搞渗透！还不会信息收集的看这里（大佬的秘籍）

目录

一、收集域名信息

whois查询

备案信息查询

相关应用信息

二、查找真实IP

如何判断是否使用CDN

绕过CDN常见方法

三、收集子域名

在线平台

IP反查绑定域名网站

资产搜索引擎

工具枚举

利用DNS收集

四、站点信息收集

判断对方是win还是Linux

端口收集

CMS指纹识别

目录扫描

Google Hacking

总结

---

都在说渗透的本质就是信息搜集，这一步决定了你后续的进度！

但很多人收集到的内容并不全，或者新人还不清楚如何开始，今天就跟大家聊聊信息收集应该如何进行，小白必看！！！

一、收集域名信息

在这里对目标进行whois查询，查询域名是否被注册、注册商、DNS。

就好比看一个人的名片一样。以下介绍几种获取对方名片的方法。

whois查询

1、域名whois查询-站长之家

http://whois.chinaz.com/

2、IP138网站

https://site.ip138.com/

3、域名信息查询-腾讯云

https://whois.cloud.tencent.com/

4、ICANN LOOKUP

https://lookup.icann.org/

备案信息查询

1、SEO综合查询

https://www.aizhan.com/cha/

2、ICP备案查询-站长工具

http://icp.chinaz.com/

IP反查站点
1、Dnslytics

利用Dnslytics反查IP可以得到如下信息

• IP information
• Network information
• Hosting information
• SPAM database lookup
• Open TCP/UDP ports
• Blocklist lookup
• Whois information
• Geo information
• Country information
• Update information

利用Dnslytics反查域名可以得到如下信息

• Domain and Ranking Information
• Hosting Information{
• A / AAAA Record
• NS Record
• MX Record
• SPF Record
• }
• Web Information
• Whois Information

https://dnslytics.com/

相关应用信息

1、天眼查

https://www.tianyancha.com/

2、七麦数据

https://www.qimai.cn/

二、查找真实IP

在一些大的网站都会使用CDN(内容分发网络)，它可以使内容传输的更快、更加稳定。，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。一般CDN隐藏了目标服务器的真实的IP，也提高了安全性。
就像你找人家问他的名字，他就告诉你假的名字或外号，这一看对你兴趣不大啊，这时连心上人的真名字都不知道怎嘛进行下一步，那不凉凉了。这里说下如何识别给你的名字是真的还是假的，给假的名字情况下如何获取真实姓名。

如何判断是否使用CDN

1、ping目标主域

通过ping目标主域，观察域名解析情况来判断是否使用CDN。

发现使用了CDN。

2、Nslookup

不同DNS解析结果若不一样，很有可能存在CDN服务。

3、ping检测平台

Ping检测-站长工具
地址：http://ping.chinaz.com/

绕过CDN常见方法

1、ping主域

有的网站只让www域名使用CDN,可以去掉www在ping下

2、DNS历史查找

CDN可能是在网站上线一段时间后才上线的，可以通过查找域名解析记录的方式去查找真实IP。以下介绍几个平台
https://sitereport.netcraft.com/

 https://viewdns.info/

 https://tools.ipip.net/cdn.php

3、查询子域名方法

一般都是主站加入CDN，子域名站点很多没有加入，可以通过子域名来获取，下边有收集子域名详细介绍，在这里举例一个。
https://x.threatbook.cn/

4、网站邮件头信息

比如说，邮箱注册，邮箱找回密码、RSS邮件订阅等功能场景，通过网站给自己发送邮件，从而让目标主动暴露他们的真实的IP，查看邮件头信息，获取到网站的真实IP。
注意：必须是目标自己的邮件服务器，第三方或公共邮件服务器是没有用的。

5、网络空间搜索引擎法

通过关键字或网站域名，就可以找出被收录的IP，很多时候获取到的就是网站的真实IP。

钟馗之眼：https://www.zoomeye.org
Shodan：https://www.shodan.io
Fofa：https://fofa.so

6、网站漏洞查找

通过网站的信息泄露如phpinfo泄露，github信息泄露，命令执行等漏洞获取真实ip。

三、收集子域名

之前已经获取地址和姓名了，那就让我们大声把爱说出来。万一和心上人表白失败了，我们不要放弃，毕竟这样不容得到的男人才香啊，之前了解他的工作单位了或者家庭地址了，我们可以从他的同事或者邻居入手，通常这样更容易获取汉子的信息，方便更加深入的了解他。说不定能从同事或者邻居那边美言下，拿下这个高冷的男人了。

在线平台

1、IP138

https://site.ip138.com/

2、站长工具

子域名查询 - 站长工具

3、hackertarget

https://hackertarget.com/find-dns-host-records/

4、phpinfo

在线子域名查询

5、dnsdumpster

https://dnsdumpster.com/

6、zcjun

http://z.zcjun.com/

7、Censys

Censys

IP反查绑定域名网站

1、chinaz

http://s.tool.chinaz.com/same?s=

2、爱站

https://dns.aizhan.com/

3、webscan.cc

https://www.webscan.cc/

资产搜索引擎

个人常用的有Google、FOFA，也可以使用Shodan、zoomeye钟馗之眼.

1、Google语法

常用语法

site ：指定搜索域名 例如：site:baidu.com

inurl : 指定url中是否存在某些关键字 例如： inurl:.php?id=

intext : 指定网页中是否存在某些关键字 例如：intext:网站管理

filetype : 指定搜索文件类型 例如：filetype:txt

intitle : 指定网页标题是否存在某些关键字 例如：intitle:后台管理

link : 指定网页链接 例如：link:baidu.com 指定与百度做了外链的站点

info : 指定搜索网页信息 info:baidu.com

2、FOFA语法

可以在首页点击查询语法来查看

工具枚举

在这里常用的sublist3r、OneForAll、subDomainsBrute.

1、sublist3r

下载地址:https://github.com/aboul3la/Sublist3r

2、OneForAll

下载地址：https://github.com/shmilylty/OneForAll
运行完成后会生成一个csv文件

3、subDomainsBrute

下载地址：https://github.com/lijiejie/subDomainsBrute

利用DNS收集

常见的DNS记录有以下几类：

A记录       IP地址记录,记录一个域名对应的IP地址
AAAA记录    IPv6地址记录，记录一个域名对应的IPv6地址
CNAME记录   别名记录，记录一个主机的别名
MX记录      电子邮件交换记录，记录一个邮件域名对应的IP地址
NS记录      域名服务器记录 ,记录该域名由哪台域名服务器解析
PTR记录     反向记录，也即从IP地址到域名的一条记录
TXT记录     记录域名的相关文本信息

 MX记录： 建立电子邮箱服务，将指向邮件服务器地址，需要设置MX记录。建立邮箱时，一般会根据邮箱服务商提供的MX记录填写此记录。

NS记录： 域名解析服务器记录，如果要将子域名指定某个域名服务器来解析，需要设置NS记录 

SOA记录： SOA叫做起始授权机构记录，NS用于标识多台域名解析服务器，SOA记录用于在众多NS记录中那一台是主服务器

TXT记录： 可任意填写，可为空。一般做一些验证记录时会使用此项，如：做SPF（反垃圾邮件）记录

DNS域传送漏洞

1、原理：DNS服务器分为：主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库，需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。

若DNS服务器配置不当，可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。同时，黑客可以快速的判定出某个特定zone的所有主机，收集域信息，选择攻击目标，找出未使用的IP地址，绕过基于网络的访问控制。
2、DNS域传送漏洞检测
基本过程

nslookup #进入交互式shell

server dns.xx.yy.zz #设定查询将要使用的DNS服务器

ls xx.yy.zz #列出某个域中的所有域名

exit #退出
漏洞检测-不存在漏洞

四、站点信息收集

乖乖，现在撩汉子容易吗，咱们接下来在了解下他的爱好，喜欢健身还是喜欢去娱乐场所还是宅在家里，出去玩的话都去哪里玩，喜欢吃什么等等。为咱们下一步攻势做好准备，就不信俘获不到小哥哥的芳心。

 

判断对方是win还是Linux

1、TTL值

可以通过ping来查看，不过不一定非常准可以被修改，默认Linux是64，win是128
win：

 Linux： 

2、Nmap

使用命令：
nmap -O IP

端口收集

nmap

nmap -sV -p 1-65535 IP # ping目标有回复时

nmap -sV -p 1-65535 -Pn IP # ping目标没有回复时

CMS指纹识别

CMS（内容管理系统）用于网站内容管理，通过识别CMS类型可以查看相应的漏洞拿下站点。
如今，网上一些在线的网站查询CMS指纹识别，如下所示：
BugScaner: 在线指纹识别,在线cms识别小插件--在线工具
潮汐指纹：TideFinger 潮汐指纹 TideFinger 潮汐指纹
云悉：yunsee.cn-2.0
WhatWeb: WhatWeb - Next generation web scanner.
云悉指纹: yunsee.cn-2.0
WhatWeb: WhatWeb - Next generation web scanner.

目录扫描

1、御剑扫描

2、dirbuster

首先在Target URL输入框中输入要扫描的网址并将扫描过程中的请求方法设置为“Auto Switch(HEAD and GET)”。
自行设置线程（太大了容易造成系统死机哦）
选择扫描类型，如果使用个人字典扫描，则选择“List based bruteforce”选项。
单击“Browse”加载字典。
单机“URL Fuzz”，选择URL模糊测试（不选择该选项则使用标准模式）
在URL to fuzz里输入“/{dir}”。这里的{dir}是一个变量，用来代表字典中的每一行，运行时{dir}会被字典中的目录替换掉。
点击“start”开始扫描

也可以使用kali自带的 

3、dirscan

下载地址：GitHub - j3ers3/Dirscan: 🎃 目录扫描工具 Dirscan ，A simple and fast directory scanning tool for pentesters

4、dirsearch

下载地址：https://github.com/maurosoria/dirsearch

Google Hacking

他基本语法上边有介绍，介绍下典型用法：

查找指定后台地址

site:xx.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system

site:xx.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backend

site:xx.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录

查看指定网站的文件上传漏洞

site:xx.com inurl:file

site:xx.com inurl:load

site:xx.com inurl:upload

注入页面 

site:xx.com inurl:php?id=

 目录遍历漏洞

site:xx.com intitle:index.of

 SQL错误

site:xx.com intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:”Warning: mysql_query()" | intext:”Warning: pg_connect()"

phpinfo()

site:xx.com ext:php intitle:phpinfo "published by the PHP Group" 

配置文件泄露 

site:xx.com ext:.xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini

数据库文件泄露

site:xx.com ext:.sql | .dbf | .mdb | .db 

日志文件泄露 

site:xx.com ext:.log

备份和历史文件泄露 

site:xx.com ext:.bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar.gz | .tgz | .tar

 公开文件泄露

site:xx.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv

 邮箱信息

site:xx.com intext:@xx.com

site:xx.com 邮件

site:xx.com email

社工信息

site:xx.com intitle:账号 | 密码 | 工号 | 学号

通过用户的一些信息（Mail、Name、ID、Tel）查询用户注册过哪些应用
你注册过哪些网站？一搜便知 - REG007

很多网站及系统都会使用pop3和smtp发送来邮件，不少开发者由于安全意识不足会把相关的配置文件信息也放到Github上，所以如果这时候我们动用一下Google搜索语法，就能把这些敏感信息给找出来了。

site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn

数据库信息泄露：

site:Github.com sa password
site:Github.com root password

总结

要想拿下小哥哥当然要一步步来，前边的信息收集工作是非常重要的。从开始的选择目标，到获取简单的个人信息，如何看对方是否欺骗自己，再到如果拒绝失败从他身边的人下手。可以说能否追求成功这个收集工作起到至关重要的位置。
主要是用来新手之间互相交流下经验，老司机可以继续开车了。

我这边也整理了一些我在学习网络安全时的一些学习文档，感兴趣的同学自取

网络安全学习资源