聊聊信息收集

信息收集

​

工商数据收集

工商数据是测试人员获取目标公司信息的重要途径之一。通过分析工商数据，可以深入了解目标公司的组织结构、业务范围以及关联资产，为漏洞挖掘提供更精准的方向。

工商数据来源

• 爱企查https://aiqicha.baidu.com/
• 天眼查https://www.tianyancha.com/
• 企查查https://www.qcc.com/

关注内容

1. 企业股权架构：了解公司的股权结构，确定控股子公司，收集边缘业务系统资产。
2. 网站备案：获取公司的备案信息，包括根域名及其子域名。
3. 对外发布的产品：收集公司公开发布的产品信息，包括小程序、公众号APP、IoT设备等。
4. 法人电话号、邮箱：获取公司法人的联系方式，可能作为渗透测试的联络点。

用处

1. 获取控股子公司名称，收集边缘子公司资产，为漏洞挖掘提供更多可能性。

2. 获取网站备案信息，帮助定位公司的在线资产，包括可能的子域名和IP地址。

3. 收集对外发布的产品信息，发现额外的网络资产，扩大漏洞挖掘的范围。

4. 获取法人联系方式，可能为进一步的社会工程学攻击提供线索。

工具推荐

「站长之家：http://whois.chinaz.com/ 」

「邮箱反查：http://whois.chinaz.com/reverse?ddlSearchMode=1」

「注册人反查：http://whois.chinaz.com/reverse?ddlSearchMode=1」

「电话反查：http://whois.chinaz.com/reverse?ddlSearchMode=1」

其他网站

爱站 https://whois.aizhan.com/

微步 https://x.threatbook.cn/

国外的who.is https://who.is/

ICP备案查询网 https://www.beianx.cn/

ICP备案查询 - 站长工具 http://icp.chinaz.com/

应用信息搜集

在进行信息收集时，了解目标应用的相关信息是至关重要的。以下是一些常用的工具和网站，可以帮助你收集应用程序的相关信息：

应用程序信息搜集

• 七麦数据（Qimai）
• 「网址」: https://www.qimai.cn/

微信公众号和小程序

通过微信搜索公众号并去关注，然后进去点击文章之类的，下拉可以看到它的网页来源，大部分是微信提供的，所以需要去阅读原文，但是原文也可能是第三方提供的，所以还需要自己自行去判断，找到它的url后又可以去爆一波子域名了

logo

当你不确定目标产品是什么时，比如你不知道他是谁家的WAF或者路由器，可以利用查看网站logo地址，然后复制logo地址，点击按图片搜索，到谷歌里面查询；也可以把目标logo下载下来，利用上传图片来查询，通过搜索出来的结果可以判断目标产品和厂商。

favicon.ico

首先先来介绍一下什么favicon.ico文件，所谓favicon，便是其可以让浏览器的收藏夹中除显示相应的标题外，还以图标的方式区别不同的网站。favicon.ico也被称为 website icon（网页图标）、page icon（页面图标）或url icon（URL图标），具体细节请问度娘。下面这个小东西就是 Favicon.ico，我们可以通过在shodan里寻找它的哈希并去查找相关资产，打开shodan页面，或者用shodan插件都行。

子域名收集

SSL(HTTPS)证书

点击浏览器网站旁边的小锁，然后点击证书就可以查看到该网站的SSL证书了大厂商的SSL证书一般都「一证多用」，根据证书透明日志这个特性，可以得知一些子域名。

有时候https证书报错会泄露域名

在线网站证书查询

• https://crt.sh/

• https://censys.io/

网络深度爬虫

网络爬虫是一种常用的信息收集工具，可以帮助获取目标网站的各种信息。

域传送漏洞

域传送漏洞是一种常见的安全漏洞，攻击者可以利用该漏洞获取目标域名的所有记录，包括主机记录、MX 记录、NS 记录等。以下是关于域传送漏洞的常用DNS记录和检测方法：

常用DNS记录

• 主机记录(A记录)
• IPv6主机记录(AAAA记录)
• 别名(CNAME记录)
• 电子邮件交换记录(MX记录)
• 域名服务器记录(NS记录)
• 反向记录(PTR记录)
• TXT记录

DNS区域传送

DNS区域传送是一种从主DNS服务器获取数据以更新备份DNS服务器的机制，用于提供冗余备份。

域传送漏洞

域传送漏洞指的是备份DNS服务器错误配置，允许攻击者获取整个域的所有记录。正确的配置应该限制可进行域传送的服务器。

检测方法

• 使用nmap脚本扫描
• 使用dig命令
• 使用nslookup命令

子域名枚举爆破

通过向DNS服务器发送字典里的子域名请求，检查返回的数据中是否存在记录，从而发现存在的子域名。

工具

OneForAll

OneForAll 是一个强大的子域名收集工具，提供了一键式的子域名收集功能，支持以下功能：

• 收集子域名
• 收集子域常用端口
• 收集子域Title
• 收集子域状态
• 收集子域服务器信息

Layer

Layer 子域名挖掘机是一款强大的域名查询工具，提供了多种查询模式和功能，可以帮助用户快速发现目标网站的子域名信息。其主要特点包括简洁的界面、简单的操作模式以及多种查询方式，适用于各种情况下的域名挖掘需求。

主要功能

• 「子域名查询服务：」 提供网站子域名查询服务，帮助用户快速获取目标网站的子域名列表。
• 「多种查询模式：」 支持服务接口、暴力搜索、同服挖掘三种查询模式，满足不同场景下的查询需求。
• 「导出功能：」 支持导出各种信息，包括域名、IP、CDN、存活网站等，方便后续分析和处理。
• 「查看WEB服务器信息：」 可以查看每个子域名所使用的WEB服务器信息，帮助用户筛选出版本较低的服务器。
• 「端口扫描：」 可以扫描每个子域名开放的常见端口，发现潜在的安全风险。

使用建议

• 在进行安全评估或渗透测试时，可以利用 Layer 子域名挖掘机快速获取目标网站的子域名信息，帮助发现可能存在的安全隐患。
• 结合其他工具和技术，如端口扫描、漏洞利用等，进一步深入挖掘目标网站的安全漏洞和弱点。

御剑

御剑是一款网络安全检测工具，提供了子域名扫描、端口扫描、网站漏洞检测等多项功能，帮助用户发现和修复网站的安全问题。

K8

K8 是一款功能强大的子域名爆破工具，支持多种查询方式和定制化配置，可以帮助用户快速地发现目标域名的子域名信息。

IP信息收集

在进行IP信息收集时，需要先判断目标域名是否采用了内容分发网络（CDN）。以下是一些判断CDN的方法和绕过CDN寻找真实IP的技巧：

CDN概念

内容分发网络（CDN）通过互联网互相连接的电脑网络系统，利用最靠近用户的服务器，更快、更可靠地将网络内容传递给用户，提高网站的访问速度和稳定性。

判断是否真实IP

• 「nslookup：」 使用nslookup命令或在线工具进行查询，如果返回多个IP地址，则可能采用了CDN。
• 「多地ping：」 在线工具如ping.chinaz.com等进行多地ping，查看IP是否一致。
• 「IP反查：」 查询IP是否有多个域名，若是，则多半不是真实IP。

绕CDN找真实IP

• 「子域名：」 查询未使用CDN前的DNS服务器解析记录，查看历史DNS解析记录。
• 「邮件服务器：」 通过邮件头信息中的真实IP获取。
• 「信息泄漏：」 查询phpinfo页面、debug模式、其他信息泄漏问题，获取真实IP。
• 「网络空间搜索引擎：」 使用搜索引擎如shadan、fofa等进行搜索，获取网站真实IP。
• 「利用SSL证书查询：」 使用在线工具如Censys进行SSL证书查询。
• 「国外访问：」 通过国外节点进行请求，获取真实IP。
• 「LTM解码法：」 解码F5 LTM负载均衡的真实IP。

基本目录、敏感目录及文件

扫描网站目录结构，查看是否可以遍历目录或敏感文件泄露。以下是一些需要收集的敏感目录/文件信息：

• robots.txt
• crossdomain.xml
• sitemap.xml
• 后台目录
• 网站安装包
• 网站上传目录
• MySQL管理页面
• phpinfo
• 网站文本编辑器
• 测试文件
• 网站备份文件（.rar、.zip、.7z、.tar.gz、.bak）
• DS_Store 文件
• vim编辑器备份文件（.swp）
• WEB—INF/web.xml文件

目录扫描可以发现网站的弱点，例如robots文件泄露了网站的后台或CMS信息，安装包暴露了网站的源码，phpinfo暴露了服务器配置信息，编辑器和上传页面可以利用相关漏洞进行渗透，MySQL、后台管理页面可以进行枚举爆破等。

dirbuster

DirBuster是一个用于目录爆破的工具，可以帮助发现Web服务器上隐藏的目录和文件。

在进行站点扫描时，如果网站使用了Web应用程序防火墙（WAF），可能会拦截扫描工具的请求。这时候，修改User Agent值可以绕过WAF的拦截。以下是一些常用的User Agent值，可以用于欺骗WAF：

• 百度蜘蛛抓取欺骗： Mozilla/5.0 (compatible; Baiduspider/2.0;http://www.baidu.com/search/spider.html)
• 谷歌蜘蛛抓取欺骗： Mozilla/5.0 (compatible; Googlebot/2.1;http://www.google.com/bot.html)
• 百度转码浏览欺骗： Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN;rv:1.9.2.8;baidu Transcoder) Gecko/20100722 Firefox/3.6.8 ( .NET CLR 3.5.30729)
• 谷歌转码浏览欺骗： Mozilla/5.0 (en-us) AppleWebKit/534.14 (KHTML, like Gecko;Google Wireless Transcoder) Chrome/9.0.597 Safari/534.14

通过修改User Agent值，DirBuster可以模拟这些蜘蛛和浏览器，绕过WAF对扫描的限制，从而更好地进行目录爆破。

7kbscan

工具：https://github.com/7kbstorm/7kbscan-WebPathBrute

端口扫描

通过端口扫描可以确定网站开放的服务，为进一步的漏洞探测和提权提供重要信息。常见的一些容易发生漏洞的端口包括 135、137、138、139、445等。

有时扫描到的端口可能是网站的旁站，可以尝试对旁站进行漏洞探测。但是管理员可能会修改一些服务的默认端口，这时需要手动判断和分析（例如将远程桌面服务的默认端口3389修改为8888）。

在Windows系统下，可以通过以下命令进行端口扫描和管理：

• 显示所有有效连接信息列表，包括已建立的连接（ESTABLISHED）、监听连接请求（LISTENING）和断开连接（CLOSE_WAIT）等状态： netstat -a
• 以数字形式显示地址和端口号，显示所有已建立的有效连接： netstat -n
• 列出所有端口的情况： netstat -ano
• 查看被占用端口80对应的应用的PID： netstat -ano|findstr “80”
• 查看80端口被哪个进程或程序占用： tasklist|findstr “80”
• 结束该进程或程序： taskkill /f /t /im XX.exe

在线查询网站

可以使用以下在线工具来进行网站端口的查询：

1. CoolAF Port Scanner

2. Tool.lu Port Scanner

这些工具可以帮助你快速了解一个网站开放了哪些端口，有助于发现潜在的安全隐患。

端口扫描工具

常用的端口扫描工具包括 Nmap 和 Masscan。它们各有优势：

• 「Nmap」：扫描准确性较高，但速度较慢。
• 「Masscan」：扫描速度快，但准确性相对较低。

如果网站使用了WAF（Web 应用防火墙），你可以尝试调整扫描线程，或者利用 FTP 连接工具、SSH 连接工具、MySQL 连接等手工方式进行探测。

旁站C段

旁站：是和目标网站在同一台服务器上的其它网站 C端：是和服务器IP处在一个C段的其他服务器 对于防护比较强的主站，通常是很难挖掘到漏洞的，这时需要查看该站点的旁站，通过探测旁站的漏洞进行利用，从而拿下主站的权限。当网站不存在旁站时，就需要进行C段探测（有些网站买断了相邻的几个IP做为分站，如果拿到分站的管理员敏感信息，如密码之类的，可以尝试对主站进行撞库），通过拿下C段中服务器进行ARP欺骗达到劫持域名的效果 对于红蓝对抗和护网，C段扫描比较有意义。对于单独网站的渗透测试，C段扫描意义不大。C段指的是同一内网段内的其他服务器，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务器。

整站分析

服务器类型

服务器信息包括服务器用的操作系统：Linux 还是 Windows 。现在企业网站服务器的操作系统有百分之九十以上用的是Linux操作系统。知道了服务器的操作系统之后，还需要知道操作系统使用的具体版本。因为很多低版本的操作系统都存在已知的漏洞。判断是Linux还是Windows最简单就是通过ping来探测，Windows的TTL值都是一般是128，Linux则是64。所以大于100的肯定是Windows，而几十的肯定是Linux。但是，通过TTL值来判断服务器类型也不是百分之百准确的，有些windows服务器的TTL值也是几十，而且有的服务器禁止ping。

而判断目标网站服务器的具体的版本的话，可以采用 nmap 进行扫描， -O 和 -A 参数都能扫描出来

检测服务器平台、版本等，获取后可以制定漏洞挖掘方案（如IIS6.0存在解析漏洞等）。将首页或者其他页面通过修改大小写辨别网站所使用的系统：区分大小写（页面报错）–Linux 不区分大小写（页面正
常）–Windows

网站容器

知道了这些信息之后，我们就需要知道网站用的web服务器是什么类型的：Apache、Nginx、Tomcat 还是 IIS。知道了web服务器是哪种类型后，我们还要探测web服务器具体的版本。比如Ngnix版本<0.83会有解析漏洞 ，IIS6.0会有文件名解析漏洞、IIS7.0会有畸形解析漏洞等。不同的web服务器版本，存在着不同漏洞。搭建网站的服务组件，例如：iis、Apache、nginx、tomcat等，通过网站容器判断存在的漏洞（如：Apache解析漏洞，nginx解析漏洞）。

脚本类型

我们需要知道网站用的脚本类型：php 、Jsp 、Asp 、Aspx

1）可以根据网站URL来判断

2）site:xxxfiletype:php

3）可以根据Firefox的插件来判断

CMS类型

在渗透测试中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。这是我们想要识别这些网站的指纹，我们就可以利用以下一些指纹识别在线网站。识别dedecms、phpcms、emlog、帝国cms等，通过网站使用的CMS找取该CMS已经公布的漏洞进行利用，进一步渗透网站。

工具

云悉指纹https://www.yunsee.cn/
ThreatScanhttps://scan.top15.cn/web/

wappalyzerhttps://www.wappalyzer.com/

BugScanerhttp://whatweb.bugscaner.com/

数据库类型

在进行渗透测试或信息收集过程中，了解目标网站所用的数据库类型及版本是至关重要的。常见的数据
库类型包括 Mysql、Oracle、SQL Server、PostgreSQL 和 Access，它们有着不同的特点和用途。

端口对应数据库类型

• SQL Server：端口号 1433
• Oracle：端口号 1521
• MySQL：端口号 3306
• PostgreSQL：端口号 5432
• Access：默认不开放连接端口，数据库存储在 FTP 服务器上

WAF

判断安全狗、阿里云云盾、360网站卫士、护卫神等WEB应用程序防火墙，便于采取绕过WAF的办法。Nmap探测WAF有两种脚本。一种是http-waf-detect。命令：nmap -p80,443 --script=http-waf-detectip 一种是http-waf-fingerprint。命令：nmap -p80,443 --script=http-waf-fingerprint ip WAFW00F探测WAF 命令：wafw00f -a 域名# 信息收集

​

工商数据收集

工商数据是测试人员获取目标公司信息的重要途径之一。通过分析工商数据，可以深入了解目标公司的组织结构、业务范围以及关联资产，为漏洞挖掘提供更精准的方向。

工商数据来源

• 爱企查https://aiqicha.baidu.com/
• 天眼查https://www.tianyancha.com/
• 企查查https://www.qcc.com/

关注内容

1. 企业股权架构：了解公司的股权结构，确定控股子公司，收集边缘业务系统资产。
2. 网站备案：获取公司的备案信息，包括根域名及其子域名。
3. 对外发布的产品：收集公司公开发布的产品信息，包括小程序、公众号APP、IoT设备等。
4. 法人电话号、邮箱：获取公司法人的联系方式，可能作为渗透测试的联络点。

用处

1. 获取控股子公司名称，收集边缘子公司资产，为漏洞挖掘提供更多可能性。

2. 获取网站备案信息，帮助定位公司的在线资产，包括可能的子域名和IP地址。

3. 收集对外发布的产品信息，发现额外的网络资产，扩大漏洞挖掘的范围。

4. 获取法人联系方式，可能为进一步的社会工程学攻击提供线索。

工具推荐

「站长之家：http://whois.chinaz.com/ 」

「邮箱反查：http://whois.chinaz.com/reverse?ddlSearchMode=1」

「注册人反查：http://whois.chinaz.com/reverse?ddlSearchMode=1」

「电话反查：http://whois.chinaz.com/reverse?ddlSearchMode=1」

其他网站

爱站https://whois.aizhan.com/

微步https://x.threatbook.cn/

国外的who.ishttps://who.is/

ICP备案查询网https://www.beianx.cn/

ICP备案查询 - 站长工具http://icp.chinaz.com/

应用信息搜集

在进行信息收集时，了解目标应用的相关信息是至关重要的。以下是一些常用的工具和网站，可以帮助你收集应用程序的相关信息：

应用程序信息搜集

• 七麦数据（Qimai）
• 「网址」: https://www.qimai.cn/

微信公众号和小程序

通过微信搜索公众号并去关注，然后进去点击文章之类的，下拉可以看到它的网页来源，大部分是微信提供的，所以需要去阅读原文，但是原文也可能是第三方提供的，所以还需要自己自行去判断，找到它的url后又可以去爆一波子域名了

logo

当你不确定目标产品是什么时，比如你不知道他是谁家的WAF或者路由器，可以利用查看网站logo地址，然后复制logo地址，点击按图片搜索，到谷歌里面查询；也可以把目标logo下载下来，利用上传图片来查询，通过搜索出来的结果可以判断目标产品和厂商。

favicon.ico

首先先来介绍一下什么favicon.ico文件，所谓favicon，便是其可以让浏览器的收藏夹中除显示相应的标题外，还以图标的方式区别不同的网站。favicon.ico也被称为 website icon（网页图标）、page icon（页面图标）或url icon（URL图标），具体细节请问度娘。下面这个小东西就是 Favicon.ico，我们可以通过在shodan里寻找它的哈希并去查找相关资产，打开shodan页面，或者用shodan插件都行。

子域名收集

SSL(HTTPS)证书

点击浏览器网站旁边的小锁，然后点击证书就可以查看到该网站的SSL证书了大厂商的SSL证书一般都「一证多用」，根据证书透明日志这个特性，可以得知一些子域名。

有时候https证书报错会泄露域名

在线网站证书查询

• https://crt.sh/

• https://censys.io/

网络深度爬虫

网络爬虫是一种常用的信息收集工具，可以帮助获取目标网站的各种信息。

域传送漏洞

域传送漏洞是一种常见的安全漏洞，攻击者可以利用该漏洞获取目标域名的所有记录，包括主机记录、MX 记录、NS 记录等。以下是关于域传送漏洞的常用DNS记录和检测方法：

常用DNS记录

• 主机记录(A记录)
• IPv6主机记录(AAAA记录)
• 别名(CNAME记录)
• 电子邮件交换记录(MX记录)
• 域名服务器记录(NS记录)
• 反向记录(PTR记录)
• TXT记录

DNS区域传送

DNS区域传送是一种从主DNS服务器获取数据以更新备份DNS服务器的机制，用于提供冗余备份。

域传送漏洞

域传送漏洞指的是备份DNS服务器错误配置，允许攻击者获取整个域的所有记录。正确的配置应该限制可进行域传送的服务器。

检测方法

• 使用nmap脚本扫描
• 使用dig命令
• 使用nslookup命令

子域名枚举爆破

通过向DNS服务器发送字典里的子域名请求，检查返回的数据中是否存在记录，从而发现存在的子域名。

工具

OneForAll

OneForAll 是一个强大的子域名收集工具，提供了一键式的子域名收集功能，支持以下功能：

• 收集子域名
• 收集子域常用端口
• 收集子域Title
• 收集子域状态
• 收集子域服务器信息

Layer

Layer 子域名挖掘机是一款强大的域名查询工具，提供了多种查询模式和功能，可以帮助用户快速发现目标网站的子域名信息。其主要特点包括简洁的界面、简单的操作模式以及多种查询方式，适用于各种情况下的域名挖掘需求。

主要功能

• 「子域名查询服务：」 提供网站子域名查询服务，帮助用户快速获取目标网站的子域名列表。
• 「多种查询模式：」 支持服务接口、暴力搜索、同服挖掘三种查询模式，满足不同场景下的查询需求。
• 「导出功能：」 支持导出各种信息，包括域名、IP、CDN、存活网站等，方便后续分析和处理。
• 「查看WEB服务器信息：」 可以查看每个子域名所使用的WEB服务器信息，帮助用户筛选出版本较低的服务器。
• 「端口扫描：」 可以扫描每个子域名开放的常见端口，发现潜在的安全风险。

使用建议

• 在进行安全评估或渗透测试时，可以利用 Layer 子域名挖掘机快速获取目标网站的子域名信息，帮助发现可能存在的安全隐患。
• 结合其他工具和技术，如端口扫描、漏洞利用等，进一步深入挖掘目标网站的安全漏洞和弱点。

御剑

御剑是一款网络安全检测工具，提供了子域名扫描、端口扫描、网站漏洞检测等多项功能，帮助用户发现和修复网站的安全问题。

K8

K8 是一款功能强大的子域名爆破工具，支持多种查询方式和定制化配置，可以帮助用户快速地发现目标域名的子域名信息。

IP信息收集

在进行IP信息收集时，需要先判断目标域名是否采用了内容分发网络（CDN）。以下是一些判断CDN的方法和绕过CDN寻找真实IP的技巧：

CDN概念

内容分发网络（CDN）通过互联网互相连接的电脑网络系统，利用最靠近用户的服务器，更快、更可靠地将网络内容传递给用户，提高网站的访问速度和稳定性。

判断是否真实IP

• 「nslookup：」 使用nslookup命令或在线工具进行查询，如果返回多个IP地址，则可能采用了CDN。
• 「多地ping：」 在线工具如ping.chinaz.com等进行多地ping，查看IP是否一致。
• 「IP反查：」 查询IP是否有多个域名，若是，则多半不是真实IP。

绕CDN找真实IP

• 「子域名：」 查询未使用CDN前的DNS服务器解析记录，查看历史DNS解析记录。
• 「邮件服务器：」 通过邮件头信息中的真实IP获取。
• 「信息泄漏：」 查询phpinfo页面、debug模式、其他信息泄漏问题，获取真实IP。
• 「网络空间搜索引擎：」 使用搜索引擎如shadan、fofa等进行搜索，获取网站真实IP。
• 「利用SSL证书查询：」 使用在线工具如Censys进行SSL证书查询。
• 「国外访问：」 通过国外节点进行请求，获取真实IP。
• 「LTM解码法：」 解码F5 LTM负载均衡的真实IP。

基本目录、敏感目录及文件

扫描网站目录结构，查看是否可以遍历目录或敏感文件泄露。以下是一些需要收集的敏感目录/文件信息：

• robots.txt
• crossdomain.xml
• sitemap.xml
• 后台目录
• 网站安装包
• 网站上传目录
• MySQL管理页面
• phpinfo
• 网站文本编辑器
• 测试文件
• 网站备份文件（.rar、.zip、.7z、.tar.gz、.bak）
• DS_Store 文件
• vim编辑器备份文件（.swp）
• WEB—INF/web.xml文件

目录扫描可以发现网站的弱点，例如robots文件泄露了网站的后台或CMS信息，安装包暴露了网站的源码，phpinfo暴露了服务器配置信息，编辑器和上传页面可以利用相关漏洞进行渗透，MySQL、后台管理页面可以进行枚举爆破等。

dirbuster

DirBuster是一个用于目录爆破的工具，可以帮助发现Web服务器上隐藏的目录和文件。

在进行站点扫描时，如果网站使用了Web应用程序防火墙（WAF），可能会拦截扫描工具的请求。这时候，修改User Agent值可以绕过WAF的拦截。以下是一些常用的User Agent值，可以用于欺骗WAF：

• 百度蜘蛛抓取欺骗： Mozilla/5.0 (compatible; Baiduspider/2.0;http://www.baidu.com/search/spider.html)
• 谷歌蜘蛛抓取欺骗： Mozilla/5.0 (compatible; Googlebot/2.1;http://www.google.com/bot.html)
• 百度转码浏览欺骗： Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN;rv:1.9.2.8;baidu Transcoder) Gecko/20100722 Firefox/3.6.8 ( .NET CLR 3.5.30729)
• 谷歌转码浏览欺骗： Mozilla/5.0 (en-us) AppleWebKit/534.14 (KHTML, like Gecko;Google Wireless Transcoder) Chrome/9.0.597 Safari/534.14

通过修改User Agent值，DirBuster可以模拟这些蜘蛛和浏览器，绕过WAF对扫描的限制，从而更好地进行目录爆破。

7kbscan

工具：https://github.com/7kbstorm/7kbscan-WebPathBrute

端口扫描

通过端口扫描可以确定网站开放的服务，为进一步的漏洞探测和提权提供重要信息。常见的一些容易发生漏洞的端口包括 135、137、138、139、445等。

有时扫描到的端口可能是网站的旁站，可以尝试对旁站进行漏洞探测。但是管理员可能会修改一些服务的默认端口，这时需要手动判断和分析（例如将远程桌面服务的默认端口3389修改为8888）。

在Windows系统下，可以通过以下命令进行端口扫描和管理：

• 显示所有有效连接信息列表，包括已建立的连接（ESTABLISHED）、监听连接请求（LISTENING）和断开连接（CLOSE_WAIT）等状态： netstat -a
• 以数字形式显示地址和端口号，显示所有已建立的有效连接： netstat -n
• 列出所有端口的情况： netstat -ano
• 查看被占用端口80对应的应用的PID： netstat -ano|findstr “80”
• 查看80端口被哪个进程或程序占用： tasklist|findstr “80”
• 结束该进程或程序： taskkill /f /t /im XX.exe

在线查询网站

可以使用以下在线工具来进行网站端口的查询：

1. CoolAF Port Scanner

2. Tool.lu Port Scanner

这些工具可以帮助你快速了解一个网站开放了哪些端口，有助于发现潜在的安全隐患。

端口扫描工具

常用的端口扫描工具包括 Nmap 和 Masscan。它们各有优势：

• 「Nmap」：扫描准确性较高，但速度较慢。
• 「Masscan」：扫描速度快，但准确性相对较低。

如果网站使用了WAF（Web 应用防火墙），你可以尝试调整扫描线程，或者利用 FTP 连接工具、SSH 连接工具、MySQL 连接等手工方式进行探测。

旁站C段

旁站：是和目标网站在同一台服务器上的其它网站 C端：是和服务器IP处在一个C段的其他服务器 对于防护比较强的主站，通常是很难挖掘到漏洞的，这时需要查看该站点的旁站，通过探测旁站的漏洞进行利用，从而拿下主站的权限。当网站不存在旁站时，就需要进行C段探测（有些网站买断了相邻的几个IP做为分站，如果拿到分站的管理员敏感信息，如密码之类的，可以尝试对主站进行撞库），通过拿下C段中服务器进行ARP欺骗达到劫持域名的效果 对于红蓝对抗和护网，C段扫描比较有意义。对于单独网站的渗透测试，C段扫描意义不大。C段指的是同一内网段内的其他服务器，每个IP有ABCD四个段，举个例子，192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务器。

整站分析

服务器类型

服务器信息包括服务器用的操作系统：Linux 还是 Windows 。现在企业网站服务器的操作系统有百分之九十以上用的是Linux操作系统。知道了服务器的操作系统之后，还需要知道操作系统使用的具体版本。因为很多低版本的操作系统都存在已知的漏洞。判断是Linux还是Windows最简单就是通过ping来探测，Windows的TTL值都是一般是128，Linux则是64。所以大于100的肯定是Windows，而几十的肯定是Linux。但是，通过TTL值来判断服务器类型也不是百分之百准确的，有些windows服务器的TTL值也是几十，而且有的服务器禁止ping。

而判断目标网站服务器的具体的版本的话，可以采用 nmap 进行扫描， -O 和 -A 参数都能扫描出来

检测服务器平台、版本等，获取后可以制定漏洞挖掘方案（如IIS6.0存在解析漏洞等）。将首页或者其他页面通过修改大小写辨别网站所使用的系统：区分大小写（页面报错）–Linux 不区分大小写（页面正
常）–Windows

网站容器

知道了这些信息之后，我们就需要知道网站用的web服务器是什么类型的：Apache、Nginx、Tomcat 还是 IIS。知道了web服务器是哪种类型后，我们还要探测web服务器具体的版本。比如Ngnix版本<0.83会有解析漏洞 ，IIS6.0会有文件名解析漏洞、IIS7.0会有畸形解析漏洞等。不同的web服务器版本，存在着不同漏洞。搭建网站的服务组件，例如：iis、Apache、nginx、tomcat等，通过网站容器判断存在的漏洞（如：Apache解析漏洞，nginx解析漏洞）。

脚本类型

我们需要知道网站用的脚本类型：php 、Jsp 、Asp 、Aspx

1）可以根据网站URL来判断

2）site:xxxfiletype:php

3）可以根据Firefox的插件来判断

CMS类型

在渗透测试中，对目标服务器进行指纹识别是相当有必要的，因为只有识别出相应的Web容器或者CMS，才能查找与其相关的漏洞，然后才能进行相应的渗透操作。这是我们想要识别这些网站的指纹，我们就可以利用以下一些指纹识别在线网站。识别dedecms、phpcms、emlog、帝国cms等，通过网站使用的CMS找取该CMS已经公布的漏洞进行利用，进一步渗透网站。

工具

云悉指纹https://www.yunsee.cn/
ThreatScanhttps://scan.top15.cn/web/

wappalyzerhttps://www.wappalyzer.com/

BugScanerhttp://whatweb.bugscaner.com/

数据库类型

在进行渗透测试或信息收集过程中，了解目标网站所用的数据库类型及版本是至关重要的。常见的数据
库类型包括 Mysql、Oracle、SQL Server、PostgreSQL 和 Access，它们有着不同的特点和用途。

端口对应数据库类型

• SQL Server：端口号 1433
• Oracle：端口号 1521
• MySQL：端口号 3306
• PostgreSQL：端口号 5432
• Access：默认不开放连接端口，数据库存储在 FTP 服务器上

WAF

判断安全狗、阿里云云盾、360网站卫士、护卫神等WEB应用程序防火墙，便于采取绕过WAF的办法。Nmap探测WAF有两种脚本。一种是http-waf-detect。命令：nmap -p80,443 --script=http-waf-detectip 一种是http-waf-fingerprint。命令：nmap -p80,443 --script=http-waf-fingerprint ip WAFW00F探测WAF 命令：wafw00f -a 域名