网安基础入门—信息收集笔记

1.1网域向—纵向—网络某一层

1.1.1域名信息收集

whois查询—

域名IP是否注册以及所有者信息

    （1）在线查

Whois站长之家查询：http://whois.chinaz.com/

阿里云中国万网查询：https://whois.aliyun.com/

全球Whois查询：https://www.whois365.com/cn/

站长工具爱站查询：https://whois.aizhan.com/

   （2）工具查—kail

备案信息查询—

查单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等

ICP备案查询网：http://www.beianbeian.com/

备案吧吧：https://www.beian88.com/

天眼查：https://www.tianyancha.com

1.1.2子域名信息收集—

主域强，子域来挖

怎么收集子域名网址

（1）在线查

eg1：（搜索引擎）Google语法搜索子域，使用“site:xxx.xxx

eg2：（在线工具）

whois反查：http://whois.chinaz.com/

virustotal：www.virustotal.com

子域名爆破：https://phpinfo.me/domain/

IP反查绑定域名：http://dns.aizhan.com/

eg3：搜索一些公开的CT日志，通过证书透明度公开日志枚举子域名

（2）工具—kail

Dnsenum：域名信息收集

Dnsmap：收集信息和枚举DNS信息

Dnsrecon：用于DNS侦察

Fierce ：子域名查询

whois查询

我们可以利用Fierce工具，进行子域名枚举。该工具首先测试是否有域传送漏洞，若存在则应该直接通过域传送搜集子域信息，没有域传送漏洞则采用爆破的方式。

1.2web网站站点—横向—地理区域环

1.2.1站点信息收集

  1.CMS指纹识别

     （1）在线识别

在线的网站查询CMS指纹识别，如下所示：

BugScaner: http://whatweb.bugscaner.com/look/

潮汐指纹：http://finger.tidesec.net/

云悉：http://www.yunsee.cn/info.html

WhatWeb: https://whatweb.net/

云悉指纹: http://www.yunsee.cn/finger.hmtl

    （2）工具—kail/御剑

    （3）手工识别

• .根据HTTP响应头判断，重点关注X-Powered-By、cookie等字段
• 2. 根据HTML 特征，重点关注 body、title、meta等标签的内容和属性。
• 3. 根据特殊的class判断。HTML 中存在特定 class 属性的某些 div 标签，如<body class="ke-content">

2.历史漏洞

3.脚本语言

4.敏感目录/文件—目录扫描

   工具—御剑后台扫描工具

5.Waf识别

工具—kail（内置wafw00f）

wafw00f是一个Web应用防火墙（WAF）指纹识别的工具

6.   ......

1.2.2敏感信息收集—

自己技术无法渗透,七大姑八大姨来帮忙

收集：目标暴露在互联网上的关联信息。例如：数据库文件、SQL注入、服务配置信息，甚至是通过Git找到站点泄露源代码，以及Redis等未授权访问、Robots.txt等敏感信息。

线上搜—

（1）Google hacking

intext：寻找正文中含有关键字的网页

intitle：寻找标题中含有关键字的网

allintitle：用法和intitle类似，只不过可以指定多个词

inurl：搜索url中含有关键词的网页

allinurl：用法和inurl类似，只不过可以指定多个词

site：指定访问的站点

filetype：指定访问的文件类型

link：指定链接的网页

related：搜索相似类型的网页

info：返回站点的指定信息，例如：info:www.baidu.com 将返回百度的一些信息

phonebook：电话簿查询美国街道地址和电话号码信息

Index of：利用 Index of 语法可以发现允许目录浏览的web网站，就像在本地的普通目录一样

（2）github信息泄露

1.3服务器信息收集

1.3.1Web服务器指纹识别—

了解web服务器类型和版本

搜集—1、Web服务器名称，版本

2、Web服务器后端是否有应用服务器

3、数据库(DBMS)是否部署在同一主机(host)，数据库类型

4、Web应用使用的编程语言

5、Web应用框架

......

方法—

（1）手工检测

   1. HTTP头分析

即查看HTTP响应头中的Server、X-Powered-By、Cookie 等字段，这也是最基本的方法

     2. 协议行为

即从HTTP头字段顺序分析，观察HTTP响应头的组织顺序，因为每个服务器都有一个内部的HTTP头排序方法。

     3. 浏览并观察网站

我们可以观察网站某些位置的HTML源码(特殊的class名称)及其注释(comment)部分，可能暴露有价值信息。观察网站页面后缀可以判断Web应用使用的编程语言和框架

      4. 刻意构造错误

错误页面可以给你提供关于服务器的大量信息。可以通过构造含有随机字符串的URL，并访问它来尝试得到404页面。

（2）工具—whatweb

1.3.2真实IP地址识别

1.判断是否有CDN

设置代理或者通过在线ping网站来在不同地区进行ping测试，然后对比每个地区ping出的IP结果对比

相关网站

有以下网站可以进行ping测试：

• http://ping.chinaz.com/
• https://www.wepcc.com
• https://www.17ce.com

2.绕过CDN

1.利用子域名。

2. 查询主域。

4.从国外访问。可以通过国外在线代理网站访问，可能会得到真实的IP地址，外国在线代理网站：

5.通过邮件服务器。

一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件，寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，由于这个邮件服务器的有可能跟目标Web在一个段上，我们直接一个一个扫，看返回的HTML源代码是否跟web的对的上，就可以获得目标的真实IP(必须是目标自己内部的邮件服务器，第三方或者公共邮件服务器是没有用的)。

3.搜索查询

1.Nslookup查询

2.利用网络空间搜索引擎。这里主要是利用网站返回的内容寻找真实原始IP，如果原始服务器IP也返回了网站的内容，那么可以在网上搜索大量的相关数据。最常见的网络空间搜索引擎有如下：

Shodan：https://www.shodan.io/

钟馗之眼：https://www.zoomeye.org/

FOFA：https://fofa.so/

4.旁站信息收集

工具—NMAP

5.其他方法

1. 让目标主动连接我们。

（1）发邮件给我们。比如订阅、注册的时候会有注册连接发送到我们的邮件，然后查看邮件全文源代码或邮件标头，寻找邮件头中的邮件服务器域名IP就可以了。

（2）利用网站漏洞。比如有代码执行漏洞、SSRF、存储型的XSS都可以让服务器主动访问我们预设的web服务器，那么就能在日志里面看见目标网站服务器的真实IP。

2.扫描网站敏感文件，如phpinfo.php等，从而找到目标的真实IP。

3. 查看域名历史解析记录。

1.3.3开发语言

1.3.4Web中间件

1.3.5端口扫描

1. 使用nmap工具收集

2. 使用masscan探测端口开放信息

3.搜索引擎

• 在线网站：http://tool.chinaz.com/port/
• ThreatScan在线网站（网站基础信息收集）：https://scan.top15.cn/
• Shodan：https://www.shodan.io/

1.3.6后端存储技术识别

......

1.4数据库信息收集

1.4.1数据库基本类型

mysql

mssql

Oracle

1.5社会工程学

笔记学习参考

https://www.cnblogs.com/0daybug/p/13800776.html

小迪安全

笔记仅列出大纲和自己的理解，若有不当，劝改知改