重要性
收集的资产越多,暴露的资产越多,攻击面越大,漏洞越多
icp备案查询
whois查询域名所有者
股权投资信息
一般要求持股份50%以上都可以算测试目标
主域名
子域名
工具收集
oneforall
灯塔
水泽
yakit工具
dns域传送
目录爆破
dirsearch
burpsuite
7kb
真实ip
绕cdn
- 多地ping,国外ping
- 对方邮箱服务器的真实ip
- 响应包的header头中是否存在cdn服务商信息
- 查询ssl证书
- ca机构颁发证书到公共日志中,证书中包含域名和子域名及邮箱地址,用443端口访问ip或服务器,就会暴露ssl证书
- 若 asp 或者 asp.net 网站返回头的 server 不是 IIS、而是 Nginx,则多半使用了nginx反向代理到 CDN
域名解析记录
- 微步情报
host碰撞
某些资产只能通过ip或只能域名访问,或特定ip(或内网ip)才能访问,使用各种地方搜集到的ip与域名进行碰撞,发现隐形资产
很多情况下,在访问目标网站时,使用其真实的IP无法访问,只有域名才能访问后端业务服务。这是因为反向代理服务器(如nginx)配置为禁止直接IP访问
端口服务
常见的服务端口号
21 ftp
22 ssh
25 smtp发送电子邮件
53 dns服务
80 http服务
110 pop3接受地址邮件
443 https
445 smb服务
1433 mssql
1521 Oracle数据库
3306 mysql
3389 远程桌面
5432 pgsql
6379 redis
7001 weblogic/tomcat
8080 tomcat
1099 rmi
1389 ldap
c段与旁站
c段是指同一网段的ip都是同一家的公司的
旁站是指一台服务器的其他站点,相对于主站防御相对更低
c段
nmap扫描
旁站判断
查完整与ip是否是同一台服务器
敏感文件泄露
- DS_Store
- .git
- 服务器日志文件
- 探针文件,例如 phpinfo
- 网站备份压缩文件
- Swagger接口泄露
- SVN
- Web.xml
指纹识别
Tide指纹识别
灯塔
ehole指纹识别
cms系统识别
框架识别
java
- spring
- shiro
- struts
- weblogic
- jboss
thinkphp
搜索空间引擎
谷歌黑客语法
Google Hacking - Free Google Dorks for Recon - Pentest-Tools.com
google_dork_list/google_Dorks.txt at master · BullsEye0/google_dork_list · GitHub
Google Hacking Database (GHDB) - Google Dorks, OSINT, Recon
管理后台地址
site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system
site:target.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backend
site:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录
上传类漏洞地址
site:target.com inurl:file
site:target.com inurl:upload
注入页面
site:target.com inurl:?id=
site:target.com inurl:php?id=
编辑器页面
site:target.com inurl:ewebeditor
目录遍历漏洞
site:target.com intitle: "index of"
SQL错误
site:target.com intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:”Warning: mysql_query()" | intext:"Warning: pg_connect()"
phpinfo
site:target.com ext:php intitle:phpinfo "published by the PHP Group"
配置文件泄露
site:target.com ext:.xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini
数据库文件泄露
site:target.com ext:.sql | .dbf | .mdb | .db
日志文件泄露
site:target.com ext:.log
备份和历史文件泄露
site:target.com ext:.bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar.gz | .tgz | .tar
公开文件泄露
site:target.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv
邮箱信息
site:target.com intext:@target.com site:target.com 邮件 site:target.com email
社工信息
site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证
这里只是举例,更多的搜法请发散自己的思维
信息收集工具
goby
灯塔
oneforall
等