信息收集 初步总结

1.敏感信息收集

1. 1Web源代码泄露

通过工具暴破相关Web源代码泄露，流程如下：

一般粗心运维人员会把web源代码，直接备份在当前网站的根目录下，比如php网站的，备份在WWW目录

在windows系统服务器上一般备份为zip或者rar，7z等，我们就可以利用扫描器，扫描是否存在网站源码，如果存

在，可以将源代码下下来，去做代码审计寻找其中的漏洞，或者直接从源码的配置文件中获取数据库账号和密码

扫描工具：7Kb和破壳

[示例]

https://sec.xiaomi.com/article/37 全自动监控 github

信息泄露收集可能会用到如下地址：
网盘搜索：http://www.pansou.com/或https://www.lingfengyun.com/ 网盘密码破解可参考：https://www.52pojie.cn/thread-763130-1-1.html
社工信息泄露：https://www.instantcheckmate.com/、http://www.uneihan.com/
源码搜索：https://searchcode.com/、https://gitee.com/、gitcafe.com、code.csdn.net
钟馗之眼： https://www.zoomeye.org/
天眼查 https://www.tianyancha.com/
其它：威胁情报：微步在线、 ti.360.cn、 Virustotal

拓展：钟馗之眼 ZoomEye hack

ZoomEye 支持公网设备指纹检索和 Web指纹检索的网站，指纹检索包括应用名称、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统和数据库等。
设备指纹包括应用名、版本、开放端口、操作系统、服务名、地理位置等。

• 主机设备搜索组件名称
app: 组件名
ver: 组件版本

例1：搜索使用iis6.0主机：app:“Microsoft-IIS” ver"6.0"，可以看到0.321秒搜索到70,585,155左右的使用 iis6.0 的主机。
例2：搜索使weblogic主机：app:“weblogic httpd” port:7001，可以看到0.078秒搜索到42万左右的使用weblogic的主机。
例3：查询开放3389端口的主机：port:3389

例4：查询操作系统为Linux系统的服务器，os:linux
例5：查询公网摄像头：service:”routersetup”
例6：搜索美国的 Apache 服务器：app:Apache country:US 后面还可以接city: 城市名称
例7：搜索指定ip信息，ip:121.42.173.26
例8：查询有关taobao.com域名的信息，site:taobao.com
例9：搜索标题中包含该字符的网站，title:weblogic
例10：keywords:Nginx

扩展: fofa hack

domain=""||ip=""||host=""||title=""||header=""
protocol=“https”，搜索指定协议类型
app="phpinfo"搜索某些组件相关系统
host="oldboyedu.com/"搜索包含有特定字符的URL
title=“powered by” && os==windows搜索网页标题中包含有特定字符并且系统是windows的网页
详细请看官方详细文档; https://fofa.so/help

https://github.com/Threezh1/JSFinder

1.2 Git导致文件泄露

由于目前的 web 项目的开发采用前后端完全分离的架构：前端全部使用静态文件，和后端代码完全分离，隶属两

个不同的项目。动态文件使用 git 来进行同步发布到服务器，然后使用nginx 指向到指定目录，以达到被公网访问

的目的。在运行git init初始化代码库的时候，会在当前目录下面产生一个.git的隐藏文件，用来记录代码的变更记

录等。在发布代码的时候，没有把.git这个目录删除，直接发布了。使用这个文件，可以用来恢复源代码

GitHack下载地址 : https://github.com/lijiejie/GitHack

1.3 DS_store导致文件泄露

.DS_Store是Mac下Finder用来保存如何展示文件/文件夹的数据文件，每个文件夹下对应一个。由于开发/设计人

员在发布代码时未删除文件夹中隐藏的.DS_store，可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。

我们可以模仿一个环境，利用phpstudy搭建PHP环境，把.DS_store文件上传到相关目录。

然后利用工具进行相关检测

工具下载地址：https://github.com/lijiejie/ds_store_exp

为了让实验更真实，我们在本地搭建环境，然后建立一个文件夹为admin和一个hello文件夹，利用该工具运行完

以后，查看工具文件夹查看有什么结果。

img 环境搭建成功

我们利用工具进行测试，运行完如上图，运行完以后我们可以到工具目录进行查看

这是一个.DS_Store文件泄漏利用脚本，它解析.DS_Store文件并递归地下载文件到本地。

1.4 SVN导致文件泄露

Subversion，简称SVN，是一个开放源代码的版本控制系统，相对于的RCS、CVS，采用了分支管理系统，它的

设计目标就是取代CVS。互联网上越来越多的控制服务从CVS转移到Subversion。

Subversion使用服务端—客户端的结构，当然服务端与客户端可以都运行在同一台服务器上。在服务端是存放着

所有受控制数据的Subversion仓库，另一端是Subversion的客户端程序，管理着受控数据的一部分在本地的映射

（称为“工作副本”）。在这两端之间，是通过各种仓库存取层（Repository Access，简称RA）的多条通道进

行访问的。这些通道中，可以通过不同的网络协议，例如HTTP、SSH等，或本地文件的方式来对仓库进行操作。

SVN漏洞在实际渗透测试过程中，利用到也比较多，由于一些开发管理员疏忽造成，原理类似DS_Store漏洞。我

们这里不再进行搭建环境，给大家推荐工具，利用方法如下：

漏洞利用工具： Seay SVN漏洞利用工具 下载地址：https://pan.baidu.com/s/1jGA98jG
添加网站url
在被利用的网址后面加 /.svn/entries，列出网站目录，甚至下载整站

现在用SVN的都比较少了，以前用的比较多

1.5 WEB-INF/web.xml泄露

WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件，必须通过web.xml文件对要访问

的文件进行相应映射才能访问。

WEB-INF主要包含以下文件或目录：

/WEB-INF/web.xml：Web应用程序配置文件，描述了 servlet 和其他的应用组件配置及命名规则。

/WEB-INF/classes/：含了站点所有用的class文件，包括servlet,class和非servlet,class他们不能包含在 .jar文件中

/WEB-INF/lib/：存放web应用需要的各种jar文件，放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件

/WEB-INF/src/：源码目录，按照包名结构放置各个java文件。

/WEB-INF/database.properties：数据库配置文件
原因：

通常一些web应用我们会使用多个web服务器搭配使用，解决其中的一个web服务器的性能缺陷以及做均衡负载的

优点和完成一些分层结构的安全策略等。在使用这种架构的时候，由于对静态资源的目录或文件的映射配置不当，

可能会引发一些的安全问题，导致web.xml等文件能够被读取

2. github信息泄露

github敏感信息泄露一直是企业信息泄露和知识产权泄露的重灾区，安全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中，github也是黑、白帽子、安全工程师的必争之地，地址：https://sec.xiaomi.com/article/37
通过github搜索目标的敏感信息，比如邮箱，手机号，qq群备注或介绍等，甚至混入企业qq工作群等

3. 邮箱信息收集

当我们收集几个邮箱之后，便会大致猜出对方邮箱的命名规律。除了员工的邮箱之外，通过公司会有一些共有的邮箱，比如人力的邮箱、客服的邮箱，hr@xxx.com/kefu@xxx.com，这种邮箱有时会存在弱口令，在渗透时可额外留意一下。我们可以通过手工或者工具的方式来确定搜集邮箱：
(1) 手工的方式：

• 1.可以到百度等搜索引擎上搜索邮箱信息
• 2.github等第三方托管平台
• 3.社工库

(2) 工具方式：
在邮箱收集领域不得不提一个经典的工具，The Harvester,The Harvester可用于搜索Google、Bing和PGP服务器的电子邮件、主机以及子域名,因此需要翻墙运行该工具。工具下载地址为：https://github.com/laramies/theHarvester
• 注：python -m pip install -r requirements.txt 导入相关配置，python3.6版本
使用方式很简单：
• 注：python -m pip install -r requirements.txt 导入相关配置，python3.6版本
使用方式很简单：

./theHarvester.py -d 域名 -1 1000 -b all

4. 历史漏洞收集

仔细分析，大胆验证，发散思维，对企业的运维、开发习惯了解绝对是有很大的帮助。可以把漏洞保存下来，进行统计，甚至炫一点可以做成词云展示给自己看，看着看着或者就知道会有什么漏洞。

wooyun 历史漏洞库：http://www.anquan.us/ 、http://wooyun.2xss.cc/
漏洞银行：https://www.bugbank.cn/
360补天：https://www.butian.net/
教育行业漏洞报告平台（Beta）https://src.edu-info.edu.cn/login/

5. 工具信息收集

如：7kbscan、破壳Web极速扫描器等

信息整理

1. 指纹识别

在这个过程中，可以加入端口扫描、敏感文件扫描之类的操作，工具可自由选择，如：

御剑WEB指纹识别系统、whatweb、Wapplyzer等工具。

http://whatweb.bugscaner.com/look/
http://www.yunsee.cn/finger.html

[在线识别]
网址 : https://www.yunsee.cn/

[工具识别]
谷歌浏览器插件：wappalyzer

御剑web指纹识别系统



可以加字典
通过将收集的所有域名和ip，进行指纹识别，识别之后去相应的网站需要漏洞

知道创宇Seebug漏洞平台： https://www.seebug.org/

2. Waf识别（wafw00f）

Web应用防护系统，也称：网站应用级入侵防御系统。

github.com/EnableSecurity/wafw00f
到https://github.com/EnableSecurity/wafw00f
下载下来之后记得在本机安装好py,在kali打开，先找到文件目录路劲，复制到cmd

用py执行python3 setup.py install 执行完后cd进行
以下命令以图例演示：



根据命令可以得出该网站利用云锁进行保护

2.3 CDN识别

直接ping

• 在线ping: https://ping.chinaz.com/
  
  
• 响应IP不一样时，说明他使用CDN

没有使用CDN时，则它们的IP地址都是一样的

判断有没有CDN的方法有两种：
1.本地ping
2.在线ping，看ping IP地址是否一样

https://raw.githubusercontent.com/3xp10it/mytools/master/xcdn.py
1.通过ping一个不存在的二级域名获取真实ip或没有挂cdn的域名
2.通过fofa语法title标签获取真实ip
3.DNS历史记录
4.在线网站查找
https://sitereport.netcraft.com/?url=www.oldboyedu.com
5.phpinfo
如果目标网站存在phpinfo泄露等，可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真实ip

当存在CDN的时候我们可以通过fofa语法title标签获取真实ip

还可以通过DNS历史查询，以及在线网站查找https://sitereport.netcraft.com/

如果目标网站存在phpinfo泄露，可以在phpinfo中的SERVER_ADDR或者SERVER_NAME查看ip

2.4 旁注与C段

站长之家http://stool.chinaz.com/same
网络空间搜索引擎 www.fofa.so

Nmap,Msscan扫描C段
nmap -p 80,443,8000,8080 -Pn 39.97.3.0/24
nmap -sn 简单ping扫描探测主机是否在线
nmap -sS -sU 采用TCP与UDP端口扫描

Nmap的使用

Nmap是一个网络连接端口扫描软件，用来扫描网上电脑开放的网络连接端口。确定哪些服务运行在哪些连接端

口，并且推断计算机运行哪个操作系统。它是网络管理员必用的软件之一，以及用以评估网络系统安全。

namp也支持漏洞探测，只不过比较弱，通常都是用专业扫漏洞的工具扫描漏洞

[主机发现原理]

主机发现的原理与Ping命令类似，发送探测包到目标主机，如果收到回复，那么说明目标主机是开启的。Nmap

支持十多种不同的主机探测方式，比如发送ICMP ECHO/TIMESTAMP/NETMASK报文、发送TCPSYN/ACK包、

发送SCTP INIT/COOKIE-ECHO包，用户可以在不同的条件下灵活选用不同的方式来探测目标机

-sn: 只进行主机发现，不进行端口扫描

nmap -sn 192.168.18.100-254
┌──(oldboy㉿kali)-[~]
└─$ nmap -sn 192.168.18.100-254                                                   
Starting Nmap 7.91 ( https://nmap.org ) at 2020-12-16 19:56 CST
Nmap scan report for 192.168.18.116
Host is up (0.015s latency).
Nmap scan report for 192.168.18.124
Host is up (0.016s latency).
Nmap scan report for 192.168.18.152
Host is up (0.0041s latency).
Nmap scan report for 192.168.18.204

[端口扫描]

默认Nmap会扫描1000个最有可能开放的TCP端口

参数-sS表示使用TCP SYN方式扫描TCP端口；-sU表示扫描UDP端口；-T4表示时间级别配置4级

nmap -sS -sU -T4 192.168.18.1
┌──(root💀kali)-[~]
└─# nmap -sS -sU -T4 192.168.18.1 130 ⨯
Starting Nmap 7.91 ( https://nmap.org ) at 2020-12-16 20:25 CST
Nmap scan report for 192.168.18.1
Host is up (0.016s latency).
Not shown: 1000 open|filtered ports, 998 filtered ports
PORT STATE SERVICE
25/tcp open smtp
110/tcp open pop3

Nmap done: 1 IP address (1 host up) scanned in 77.91 seconds

端口的状态 :

open：端口是开放的。

closed：端口是关闭的。

filtered：端口被防火墙IDS/IPS屏蔽，无法确定其状态。

unfiltered：端口没有被屏蔽，但是否开放需要进一步确定。

open|filtered：端口是开放的或被屏蔽。

closed|filtered ：端口是关闭的或被屏蔽。

[版本探测]
-sV: 指定让Nmap进行版本侦测

nmap -sV 192.168.18.204
┌──(root💀kali)-[~]
└─# nmap -sV 192.168.18.204 130 ⨯
Starting Nmap 7.91 ( https://nmap.org ) at 2020-12-16 20:45 CST
Nmap scan report for 192.168.18.204
Host is up (0.0011s latency).
Not shown: 994 filtered ports
PORT STATE SERVICE VERSION
135/tcp open msrpc Microsoft Windows RPC
139/tcp open netbios-ssn Microsoft Windows netbios-ssn
443/tcp open ssl/https VMware Workstation SOAP API 16.1.0
445/tcp open microsoft-ds?
902/tcp open ssl/vmware-auth VMware Authentication Daemon 1.10 (Uses VNC, SOAP)
912/tcp open vmware-auth VMware Authentication Daemon 1.0 (Uses VNC, SOAP)
Service Info: OS: Windows; CPE: cpe:/o:microsoft:windows, cpe:/o:vmware:Workstation:16.1.0

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 197.10 seconds

[os侦测]
-O 指定Nmap进行OS侦测,探测系统类型版本号

nmap -O 192.168.18.211
┌──(root💀kali)-[~]
└─# nmap -O 192.168.18.211 130 ⨯
Starting Nmap 7.91 ( https://nmap.org ) at 2020-12-16 21:11 CST
Nmap scan report for 192.168.18.211
Host is up (0.0015s latency).
Not shown: 995 filtered ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
443/tcp open https
902/tcp open iss-realsecure
5357/tcp open wsdapi
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: WAP|phone
Running: Linux 2.4.X|2.6.X, Sony Ericsson embedded
OS CPE: cpe:/o:linux:linux_kernel:2.4.20 cpe:/o:linux:linux_kernel:2.6.22 cpe:/h:sonyericsson:u8i_vivaz
OS details: Tomato 1.28 (Linux 2.4.20), Tomato firmware (Linux 2.6.22), Sony Ericsson U8i Vivaz mobile phone

OS detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 7.98 seconds
[绕过ping]

nmap -Pn 192.168.18.1-100
┌──(root💀kali)-[~]
└─# nmap -Pn 10.0.0.1-201
Host discovery disabled (-Pn). All addresses will be marked ‘up’ and scan times will be slower.
Starting Nmap 7.91 ( https://nmap.org ) at 2020-12-16 21:18 CST
Nmap scan report for 10.0.0.1
Host is up (0.0010s latency).
Not shown: 993 closed ports
PORT STATE SERVICE
135/tcp open msrpc
139/tcp open netbios-ssn
443/tcp open https
902/tcp open iss-realsecure
912/tcp open apex-mesh
5357/tcp open wsdapi
15000/tcp open hydap
MAC Address: 00:50:56:C0:00:08 (VMware)

Nmap scan report for kali (10.0.0.8)
Host is up (0.0000080s latency).
All 1000 scanned ports on kali (10.0.0.8) are closed

Nmap done: 201 IP addresses (2 hosts up) scanned in 9.06 seconds

[漏洞扫描]
nmap 10.0.0.200 --script=auth,vuln
┌──(root💀kali)-[~]
└─# nmap 10.0.0.200 --script=auth,vuln 1 ⨯
Starting Nmap 7.91 ( https://nmap.org ) at 2020-12-16 21:25 CST
Stats: 0:02:31 elapsed; 0 hosts completed (1 up), 1 undergoing Script Scan
NSE Timing: About 94.19% done; ETC: 21:28 (0:00:00 remaining)
Nmap scan report for 10.0.0.200
Host is up (0.0011s latency).
Not shown: 987 closed ports
PORT STATE SERVICE
80/tcp open http
|http-csrf: Couldn’t find any CSRF vulnerabilities.
|http-dombased-xss: Couldn’t find any DOM based XSS.
| http-enum:
| /reportserver/: Microsoft SQL Report Service (401 Unauthorized)
| /reports/: Potentially interesting folder (401 Unauthorized)
|http-stored-xss: Couldn’t find any stored XSS vulnerabilities.
81/tcp open hosts2-ns
82/tcp open xfer
83/tcp open mit-ml-dev
85/tcp open mit-ml-dev
135/tcp open msrpc
139/tcp open netbios-ssn
445/tcp open microsoft-ds
1025/tcp open NFS-or-IIS
1433/tcp open ms-sql-s
| ms-sql-dump-hashes:
| [10.0.0.200:1433]
| ERROR: No login credentials
| ms-sql-hasdbaccess:
| [10.0.0.200:1433]
| ERROR: No login credentials.
| ssl-poodle:
| VULNERABLE:
| SSL POODLE information leak
| State: VULNERABLE
| IDs: CVE:CVE-2014-3566 BID:70574
| The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other
| products, uses nondeterministic CBC padding, which makes it easier
| for man-in-the-middle attackers to obtain cleartext data via a
| padding-oracle attack, aka the “POODLE” issue.
| Disclosure date: 2014-10-14
| Check results:
| TLS_RSA_WITH_3DES_EDE_CBC_SHA
| References:
| https://www.imperialviolet.org/2014/10/14/poodle.html
| https://www.securityfocus.com/bid/70574
| https://www.openssl.org/~bodo/ssl-poodle.pdf
|_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566
|_sslv2-drown:
|_tls-ticketbleed: ERROR: Script execution failed (use -d to debug)
2383/tcp open ms-olap4
3306/tcp open mysql
|_mysql-empty-password: Host ‘10.0.0.8’ is not allowed to connect to this MySQL server
|_mysql-vuln-cve2012-2122: ERROR: Script execution failed (use -d to debug)
|_sslv2-drown:
8090/tcp open opsmessaging
MAC Address: 00:0C:29:60:23:AC (VMware)
平常学习网站

seebug,cnvd,freebuf,吾爱破解(逆向破解),微信公众号,看雪论坛,csdn
漏洞提交网站

补天,cnnvd(国家信息安全漏洞库),cnvd(国家信息安全漏洞共享平台)
教育漏洞平台,漏洞银行,漏洞盒子众测平台

–sV 指定版本探测

-O 探测系统类型版本号

绕过ping扫描参数为：nmap -Pn XXX.XXX.XXX.XXX

漏洞检测可直接nmap 目标 --script=auth,vuln

3 资产梳理

   有了庞大的域名，接下来就是帮助SRC梳理资产了。域名可以先判断存活，活着的继续进行确定IP环节。根据IP的分布，确定企业的公网网段。这其实是一项不小的工程，精准度比较难以拿捏。不过通过不断实战，肯定可以琢磨出一些东西，所以有人称白帽子可能会比企业的运维更了解资产信息。资产梳理过程中可能需要对相关资产漏洞进行查询、利用、发布等，可能会用到已下相关链接地址：

SRC众测平台
国际漏洞提交平台 https://www.hackerone.com/
BugX区块链漏洞平台 http://www.bugx.org/
Gsrc瓜子src https://security.guazi.com/
区块链安全响应中心 https://dvpnet.io/
CNVD国家信息安全漏洞平台 http://www.cnvd.org.cn/
漏洞银行：https://www.bugbank.cn/
360补天：https://www.butian.net/
教育行业漏洞报告平台（Beta）https://src.edu-info.edu.cn/login/

国内平台
知道创宇Seebug漏洞平台 https://www.seebug.org/
工控系统行业漏洞平台 http://ivd.winicssec.com/
打造中文最大exploit库 http://www.expku.com/
为数不多的漏洞管理插件收集平台 http://www.bugscan.net/source/template/vulns/
一家管理漏洞收集的平台 http://www.0daybank.org/

国外平台
国际漏洞提交平台 https://www.hackerone.com/
xss poc http://xssor.io/
oday漏洞库 https://www.0day.today/
路由器漏洞库 http://routerpwn.com/
cve漏洞平台 http://cve.mitre.org/

威胁情报
安全数据交流平台 https://www.secsilo.com/
华为安全情报 https://isecurity.huawei.com/sec/web/intelligencePortal.do
威胁情报共享平台 https://www.threatcrowd.org/
被黑站点统计 http://www.hacked.com.cn/

社工库
微信伪造 http://www.jietuyun.com/
任意邮箱发送 http://tool.chacuo.net/mailanonymous和https://emkei.cz/
临时邮箱 http://www.yopmail.com/
邮箱池群 http://veryvp.com/
社工库 http://www.uneihan.com/