1.1网域向—纵向—网络某一层
1.1.1域名信息收集
whois查询—
域名IP是否注册以及所有者信息
(1)在线查
Whois站长之家查询:http://whois.chinaz.com/
阿里云中国万网查询:https://whois.aliyun.com/
全球Whois查询:https://www.whois365.com/cn/
站长工具爱站查询:https://whois.aizhan.com/
(2)工具查—kail
备案信息查询—
查单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等
ICP备案查询网:http://www.beianbeian.com/
备案吧吧:https://www.beian88.com/
天眼查:https://www.tianyancha.com
1.1.2子域名信息收集—
主域强,子域来挖
怎么收集子域名网址
(1)在线查
eg1:(搜索引擎)Google语法搜索子域,使用“site:xxx.xxx
eg2:(在线工具)
whois反查:http://whois.chinaz.com/
virustotal:www.virustotal.com
子域名爆破:https://phpinfo.me/domain/
IP反查绑定域名:http://dns.aizhan.com/
eg3:搜索一些公开的CT日志,通过证书透明度公开日志枚举子域名
(2)工具—kail
Dnsenum:域名信息收集
Dnsmap:收集信息和枚举DNS信息
Dnsrecon:用于DNS侦察
Fierce :子域名查询
whois查询
我们可以利用Fierce工具,进行子域名枚举。该工具首先测试是否有域传送漏洞,若存在则应该直接通过域传送搜集子域信息,没有域传送漏洞则采用爆破的方式。
1.2web网站站点—横向—地理区域环
1.2.1站点信息收集
1.CMS指纹识别
(1)在线识别
在线的网站查询CMS指纹识别,如下所示:
BugScaner: http://whatweb.bugscaner.com/look/
潮汐指纹:http://finger.tidesec.net/
云悉:http://www.yunsee.cn/info.html
WhatWeb: https://whatweb.net/
云悉指纹: http://www.yunsee.cn/finger.hmtl
(2)工具—kail/御剑
(3)手工识别
- .根据HTTP响应头判断,重点关注X-Powered-By、cookie等字段
- 2. 根据HTML 特征,重点关注 body、title、meta等标签的内容和属性。
- 3. 根据特殊的class判断。HTML 中存在特定 class 属性的某些 div 标签,如<body class="ke-content">
2.历史漏洞
3.脚本语言
4.敏感目录/文件—目录扫描
工具—御剑后台扫描工具
5.Waf识别
工具—kail(内置wafw00f)
wafw00f是一个Web应用防火墙(WAF)指纹识别的工具
6. ......
1.2.2敏感信息收集—
自己技术无法渗透,七大姑八大姨来帮忙
收集:目标暴露在互联网上的关联信息。例如:数据库文件、SQL注入、服务配置信息,甚至是通过Git找到站点泄露源代码,以及Redis等未授权访问、Robots.txt等敏感信息。
线上搜—
(1)Google hacking
intext:寻找正文中含有关键字的网页
intitle:寻找标题中含有关键字的网
allintitle:用法和intitle类似,只不过可以指定多个词
inurl:搜索url中含有关键词的网页
allinurl:用法和inurl类似,只不过可以指定多个词
site:指定访问的站点
filetype:指定访问的文件类型
link:指定链接的网页
related:搜索相似类型的网页
info:返回站点的指定信息,例如:info:www.baidu.com 将返回百度的一些信息
phonebook:电话簿查询美国街道地址和电话号码信息
Index of:利用 Index of 语法可以发现允许目录浏览的web网站,就像在本地的普通目录一样
(2)github信息泄露
1.3服务器信息收集
1.3.1Web服务器指纹识别—
了解web服务器类型和版本
搜集—1、Web服务器名称,版本
2、Web服务器后端是否有应用服务器
3、数据库(DBMS)是否部署在同一主机(host),数据库类型
4、Web应用使用的编程语言
5、Web应用框架
......
方法—
(1)手工检测
1. HTTP头分析
即查看HTTP响应头中的Server、X-Powered-By、Cookie 等字段,这也是最基本的方法
2. 协议行为
即从HTTP头字段顺序分析,观察HTTP响应头的组织顺序,因为每个服务器都有一个内部的HTTP头排序方法。
3. 浏览并观察网站
我们可以观察网站某些位置的HTML源码(特殊的class名称)及其注释(comment)部分,可能暴露有价值信息。观察网站页面后缀可以判断Web应用使用的编程语言和框架
4. 刻意构造错误
错误页面可以给你提供关于服务器的大量信息。可以通过构造含有随机字符串的URL,并访问它来尝试得到404页面。
(2)工具—whatweb
1.3.2真实IP地址识别
1.判断是否有CDN
设置代理或者通过在线ping网站来在不同地区进行ping测试,然后对比每个地区ping出的IP结果对比
相关网站
有以下网站可以进行ping测试:
2.绕过CDN
1.利用子域名。
2. 查询主域。
4.从国外访问。可以通过国外在线代理网站访问,可能会得到真实的IP地址,外国在线代理网站:
5.通过邮件服务器。
一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,由于这个邮件服务器的有可能跟目标Web在一个段上,我们直接一个一个扫,看返回的HTML源代码是否跟web的对的上,就可以获得目标的真实IP(必须是目标自己内部的邮件服务器,第三方或者公共邮件服务器是没有用的)。
3.搜索查询
1.Nslookup查询
2.利用网络空间搜索引擎。这里主要是利用网站返回的内容寻找真实原始IP,如果原始服务器IP也返回了网站的内容,那么可以在网上搜索大量的相关数据。最常见的网络空间搜索引擎有如下:
Shodan:https://www.shodan.io/
钟馗之眼:https://www.zoomeye.org/
FOFA:https://fofa.so/
4.旁站信息收集
工具—NMAP
5.其他方法
1. 让目标主动连接我们。
(1)发邮件给我们。比如订阅、注册的时候会有注册连接发送到我们的邮件,然后查看邮件全文源代码或邮件标头,寻找邮件头中的邮件服务器域名IP就可以了。
(2)利用网站漏洞。比如有代码执行漏洞、SSRF、存储型的XSS都可以让服务器主动访问我们预设的web服务器,那么就能在日志里面看见目标网站服务器的真实IP。
2.扫描网站敏感文件,如phpinfo.php等,从而找到目标的真实IP。
3. 查看域名历史解析记录。
1.3.3开发语言
1.3.4Web中间件
1.3.5端口扫描
1. 使用nmap工具收集
2. 使用masscan探测端口开放信息
3.搜索引擎
- 在线网站:http://tool.chinaz.com/port/
- ThreatScan在线网站(网站基础信息收集):https://scan.top15.cn/
- Shodan:https://www.shodan.io/
1.3.6后端存储技术识别
......
1.4数据库信息收集
1.4.1数据库基本类型
mysql
mssql
Oracle
1.5社会工程学
笔记学习参考
https://www.cnblogs.com/0daybug/p/13800776.html
小迪安全
笔记仅列出大纲和自己的理解,若有不当,劝改知改