信息收集的思路及工具-李白你好

信息收集的思路及工具

2个月前更新

02107

信息收集的思路及工具

参考链接：
信息收集之“骚”姿势 @鱼七
做好信息收集是一次渗透测试的良好开端 @Paper-Pen
干货|最全Web 渗透测试信息搜集-CheckList @mathwizard
整体思路：
子域名 -> IP -> 全端口 -> http、https -> 获取资产 -> 指纹识别
小程序、公众号、APP
通过端口识别的非web资产 -> 如数据库：先批量弱口令检测，后根据获得的相关信息构造字典进行爆破
内网信息收集的思路（不要一上来就用fscan扫描）
先在拿下的机器看网卡信息、history 历史命令、netstat 端口信息、arp表、ps 进程、配置文件等，收集已控机器所通的其它内网网段信息。
在微步在线等威胁情报社区查看域名信息。
- 不存在解析IP，可能是内网才能访问的域名，尝试在已控机器上 ping 域名得到内网地址。
- 存在互联网解析IP，也可以尝试在已控机器上 ping 域名得到内网地址。
在互联网侧的网站上，有时会有一些内网系统的跳转，比如OA系统、统一身份认证系统，点击会跳转至内网，从而获得内网地址信息。
通过什么洞打点成功 -> 比如泛微 -> 查看泛微配置文件，比如数据库配置文件，数据库系统可能在另一台内网服务器上，从而确认存在内网。
更多手法可以看看这篇文章：如何判断存不存在内网

综合利用工具

公司名资产收集

天眼查
小蓝本
爱企查
企查查
鹰图
360威胁情报中心
ENScan_GO
可查询指定占股比例的公司资产

子域名收集

枚举、第三方聚合服务
phpinfo – 在线
dnsgrep – 在线
bufferover – 在线
OneForAll
subfinder
knock
subDomainsBrute
Layer子域名挖掘机
搜索引擎
Google或者百度等 site:xxx.com
fofa domain="xxx.com"
证书透明性信息
证书透明性（Certificate Transparency，CT）是Google的公开项目，通过让域所有者、CA和域用户对SSL证书的发行和存在进行审查，来纠正这些基于证书的威胁。因为它是一个开放的公共框架，所以任何人都可以构建或访问驱动证书透明性的基本组件，CA证书中包含了域名、子域名、邮箱等敏感信息，存在一定的安全风险。
利用证书透明性进行域名信息收集，一般使用CT日志搜索引擎进行域名信息收集，如在线网站：
- https://crt.sh/
- https://transparencyreport.google.com/https/certificates
- https://developers.facebook.com/tools/ct/

CDN

CDN判断

使用不同主机 ping 域名判断是否有 CDN
站长之家多地ping
ipip
全球Ping测试
爱站网Ping检测
使用 ping 域名判断是否有 CDN
- 直接使用 ping 域名查看回显地址来进行判断，如下回显 cname.vercel-dns.com ，很明显使用了 cdn 技术。
- 图自mathwizard

图片[1]-信息收集的思路及工具-李白你好

使用 nslookup 解析域名判断
其中 Name 字段指向 cname.vercel-dns.com 这类的，说明使用了 CDN 技术。
🌰 www.baidu.com ，其中 Address 字段指向两个不同 IP ，即 www.baidu.com 可能使用了 CDN。

图片[2]-信息收集的思路及工具-李白你好

绕过CDN，获取真实ip

解析子域名ip
使用CDN是要掏钱的，所以很多网站只对主站做了CND加速，子域名就没做。子域名可能跟主站在同一个服务器或者同一个C段网络中，所以可以通过查询子域名的IP信息来辅助判断主站的真实IP信息。
查询历史DNS记录
查询DNS与IP绑定的历史记录可能发现之前的真实IP信息
使用国外主机请求域名
部分国内的CDN加速服务商只对国内的线路做了CDN加速，但是国外的线路没有做加速，这样就可以通过国外的主机来探测真实的IP信息。可以使用自己的国外主机或者全球Ping测试选取国外的探测节点来判断真实ip信息。
邮件信息
邮件系统一般都在内部，没有经过CDN的解析，通过利用目标网站的邮箱注册、找回密码或者RSS订阅等功能发送邮件，接收到目标回复的邮件后，查看邮件源码就 -> 获得目标的真实IP。
图自mathwizard

图片[3]-信息收集的思路及工具-李白你好

信息泄露
利用信息泄露的敏感信息、文件（如：phpinfo页面、网站源码（备份）文件、Github泄露的信息等）获取真实的IP信息。
- phpinfo页面的SERVER_ADDR字段会显示该主机真实IP。
目标网站APP应用
- 如果目标网站有自己的App，可以尝试利用Burp Suite等流量抓包工具抓取App的请求，从里面可能会找到目标的真实IP。

IP反查域名（旁站查询）

360 ip反查
微步在线
站长工具同IP网站查询
webscan
云悉
dnsgrep ip反查
bugscaner ip反查
bing
https://cn.bing.com/search?q=ip:x.x.x.x
fofa
ip="x.x.x.x"

指纹识别

js及接口信息

JSFinder: https://github.com/Threezh1/JSFinder
URLFinder: https://github.com/pingc0y/URLFinder
可以看作是新版本的 JSFinder
LinkFinder: https://github.com/GerbenJavado/LinkFinder
Packer-Fuzzer: https://github.com/rtcatc/Packer-Fuzzer (webpack)
搜索关键接口
config/api
method:”get”
http.get(“
method:”post”
http.post(“
$.ajax
service.httppost
service.httpget
path
api
存在xxx.js.map文件时
- 搜索 axios 关键字，查找路由

APP

邮箱收集

EmailAll

WAF识别

敏感信息

网盘引擎

超能搜
优聚搜
https://ujuso.com/
https://jujuso.com/

Googlehack语法

后台地址
site:xxx.com intitle:管理|后台|登陆|管理员|系统|内部
site:xxx.com inurl:login|admin|system|guanli|denglu|manage|admin_login|auth|dev
敏感文件
site:xxx.com (filetype:doc OR filetype:ppt OR filetype:pps OR filetype:xls OR filetype:docx OR filetype:pptx OR filetype:ppsx OR filetype:xlsx OR filetype:odt OR –filetype:ods OR filetype:odg OR filetype:odp OR filetype:pdf OR filetype:wpd OR filetype:svg OR filetype:svgz OR filetype:indd OR filetype:rdp OR filetype:sql OR filetype:xml OR filetype:db OR filetype:mdb OR filetype:sqlite OR filetype:log OR filetype:conf)
测试环境
site:xxx.com inurl:test|ceshi
site:xxx.com intitle:测试
邮箱
site:xxx.com (intitle:”Outlook Web App” OR intitle:”邮件” OR inurl:”email” OR inurl:”webmail”)
其他
site:xxx.com inurl:api|uid=|id=|userid=|token|session
site:xxx.com intitle:index.of “server at”
谷歌语法生成器
在线版本：http://www.php1nf0.top/google/google.php
离线版本：去这里领取

Github

@xxx.com password/secret/credentials/token/config/pass/login/ftp/ssh/pwd
@xxx.com security_credentials/connetionstring/JDBC/ssh2_auth_password/send_keys

原文：https://github.com/reidmu/sec-note/blob/main/%E4%BF%A1%E6%81%AF%E6%94%B6%E9%9B%86/README.md

© 版权声明

文章版权归作者所有，转载请标明出处。

THE END

实战攻防渗透SRC
# Web安全 # 信息收集

喜欢就支持一下吧

相关推荐

评论抢沙发

欢迎您留下宝贵的见解！

提交

暂无评论内容