Web渗透信息收集

 

目录

一 收集域名信息

二 收集子域名

三 真实IP收集

四 端口测试

五 网站信息收集

---

知己知彼，百战不殆。信息收集是渗透测试的重要环节之一，是万里长征第一步，也是胜利会师最重要的一步。攻防皆有道，百战护山河。每次的攻防比赛让自己更加认清自己有多菜，也知道信息收集有多重要，所以老生常谈又对信息收集进行一遍整理学习，希望对一些朋友有所帮助。

信息收集主要是收集服务器的配置信息和网站的敏感信息，主要包括域名信息、子域名信息、目标网站信息、目标网站真实IP、目录文件、开放端口和服务、中间件信息、脚本语言等等等。结合各路大佬的收集经验，菜鸟总结了8种信息收集的方式，有不足之处，欢迎赐教，欢迎斧正。个人感觉重点是顺手的工具、有IP代理池、日常收集的强大的字典、清晰可见的思维导图和多次的实战经验。

一 收集域名信息

• 1.whois查询

whois（读作“Who is”，非缩写），标准的互联网协议，是用来查询域名的IP以及所有者等信息的传输协议。简单说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。

通过whois来实现对域名信息的查询。早期的whois查询多以命令列接口存在，但是现在出现了一些网页接口简化的线上查询工具，可以一次向不同的数据库查询。网页接口的查询工具仍然依赖whois协议向服务器发送查询请求，命令列接口的工具仍然被系统管理员广泛使用。whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。

Whois查询我们主要关注的重点是注册商、注册人、邮件、DNS解析服务器、注册人联系电话。

目前常见的查询方法主要是通过站长工具等第三方平台查询，当然其实还可以在域名注册商那查询已经注册过的域名，例如中国万网（阿里云）、西部数码、新网、纳网、中资源、三五互联、新网互联、美橙互联、爱名网、易名网等等。还可以通过自己的注册代理机构查询。

各大注册商以及第三方站长工具的域名WHOIS信息查询地址如下：

中国万网域名WHOIS信息查询地址：https://whois.aliyun.com/

西部数码域名WHOIS信息查询地址：https://whois.west.cn/

新网域名WHOIS信息查询地址：http://whois.xinnet.com/domain/whois/index.jsp

纳网域名WHOIS信息查询地址：http://whois.nawang.cn/

中资源域名WHOIS信息查询地址：https://www.zzy.cn/domain/whois.html

三五互联域名WHOIS信息查询地址：https://cp.35.com/chinese/whois.php

新网互联域名WHOIS信息查询地址：http://www.dns.com.cn/show/domain/whois/index.do

美橙互联域名WHOIS信息查询地址：https://whois.cndns.com/

爱名网域名WHOIS信息查询地址：https://www.22.cn/domain/

易名网域名WHOIS信息查询地址：https://whois.ename.net/

下面是站长工具类第三方查询地址(部分网站注册人信息会隐藏或提示联系域名注册商获取，可以去who.is查询看看)

Kali的查询：whois -h 注册服务器地址  域名

 站长工具-站长之家域名WHOIS信息查询地址：http://whois.chinaz.com/

爱站网域名WHOIS信息查询地址：https://whois.aizhan.com/

腾讯云域名WHOIS信息查询地址：https://whois.cloud.tencent.com/

国外的who.is：https://who.is/ 

微步：https://x.threatbook.cn/ 

Virus Total:https://www.virustotal.com

还有Kali中自带的whois查询、一些集成工具等。

 

 

• 2.备案信息查询

 网站备案信息是根据国家法律法规规定，由网站所有者向国家有关部门申请的备案，是国家信息产业部对网站的一种管理途径，是为了防止在网上从事非法网站经营活动，当然主要是针对国内网站。

备案查询我们主要关注的是：单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等。

常见查询备案信息的网站如下：

天眼查：https://www.tianyancha.com/ 

ICP备案查询网：http://www.beianbeian.com/ 

国家企业信用信息公示系统：http://www.gsxt.gov.cn/index.html

爱站的备案查询：https://icp.aizhan.com

二 收集子域名

子域名也就是二级域名，是指顶级域名下的域名。收集的子域名越多，我们测试的目标就越多，目标系统渗透成功的机率也越大。主站无懈可击的时候子域名是一个很好的突破口。常用的方法有4种

• 1 .检测工具

检测工具有很多，但重要的是需要日常完善字典，字典强大才是硬道理。常见的有

layer子域名挖掘机、subDomainsBrute、K8、orangescan、DNSRecon、Sublist3r、dnsmaper、wydomain等等，重点推荐layer子域名挖掘机（使用简单，界面细致）、Sublist3r（列举多资源下查到的域名）和subDomainsBrute。（递归查询多级域名），此类工具github都有下载地址和使用方法。

链接如下：

SubDomainBrute：https://github.com/lijiejie/subDomainsBrute

Sublist3r：https://github.com/aboul3la/Sublist3r

Layer（5.0增强版）：https://pan.baidu.com/s/1Jja4QK5BsAXJ0i0Ax8Ve2Q  密码:aup5

• 2.搜索引擎

可以利用Google、Bing 、shodan和百度这样的搜索引擎进行搜索查询（site:www.xxx.com）

 

Google搜索语法：https://editor.csdn.net/md/?articleId=107244142

Bing搜索语法：https://blog.csdn.net/hansel/article/details/53886828

百度搜索语法：https://www.cnblogs.com/k0xx/p/12794452.html

• 3. SSL证书查询

SSL/TLS证书通常包含域名、子域名和邮件地址，这些是我们需要获取的信息，通常CT是CA的一个项目，CA会把每个SSL/TLS证书发布到公共日志中，查找域名所属证书的最简单方法就是使用搜索引擎搜索一些公开CT日志。

主要网站如下：

（1）https://crt.sh/

（2）https://censys.io/

（3）https://developers.facebook.com/tools/ct/

（4）https://google.com/transparencyreport/https/ct/

• 5. 在线网站查询（使用相对较少了）

（1）https://phpinfo.me/domain/(不可访问)

（2）http://i.links.cn/subdomain/（不可访问）

（3）http://dns.aizhan.com

（4）http://z.zcjun.com/（响应很快,推荐）

（5）Github搜索子域名

三 真实IP收集

信息收集工程中IP地址是必不可少的，在域名收集工程中我们已经对ip段收集，whois、ping测试、指纹网站都可以探测ip地址，但是很多目标服务器存在CDN，那什么是CDN，如果绕过查找真实IP呢？

CDN的全称是Content Delivery Network，即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器，通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所需内容，只有在实际数据交互时才会从远程web服务器响应，降低网络拥塞，提高用户访问响应速度和命中率。CDN的关键技术主要有内容存储和分发技术。

确定有无cdn

（1）很简单，使用各种多地 ping 的服务，查看对应 IP 地址是否唯一，如果不唯一多半是使用了CDN， 多地 Ping 网站有：
http://ping.chinaz.com/
http://ping.aizhan.com/

(2)使用 nslookup 进行检测，原理同上，如果返回域名解析对应多个 IP 地址多半是使用了 CDN。

这里推荐一些c端、旁站的扫描网站和工具：

http://www.webscan.cc/

https://phpinfo.me/bing.php（可能访问不了）

神器：https://github.com/robertdavidgraham/masscan

御剑1.5：https://download.csdn.net/download/peng119925/10722958

C端查询：IIS PUT Scanner（扫描速度快，自定义端口，有banner信息）

四 端口测试

对网站域名对应的真实IP地址进行端口测试，很多有防护不能大批量扫描和漏洞测试，但是放在云上的网站如果cdn找到真实网站即可大批量扫描。

常见工具就是nmap(功能强大)、masscan、zmap和御剑tcp端口高速扫描工具(较快)，还有一些在线的端口扫描。http://coolaf.com/tool/port、https://tool.lu/portscan/index.html  

参考大神的思路：我们可以在收集子域对应的的ip后整理到txt中，然后nmap批量端口扫描、服务爆破和漏洞扫描，前提是不被封禁IP，可采用代理池。

nmap -iL ip.txt --script=auth,vuln > finalscan.txt 扫描导出常见端口和漏洞。

常见端口说明和攻击方向根据web攻防这本书整理到个人博客：https://blog.csdn.net/qq_32434307/article/details/107248881

五 网站信息收集

网站信息信息收集主要是：操作系统，中间件，脚本语言，数据库，服务器，web容器、waf、cdn、cms、历史漏洞、dns区域传送等，可以使用以下方法查询。

常见指纹工具：御剑web指纹识别、轻量级web指纹识别、whatweb等

（1）常见网站信息识别网站：

潮汐指纹：http://finger.tidesec.net/（推荐）

云悉(现在需要邀请码)：http://www.yunsee.cn/info.html

CMS指纹识别：http://whatweb.bugscaner.com/look/

第三方历史漏洞库：乌云、seebug、CNVD等