大。

利用IP地址对Web站点进行访问，如果正常表明是真实的IP地址，否则不为真。

来源：freebuf.com 2021-05-31 23:00:59 by: MISUagain