信息收集总结

关注内容

1. 企业股权架构：了解公司的股权结构，确定控股子公司，收集边缘业务系统资产。

2. 网站备案：获取公司的备案信息，包括根域名及其子域名。

3. 对外发布的产品：收集公司公开发布的产品信息，包括小程序、公众号 APP 、 IoT 设备等。

4. 法人电话号、邮箱：获取公司法人的联系方式，可能作为渗透测试的联络点。

用处

获取控股子公司名称，收集边缘子公司资产，为漏洞挖掘提供更多可能性。

获取网站备案信息，帮助定位公司的在线资产，包括可能的子域名和 IP 地址。

收集对外发布的产品信息，发现额外的网络资产，扩大漏洞挖掘的范围。

获取法人联系方式，可能为进一步的社会工程学攻击提供线索。

收集思路

1. 整理股权结构：在开始收集子域名之前，先统计目标公司的股权架构，确定控股子公司，重点关注可能

存在的边缘业务系统。

1. 获取备案信息：收集公司的网站备案信息，包括根域名和子域名，以便确定在线资产的范围。

2. 分析产品发布：查找公司对外发布的产品信息，了解其扩展的网络资产，可能包括小程序、 APP

等。

3. 联系法人：尝试获取公司法人的电话号码和邮箱，可能作为进一步攻击的联络点。

主域名

ICP备案查询

1.爱站网（站长seo综合查询工具-爱站网）

2.爱企查

（爱企查首页 - 专业企业查询平台 - 查企业 - 查老板 - 查风险 - 工商信息查询系统 (baidu.com)）

3.站长之家（ICP备案查询_APP及小程序备案查询 - 站长工具）

whois查询

阿里云 WHOIS 查询 链接 : https://whois.aliyun.com 简介 : 通过阿里云提供的 WHOIS 查询服务，可以获取域名的注册信息、DNS 服务器、注册商等信息。

腾讯云 WHOIS 查询 链接 : https://whois.cloud.tencent.com/ 简介 : 腾讯云提供的 WHOIS 查询服务，用于查询域名的注册信息、DNS 服务器、注册商等详细信息。

中国互联网信息中心（ CNNIC ） IP WHOIS 查询 链接 : http://ipwhois.cnnic.net.cn/ 简介：中国互联网信息中心提供的 IP WHOIS 查询服务，可查询中国境内 IP 地址的注册信息、网段归属等。

国外的whois  https://who.is/ 

以阿里云为例

子域名

搜索引擎收集

Google

链接 : https://www.google.com/ 特点 : 提供了强大的搜索功能，但需翻墙。

常用语法 :

site:xxx.cn ：限定搜索特定域名下的页面。

intext:" 身份证 " intext:" 电话 " filetype:xlsx OR filetype:pdf OR filetype:docs ：搜

索包含指定关键词和后缀的文件。

inurl:xxx ：指定搜索特定 URL 中包含的关键词，可能发现额外的资产。

Google里的google-hacking

Bing

公众号:渗透安全HackTwo 公众号:渗透安全HackTwo

链接 https://cn.bing.com/ 特点 : 不需要翻墙即可访问，适合获取基本信息。搜索结果可能略显模糊。常 用语法: 与Google类似，但搜索结果可能不如 Google 精准。

百度

- 链接 : https://www.baidu.com/ 特点 : 适用于搜索国内内容，包括信息泄露和隐藏路由。常用语法 :

类似于 Google 和 Bing ，但结果主要包括国内网站。

fofa  https://fofa.info/

搜索子域名语法：domain="xxx.com"

爆破收集

1.subDomainsBrute( https://github.com/lijiejie/subDomainsBrute )

subDomainsBrute 是一个高并发的 DNS 暴力枚举工具，可以帮助用户快速地发现目标域名的子域名。

2.layer

Layer 子域名挖掘机是一款强大的域名查询工具，提供了多种查询模式和功能，可以帮助用户快速发现目标网站的子域名信息。其主要特点包括简洁的界面、简单的操作模式以及多种查询方式，适用于各种情况下的域名挖掘需求。

3.oneforall( https://github.com/shmilylty/OneForAll )

OneForAll 是一个强大的子域名收集工具，提供了一键式的子域名收集功能。

SSL证书

censys(Censys Search)

https://crt.sh/

第三方DNS

通过储存用户访问url时执行的DNS解析构建数据库

VirusTotal - Home

IP资产收集

c段，旁站

查旁站（ ip段网站查询 旁站查询 C段网站查询 查旁站 (chapangzhan.com)）

中国互联网信息中心查询ip段

（Whois (cnnic.net.cn)）

通过asn

( https://asnlookup.com)

脆弱资产收集

端口扫描

常用的端口扫描工具包括 Nmap 和 Masscan等 。

指纹识别

ehole:
https://github.com/EdgeSecurityTeam/EHole
TideFinger:
https://github.com/TideSec/TideFinger

云悉：

yunsee.cn-2.0

潮汐：

Tide安全团队统一登录认证平台

waf识别

判断安全狗、阿里云云盾、 360 网站卫士、护卫神等 WEB 应用程序防火墙，便于采取绕过 WAF 的办法。

Nmap 探测 WAF 有两种脚本。一种是 http-waf-detect 。命令： nmap -p80,443 --script=http-waf-detect ip 一种是 http-waf-fingerprint 。命令： nmap -p80,443 --script=http-waf-fingerprint ip

WAFW00F 探测

WAF 命令： wafw00f -a 域名

wafw00f： https://github.com/EnableSecurity/wafw00f

目录探测

收集到wb资产后，通过目录爆破可以获取到敏感路径，文件。
例如login、,resgister、admin页面，亦或者是一些备份文件、例如数据库备份文件、git源码、svn源码。

dirmap:https://github.com/H4ckForJob/dirmap
支持从JS中获取路径进行拼接访问

御剑

绕过cdn

如果网站存在CDN,那么你拿到的P也是一个分发的虚拟节点，在这个节点所搜集的信息基本是无用功。
所以，我们必须绕过CDN去找到网站的真实P。
那么我们要如何判断一个网站是否存在一个CDN呢？
——利用超级ping
利用在线网站进行全国多地区的ping服务器操作，然后对比每个地区ping出的ip结果，查看这些ip是否一致，如果都是一样的，极有可能不存在CDN。如果i叩大多不太一样或者规律性不强，可以尝试查询这些ip的归属地，判断是否存在CDN。以http:/ping.chinaz.com为例子，去ping一下百度搜索的ip,这种就是很大几率存在CDN的。

可以用以下网站

    http://ping.chinaz.com/
    http://ping.aizhan.com/
 

js敏感信息

firefox插件：firefox插件--findsomething

jsfinder
https://github.com/Threezh1/JSFinder
在js中，会泄露一些地图的api-key、或者是一些存储桶的ak、sk、token等。