【网络安全】实战渗透中的信息收集

最新推荐文章于 2025-12-12 14:04:07 发布
原创 最新推荐文章于 2025-12-12 14:04:07 发布 · 318 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #web安全 #sql #算法 #数据库

目标单位信息收集

本单位

  • 单位全名、简称、别名

  • 挂牌单位(多见政府机构)

子单位

  • 下属单位范围

    • 直接下属单位

      • 多见于官方上下级单位(如省厅级、市局级单位),较大可能存在内网联通或特殊内网(政务网、教育网、GA网、环境网)

    • 投资单位

      • 即全资控股或大于50控股单位,可能存在内网联通

        • 注意区分业务拆分子单位和营收投资子单位,后者内网联通可能性较小

        • 部分拆分粒度较小的子单位网络可能直接由上级单位运维,如某化工企业与其旗下的某煤矿子单位

    • 业务包含单位

      • 多见于官方单位的独立组织机构,如某省国防科工局和该省核工业地质调查队,较大可能本身处于同一内网

  • 获取途径

供应链单位

  • 范围

    • 开发商、外包商、运维商、硬件提供商

  • 获取途径

    • 官网-供应商关键词
    • 对官网等特定系统通过首页或目录扫描的备份文件或模板页面源代码中查找供应商
    • 关键词
    • 搜索引擎搜索特定系统名称-招标公告-应标单位
  • 攻击方式
    • 供应商示例系统的默认账号
    • 供应商示例系统或该系统的其他使用单位进行漏洞尝试
      • 如目标系统不开放注册但示例和其他公网系统开放注册功能,即可从前台转为后台进行黑盒测试
    • 通过各种途径获取源码后进行代码审计
    • 收集客服信息(人员信息、安全意识、浏览器版本、office版本)、IT管理员信息进行钓鱼

组织机构&职能分工

  • 目标单位的组织机构
    • 官网-组织机构
    • 官网-领导简介-领导分工
    • 官网-关于我们-年报
    • 官网-企业社会责任报告
  • 目标单位的职能关键词
    • 官网组织架构
    • 官网-领导简介-领导分工&管理职责
    • 新闻关键词(行业属性)
  • 目标单位的人员信息(特别是领导和IT管理员、运维人员)
    • 员工的姓名、生日、邮箱、手机号、部门名称、常用密码等身份信息
    • 员工工号规则
    • 新员工公告、登录入口、默认密码

互联网检索结果

  • 检索内容
    • 单位网络信息
      • OA/erp/crm/sso/mail/vpn等边界入口
      • 网络和安全设备(waf,ips,ids,router等统计)
      • 内部使用的代码托管平台(gitlab、daocloud等),bug管理平台
      • 服务器域名资产统计
      • 人员统计、人员职责、部门
      • WiFi、常用部门密码、人员是否泄露过密码
      • 人员平时常用的站点
    • 通过官网或其他途径获取的关键词、特定系统、备案号、传真和客服电话等灵活延伸搜索
    • 目标单位的关于我们的关键词
    • 招聘、招标新闻
  • 搜索途径
  • Wiki
  • 常用社交平台搜索
    • 贴吧、微信搜索、脉脉、知乎等

目标敏感文件泄露收集

官网公示与公告

官网公示的表格等文档,如学生获奖名单、教师职称申报结果

网盘

收集范围:凌风云、百度网盘、阿里云盘、坚果云、蓝奏云、奶牛快传等网盘或快传工具的分享链接

收集内容:员工信息文件(工号学号等)、企业信息(网络拓扑、边界资产等)、其他敏感信息

网盘分享在线搜索

文库文档

百度文库:https://wenku.baidu.com/search?word=

(https://wenku.baidu.com/search?word=)

搜文库:https://www.souwenku.com/search.html

(https://www.souwenku.com/search.html)

360文库搜索:360文库搜索 - (360文库搜索 -)

代码泄露

  • 代码托管平台
    • github
      • "xxx.edu.cn"
      • "username/password/vpn/secretkey/accesskey"
      • sangfor extension:properties
      • 网站报错时泄露的包名,如:com.foresee.kfpt 等
  • gitee
    • "xxx.com" username/password/vpn/secretkey/accesskey
  • 自建gitlab、gitblit
    • 搜索引擎查找自建gitlab/gitblit语法: site:xxx.com gitlab/gitblit
    • gitlab未授权访问所有项目列表:/explore/
  • 目录扫描结果
    • 网站代码托管文件泄露
      • .git
      • .svn
      • .hg
      • .CVS
      • .bzr
    • 网站备份
    • 系统或编程软件的项目配置文件
      • .DS_Store
      • .idea
      • .vscode
      • .swp

软件群或论坛泄露

QQ群、微信群、企业微信群、钉钉群、飞书群群文件

贴吧、豆瓣等论坛发送的文件分享

目标资产收集

根据靶标信息收集

定位方法

对于给出靶标系统名称的情况,定位靶标的关键在于信息收集。应尽量获取和靶标相关的文档和信息,以期望能对靶标系统有一定的了解。例如靶标所处的网络区域、靶标的架构(B/S或C/S)、靶标的IP/URL、靶标的运维部门、靶标的面向对象等。

如果已经获取到靶标的IP/URL,则关键在于突破隔离,隔离的实现方式主要是基于网络设备、防火墙、VPN、网闸等。

互联网收集信息

针对互联网,主要从搜索引擎、云盘/文档、代码库、供应链等入手。

搜索引擎

搜索引擎是从互联网了解靶标信息的基础方法,可以从侧面获取靶标信息,关注点包括招投标信息、标准规范、新闻资讯、文档资料 等,以便进一步了解靶标功能、系统部署、网络区域情况。

云盘/文档

尝试从互联网网盘或公开文档中,获取靶标相关的手册、部署方式,进而更熟悉靶标情况。

代码库

Github 及码云上的项目代码,也可以尝试关联,看是否有泄露靶标相关的项目信息。

内网收集信息

针对内网,主要从邮箱/wiki/OA/FTP、代码库、关键人员 PC、运维平台、集权设备、Web Title 等入手。

邮箱/Wiki/OA/FTP

邮箱、Wiki、OA、FTP 中,往往记录了目标的关键信息,通常会 有内部应用系统的默认账号密码和员工个人的 VPN 相关密码,甚至 包含靶标在内的重要系统信息。以邮箱、Wiki、OA、FTP 作为突破口,有时会有奇效,能够直接获得靶标地址、账号,因此内网定位靶标时优先级最高。

关键人员PC

关键人员的定义,包含运维人员、可访问靶标系统的人员,从企 业通讯录、企业部门架构中,可以初步断定相关人员。在这些关键人员的PC中,需要重点关注XShell、Secure CRT、Final She11 等SSH 登录软件、TeamViewer 和向日葵等远控软件、浏览器记录、RDP 登录记录、通讯软件、办公软件、内部相关文件、密码表等等。

运维平台

运维平台,包括 Zabbix、Grafana、ITSM、Kibana 等等,这些运维相关的系统,也能够看到重要系统的运行状态、日志信息、网络流量、访问情况等等,通过运维平台,也能够找到靶标系统的地址。

集权设备

集权设备,相较于运维平台而言,找到靶标地址的同时,能够直接控制靶标系统服务器。常见的集权设备,包括VCenter、360天擎、堡垒机、域控、EDR管控平台等等。

根据官网信息收集

  • 官网网站宣传内容
  • 官网可跳转的系统
  • 大型公司需要收集子公司官网
    • 例如中海油、华为这种规模的公司
  • 国外不同域名的国外官网涉及系统

根据目标单位收集

企业信息查询知识产权备案

爱企查、天眼查、企查查的知识产权

  • 网站备案
  • 软件著作权信息(web系统名称用于关键字搜索)
  • 商标信息(用于ICON搜索)
  • 【企查查】APP
  • 【企查查】小程序
  • 【企查查】微信公众号
  • 【天眼查免登录】供应商查询
  • 【天眼查登录】历史网站备案

小蓝本的APP、新媒体、网站、商标

APP

分析脱壳
绕过限制抓包

公众号和小程序查询

微信内部搜索

搜狗微信搜索

企查查的知识产权模块

小蓝本

小程序的更多信息

客户端

  • 目标单位业务类客户端
    • 工控软件
  • 第三方客户端
    • VPN/零信任组件
    • OA、财务系统
      • 注意区分是否为内嵌浏览器的B/S架构变体
    • 视频会议、会议系统

历史漏洞

收集内容历史存在的旧漏洞

漏洞描述中泄露的旧资产名称和ip

工具

漏洞库

根据常见边界系统收集

  • 邮箱
  • VPN
  • OA
  • SSO
  • Wiki
  • Cloud
  • 代码托管平台
    • 公共代码托管平台:github、gitee
    • 自建代码托管平台:gitlab、gitblit
    • 除代码托管平台本身漏洞以外,根据其可访问仓库内泄露的IP、配置信息等也可进一步收集目标资产
  • 网络或安全设备
    • 厂商
    • 弱口令
    • 已知漏洞
  • 内部办公移动终端
  • 内部APP

根据网络空间搜索引擎收集

注意筛选云主机和第三方开发、托管厂商,但是不排除部分目标存在云内网(政府单位应上尽上政务云)

FOFA

https://fofa.so

https://fofa.info

优点

  • VIP账号获取难度较低,导出等VIP操作较为方便
  • GUI工具较多和完善

缺点

  • 整改后,可获取官方资产大大减少
  • 敏感查询可能导致账号封禁

常用语法

title="目标中文名" && country=CN
title="目标中文名" && region="xx省"
title="目标中文名" && city="xx市"
header="目标中文名" && country=CN
header="目标中文名" && region="xx省"
header="目标中文名" && city="xx市"
domain="目标域名"
host=".gov.cn"
cert="目标域名和域名关键字" && country=CN
cert="目标域名和域名关键字" && region="xx省"
cert="目标域名和域名关键字" && city="xx市"
"目标中文名或目标域名"
title="目标名称" && region="xx省"
title="目标名称" && city="xx市"
cert="目标域名或者证书关键字" && region="xx省"
cert="目标域名或者证书关键字" && city="xx市"
((title="目标名称" || host="目标域名") && country="CN") &&
region!="HK"
Hunter

https://hunter.qianxin.com

优点

  • 目前来看国内目标资产收集最多的网络空间搜索引擎

缺点

  • 搜索结果中无效信息较多,需要严格搜索条件
  • 导出同样占用积分
  • 普通账户每天500积分
Censys

https://search.censys.io/

优点

  • 对官方资产没有刻意隐藏,搜索结果较全
  • 账号限定每月250次搜索(页)任意查看,注册条件较为宽泛
  • 简单搜索语法下,结果准确度优于Hunter,广告类、SEO类结果基本没有

缺点

  • 国外工具,部分网络下需要科学上网
  • 搜索语法中出现重复使用某条件时面向IP进行筛选而非Web服务
  • 搜索结果模糊,无法确定到端口
  • 部分资产查询结果时效性不足
  • 单纯使用web端对结果的阅览较为困难
Quake

360网络空间测绘 — 因为看见,所以安全

缺点

搜索结果需要实名认证才能查看到具体的IP

Shadon

https://www.shodan.io

根据图标搜索:http.favicon.hash:12345664646456646456479

ZoomEye

https://www.zoomeye.org

Soall

https://soall.org/login

Sumap

sumap-全球网络空间超级雷达

内部平台,仅供内部和客户使用

根据偏门资产收集

  • 无特征资产,即title、body、icon没有明显的目标单位特征可供网络空间搜索引擎检索。
    • 通过C段web服务的批量扫描,结合行业特征进行确认
    • 通过C段非web服务的批量扫描,结合该IP的其他端口特征(web banner、SMB域或机器名)确认
  • 大型企业尤其是未公开的app,例如内部oa软件、内部销管软件等内部使用而不是互联网公开使用的,仍可能存在低版本fastjson、shiro等漏洞。

根据Web信息发散收集范围

  • 源头信息:其他资产收集成果
  • Web发散途径
    • 域名、子域名
    • ip、端口、Bypass CDN、定位和威胁情报
    • C段、旁站
    • web信息
      • 可收集角度
      • Banner识别和进一步利用
      • 敏感目录
      • 前端敏感信息
        • 网站icon
        • SSL证书
        • 前端源码注释
        • URL和域名收集
        • 手动搜索JS文件中包含的敏感信息(IP、API、URL、secretKey)
      • 安全设备和网络架构
      • 请求request和响应response的header和body
域名信息
子域名信息收集
网络空间搜索引擎
  • org语法
  • doamin语法
  • cert语法
    • 多用于金融行业或大型单位
  • IPC语法(网站备案)
搜索引擎

google (用-来排除已知域名,循环排除来收集新的子域名)

  • site:xxx.com
  • site:xxx.com -www
  • site:xxx.com -www -abc
  • site:xxx.com -www -abc -def
工具批量

一般思路为工具批量收集子域名,进行探活后进行二轮URL信息收集

在线查询(暴破)

常用工具

IP信息
端口

nmap 速度较慢

nmap -sS -v -sV -p 1-65535 IP # ping目标有回复时

nmap -sS -v -sV -p 1-65535 -Pn IP # 免ping扫描

gorailgun 并发较高时准确度下降较多

Goby 速度较慢,扫描结果详细且存在POC验证,不建议广泛扫描全端口

Bypass CDN
  • 查询子域名或主域名:
  • 邮件服务器
  • 查看域名历史解析记录
  • 国外访问或多地访问
  • Nslookup查询
  • 网站内容(源码、js、配置文件、phpinfo、APP)或漏洞
  • GITHUB、SVN等源代码泄露是否包含源站IP
  • 网络空间搜索引擎查询,如查询相同站点或查找SSL证书
  • 利用业务使服务器外连
  • 多地ping、国外Ping、Ping根域名

  • https://dnsdb.io/zh-cn/ 查询dns

  • 通过virustotal微步在线等威胁分析平台或者dnsdb等DNS记录查询平台,找到历史解析纪录。

IP定位

openGPS位置服务

IPUU - IP地址查询|我的IP地址

[121.36.42.44]ip地址查询,河北省保定市-中移铁通[121.36.42.44] IP地址定位

IP Geolocation Tools for Effective Geo Targeting | GeoPlugin

威胁情报

微步:https://x.threatbook.cn

360:360安全大脑

qianxin:奇安信威胁情报中心

C段
旁站
Web信息
可收集范围
  • title & url
  • 网站页面内容
    • header
      • 链接的OA、邮箱、后台管理
    • body
      • 可跳转的相关业务系统
      • 栏目和文章内容
      • 搜索功能
      • 登录、注册功能
      • 评论、建议或客服处的富文本编辑和文件上传模块
    • footer
      • 单位关键词
      • 链接的友链网站或系统
      • 备案和版权copyright©信息
      • 后台管理
    • error
      • debug报错页面信息泄露
      • 中间件特征报错页面
    • 前端资源
      • 前端源码: view-source:
      • 网站Icon
        • fofa语法: icon_hash="-1231872293"
      • JS文件中包含的敏感信息(IP、API、URL、secretKey)
    • 历史页面
  • Https的SSL证书
  • 根目录或业务特定目录下敏感目录
  • 请求request和响应response的header和body
  • 安全设备和网络架构
    • Waf&CDN
    • 蜜罐
    • 运维设备
    • 网络设备
    • 网络拓扑图
    • 项目文档、业务系统说明
Banner识别
目录扫描
扫描工具
常见敏感目录
  • 中间件或框架特征文件
  • robots.txt和crossdomain.xml
  • web服务配置文件
  • 备份文件
  • 代码泄露
    • .svn
    • .git
    • .hg
    • CVS
    • .bzr
    • sql文件
  • 系统或软件配置文件
  • .DS_Store
  • .idea
  • .vscode
  • .swp
  • 业务页面
    • API接口
    • 管理登录
    • 服务监控页面初始化与Install页面
    • 模板页面
web敏感信息
网站Icon

fofa语法: icon_hash="-1231872293"

SSL证书

证书详情

  • 使用者:CN(证书通用名称)、O(组织名)、OU(组织部门名)、L(地区)、S(省)、C(国家)
  • 使用者可选名称
  • 颁发者
  • 使用周期(生效日期和失效日期)
  • 序列化(合法机构颁发的一一对应,自颁发证书可伪造)
  • 签名算法和签名哈希算法

sslscan探测服务端支持的算法和漏洞:https://github.com/rbsec/sslscan

(https://github.com/rbsec/sslscan)

前端源码注释

view-source:

URL和域名收集

URL在线提取:URL Extractor - Free Online URL Extractor Tool

JSFinder:https://github.com/Threezh1/JSFinder

LinkFinder:https://github.com/GerbenJavado/LinkFinder

webpack类前端扫描Packer-Fuzzer:https://github.com/rtcatc/Packer-Fuzzer

JS文件敏感信息

手动搜索JS文件中包含的敏感信息(IP、API、URL、secretKey)

API搜索常用关键词

config/api
method:"get"
http.get("
method:"post"
http.post("
$.ajax
service.httppost
service.httpget
安全设备和网络架构
安全设备

waf

蜜罐

网络架构
  • CDN
  • 运维设备
  • 网络设备
  • 网络拓扑图
  • 项目文档、业务系统说明
历史页面信息

时间机器:http://www.cachedpages.com/

web存档:https://web.archive.org/

目标社工信息收集

人员基本信息

  • 身份信息(姓名、性别、大概年龄)
  • 单位职位
  • 日常工作
    • 岗位对外联系的主要内容
    • 岗位对内联系的主要内容
  • 是否掌握计算机基础
  • 系统版本(Windows、Mac的常用版本)
  • 软件安全情况(安全意识、浏览器版本、office版本)

单位基本信息

  • 内部员工的互相称呼
    • 老师、同学、哥、师傅
  • 工作流
    • 沟通软件、沟通方式,邮件、OA、微信、企业微信、钉钉、QQ等
  • 运维策略
    • 企业杀软有无和其类型
    • 安全人员素质、是否出网、是否允许安装软件
    • 办公方式(平台:PC、云桌面、标装机)

社工资源的收集

邮箱收集

收集途径

天眼查、企查查、爱企查

谷歌、百度等搜索引擎

  • 通过单位名称、通用关键词、行业关键词等进行搜索引擎检索
    • 通用关键词如:联系方式、简历、招聘、应聘、贷款、手机号、hr、邮箱
      • 行业关键词如:投标、招标、投诉
    • 对于一些特殊行业,那么可以自行联想关键字,例如投标、招标、投诉等等。
    • 将各种关键字相互组合使用
      • 如使用目标+关键字的格式寻找目标

SGK

  • 通过sgk等方式获取指定人员的邮箱和个人信息

Github、Gitlab、Gitee、Gitblit等代码托管平台社交平台,如脉脉、微博

社工字典(如拼音规则、工号规则等)批量遍历

工具

注意事项

获取邮箱地址后注意验证邮箱是否真实有效,GitHub有相关项目,也可以使用在线网站确认。

https://www.verifyemailaddress.org/

qq邮箱发送钓鱼邮件后,如果邮箱存在,则会显示已投递到对方邮箱,如果邮箱不存在显示投递失败,已退信。发送完成后,qq邮箱如果被攻击者有自动回复或者昵称设置可能会暴露相关信息(邮箱结尾、真实姓名等)。

通过社工方式根据邮箱获得手机号,微信小号进行钓鱼,加好友后可以直接报对方的名字和邮箱号,一是可以判断是否加错,二是获取对方的信任

社交平台收集

  • 社交平台分类
    • 即时通讯类:QQ、微信、企业微信、钉钉、飞书、蓝信
    • 职能类:支付宝、脉脉、领英
    • 博客论坛类:微博、知乎、贴吧、人人、推特、ins、脸书
    • 娱乐类:咸鱼、短视频
  • 实战实践
    • 贴吧搜索对应单位关键词,如学校的学号
    • 知乎搜索公司、子公司名称,搜索公司、子公司关键词,如:xxx 密码
    • QQ群、微信群、钉钉群搜索敏感信息(邮箱、密码、vpn)或发马钓鱼
    • 脉脉会员搜目标信息
      • 网页版搜索xx公司,查看人脉获取员工信息(会员)
      • 移动版搜索xx公司,点击查看全部员工(会员)
      • 移动版搜索xx公司时会弹出相关内容,可能出现子公司名称

手机号收集

密码收集和社工字典

已有密码收集
社工字典生成

图片收集

图片搜索

百度识图:百度识图搜索结果

google识图:https://www.google.com/imghp?hl=zh-cn

Tineye Reverse Image Search:https://tineye.com/

图片文件信息分析
  • 元数据(Matedata)
    • 分类
      • EXIF:通常被数码相机在拍摄照片时自动添加,比如相机型号、镜头、曝光、图片尺寸等信息exif信息以0xFFE1作为开头标记,后两个字节表示数据的长度。
      • IPTF:比如图片标题、关键字、说明、作者、版权等信息。主要是由人工在后期通过软件写入的数据。
      • XMP:XMP实际上是一种元数据存储和管理的标准,可以将Exif,IPTC或其他的数据都按XMP统一的格式存放在图像文件中。
    • 查看方式
      • 图片文件的【属性】-【详细信息】
      • photoshop的【高级】-【原始信息】

近源信息收集

  • 围绕IT管理收集相关信息
    • 公司地址
      • 物理U盘入侵
      • 门禁模拟
    • 公司无线分布点(wifi破解)
    • IT管理员信息
    • 网络/安全设备厂商客服
    • ...

攻击者的伪装身份构造

  • 自己角色的身份(应聘者、安全管理员、人事行政人员、部门及姓名)
  • 构建贴合身份的邮件格式(落款部门及签名)
  • 简历钓鱼
    • 招聘HR是哪个地区的,可以就近选择一个大学伪装
    • 简历种类多准备几份,简历身份信息易替换

行业信息收集特性

气象局

系统关键词

污染
排污
空气质量
垃圾焚烧
环评
辐射
监测
监控
环境
自然
生态
废物
质量

教育-教育厅

通过教育厅官网机构设置、直属单位获取组织结构

搜索引擎 site:xxx 直属单位 site:xxx 机构设置

教育考试院(招生考试院)直属于教育厅

教育-学校

  • 组织架构
    • 学校名下公司
    • 出版社
    • 基金会
    • 校友会
  • 网络空间搜索引擎
    • title、body
    • domain
    • cert
    • icon
  • 快速突破口:vpn、sso,在信息化门户搜集登录规则
  • google语法
    • site:xxx.com "身份证号/学号/工号/vpn" (filetype:xls/doc)
  • GitHub
    • "xxx.edu.cn" "username/password/vpn"

医疗-卫健委

  • 提取关键字
    • 机构-内设机构
    • 委领导-分管工作
  • 卫健委前身卫计委、卫生部/卫生厅/卫生局
  • 妇幼保健院隶属于于卫健委
  • 关键字:卫生健康委、卫生健康、卫计委、卫生和计划生育委员会

金融-银行

  • 金融官网一般是业务,组织架构参考每年社会责任报告、年报、关于我们-信息披露中存
  • 在组织架构
  • 网络空间搜索引擎
    • domain
    • cert: cert="China Merchants Bank"/"XX 银行"/"xxx.com"/"xxx"
    • icon
  • Web突破点
    • 微信公众号、小程序
    • 移动端APP
    • 未开放系统或测试系统
  • google语法
    • site:xxx.com "身份证号"/"工号"/"vpn" (filetype:xls/doc)
    • site:xxx.com inurl:login/inurl:upload
  • github语法
    • "xxx.edu.cn" "username/password/vpn"
  • 邮箱查找可通过天眼查(收费)

政务-政务云

  • 可能的突破点
    • 市场监督管理局-特种设备管理
    • 浪潮云表单
    • 集约化
    • 重要景区(可能)
    • 广电局、广播电视局
      • 跟广播电视台不同,行政单位和事业单位的区别

自动化思路(待处理)

  • 自动化获取单位名称的50%以上子公司列表
  • 通过域名历史解析IP、DNS区域传送漏洞等域名收集手段,进行ip权重确认,进而筛选高价值C段,进行C段信息收集
  • 针对批量域名或C段资产先做waf识别和Banner识别
    • 不存在waf
      • 进行xray、awvs漏扫
      • Xray支持url.txt漏扫
      • AWVS针对非路由形式网站效果不错
    • 存在waf
      • 根据Banner结果进行手动测试

域名

被动抓取

burp插件:https://github.com/bit4woo/domain_hunter_pro

使用方法:
1、新建数据库
2、添加抓取的域名

历史IP

子域名发现

dnsgen:一款在主动或被动信息搜集到的子域名的基础上,使用自身内置的一些常见域名中的关键字再次对我们收集到的子域名进行排列组合成更多的子域名,以此扩大目标目标暴露面。

regulator:指定根域名、域名前缀和域名生成文件来生成新的子域名。

https://github.com/ProjectAnte/dnsgen
https://github.com/cramppet/regulator

网站架构/服务器指纹/CMS识别/容器

网页源代码
请求头/响应头
网站底部,顶部,左上角右上角
网站报错信息
域名/install
CMS漏洞
定位版本对应已知漏洞检查
CMS未知漏洞挖掘
Web容器已知漏洞(解析漏洞这种)
显示网站使用的技术
中间件、组件
Weblogic、tomcat、zabbix、struts、axis等

子域名

老站、同样架构或同源码的子站
爆破,接口查询
  https://phpinfo.me/domain/
  https://d.chinacycc.com/index.php?m=Login&a=index
  subDomainBrute、knockpy
OWA发现、dig adfs、dig mail
https://dns.bufferover.run/dns?q=baidu.com
http://api.hackertarget.com/reversedns/?q=target.com

网站使用的CMS的官方demo站

找不到demo就找源码开发者,加群什么的,结合社会工程学要个后台截图(对于一些后台目录复杂的cms),注意看网站上一些功能介绍的截图。

SSL证书信息

https://crt.sh/?q=%25.target.com
https://censys.io/certificates?q=target.com
https://github.com/cheetz/sslScrape

DNS历史解析记录

https://dnsdumpster.com/
https://censys.io/
https://securitytrails.com/
域传送漏洞检查
  Dnsenum、fierce

$ ./fierce.pl -dns example.com 
$ ./fierce.pl –dns example.com –wordlist myWordList.txt

>dig @ns.example.com example=.com AXFR 
>nslookup -type=ns xxx.yyy.cn #查询解析某域名的DNS服务器
>nslookup #进入nslookup交互模式
>server dns.domian.com #指定dns服务器
>ls xxx.yyy.cn #列出域信息

同服站点情况

https://site.ip138.com/
火狐插件flagfox,配置单击指向bing查ip对应的域名

同样架构或源码的站

网站js

https://github.com/003random/getJS
https://github.com/Threezh1/JSFinder
或浏览器F12也可以看到加载的
敏感信息、可能存在漏洞的参数等信息
查看网页源代码,注释的一些信息,比如没有删掉的接口、前台没有的页面、越权、注入、js等
1. config/api
2. method:"get"
3. http.get("
4. method:"post"
5. http.post("
6. $.ajax
7. service.httppost
8. service.httpget

网站使用的第三方js

https://github.com/sqlmaping/Burpsuite-JSScan

云信息

Aliyun、AWS、GCP、Azure等
查找可公开访问的实例
  https://github.com/gwen001/s3-buckets-finder
  https://github.com/nccgroup/aws-inventory
  https://github.com/jordanpotti/AWSBucketDump

C段/B段信息

Banner、是否存在目标的后台或其他入口/其他业务系统
ASN  BGP路由协议
1-64511 公有AS
64512-65535 私有AS
https://www.cidr-report.org/cgi-bin/as-report?as=china&view=2.0

工具

recon-ng,theharvester,maltego,exiftool等
https://www.spiderfoot.net/
https://github.com/smicallef/spiderfoot

端口对外开放情况

Masscan、scanport等
针对常见的那些端口的利用的常规方法
常见的未授权访问的服务如redis,mongodb等

目录扫描/爬虫(慎用)

WAF情况识别

https://github.com/EnableSecurity/wafw00f
做好绕过策略的计划

随手测试

单引号
xx.jpg/.php
admin/123456
万能密码
Heartbleed漏洞

搜索引擎

Google自定义搜索引擎整合的300多个社交网站
  https://cse.google.com/cse?key=AIzaSyB2lwQuNzUsRTH-49FA7od4dB_Xvu5DCvg&cx=001794496531944888666:iyxger-cwug&q=%22%22
Google自定义搜索引擎整合的文件共享网站
  https://cse.google.com/cse/publicurl?key=AIzaSyB2lwQuNzUsRTH-49FA7od4dB_Xvu5DCvg&cx=001794496531944888666:hn5bcrszfhe&q=%22%22
领英用户提取
  https://cse.google.com/cse?cx=001394533911082033616:tm5y1wqwmme

  • FOFA https://fofa.info

  • Quake 360网络空间测绘 — 因为看见,所以安全

  • Hunter https://hunter.qianxin.com

  • Censys https://search.censys.io/

  • Shadon https://www.shodan.io

  • ZoomEye https://www.zoomeye.org

  • Sumap sumap-全球网络空间超级雷达

  • Soall https://soall.org/login

  • 常用语法:

  • title="目标中文名" && country=CN 
title="目标中文名" && region="xx省" 
title="目标中文名" && city="xx市" 
header="目标中文名" && country=CN 
header="目标中文名" && region="xx省" 
header="目标中文名" && city="xx市" 
domain="目标域名" 
host="目标域名" 
cert="目标域名或者证书关键字" && country=CN cert="目标域名或者证书关键字" && region="xx省" cert="目标域名或者证书关键字" && city="xx市" ="目标中文名或者目标域名
cert="China Merchants Bank" or cert="xx银行" or cert="xxx.com" or cert="xxx"
icon==""
#Google
site:xxx.com "身份证号" 
site:xxx.com "身份证号" 
filetype:doc site:xxx.com "身份证号" 
filetype:xls site:xxx.com "工号" 
site:xxx.com "vpn" 
site:xxx.com inurl:login 
site:xxx.com inurl:upload

#Github
"xxx.com" "身份证号" 
"xxx.com" "vpn" 
"xxx.com" "password"

Google dorks

Site,filetype,intitle,inurl,intext等

信息泄露

电话、邮箱,姓名
目录遍历
备份文件
  (www.zip,xx.com.zip,www.xx.com.zip,wwwroot.zip)
.svn/.git/sql/robots/crossdomin.xml/DS_Store等
  https://github.com/lijiejie/ds_store_exp
  https://github.com/admintony/svnExploit
若是论坛ID=1的用户名一般为管理、或查看帖子信息、生成字典
网页上客服的QQ(先判断是企业的还是个人,用处有时不太大,看怎么用,搞个鱼叉什么的)

网页缓存

http://www.cachedpages.com/ 
https://web.archive.org/

图片反查

百度识图、googleimage、tineye
原图查询坐标

社交

QQ、weibo、支付宝、脉脉、领英、咸鱼、短视频、人人、贴吧、论坛
外网信息
有些人喜欢把自己的生活传到外网
  推特、ins、fb等

手机号加入通讯录匹配各个APP用户信息

注册过的网站

https://www.reg007.com/
https://www.usersearch.org/

目标人员的兴趣

目标人员的兴趣 注册过的小众论坛,站点

针对此类站点的深入
收集到的用户名,电话等信息生成字典

邮箱搜集

https://hunter.io/
http://www.veryvp.com/
https://www.email-format.com/
https://www.yingyanso.cn/
https://verifyemailaddress.com/   邮箱有效确认
theHarvester
企查查
github
脉脉
库
snov.io插件

Exchange

https://github.com/dafthack/MailSniper

验证邮箱是否存在

https://tools.verifyemailaddress.io/

历史泄露过的资料等

库
https://haveibeenpwned.com/
https://github.com/kernelmachine/haveibeenpwned

Github/Gitee等代码托管平台

https://github.com/dxa4481/truffleHog
https://github.com/lijiejie/GitHack
https://github.com/MiSecurity/x-patrol
https://github.com/az0ne/Github_Nuggests
https://github.com/mazen160/GithubCloner克隆用户的github

被入侵网址列表

http://zone-h.org/archive
wooyun镜像查找目标企业曾出现的漏洞
http://zone-h.org/archive
乌云镜像: https://wooyun.x10sec.org
Seebug: https://www.seebug.org
Exploit Database: https://www.exploit-db.com
Vulners: https://vulners.com
Sploitus: https://sploitus.com

GPS查询

https://www.opengps.cn/Default.aspx
https://www.chaipip.com/aiwen.html
https://cz88.net/

网站URL提取

http://www.bulkdachecker.com/url-extractor/

蜜罐判断(参考一下即可)

https://honeyscore.shodan.io/
hunter也有
https://github.com/cnrstar/anti-honeypot    浏览器插件(误报还是挺多的,虚拟机+代理)

https://github.com/Ghr07h/Heimdallr

默认密码

https://default-password.info/
http://routerpasswords.com

如需注册

Sms
  https://www.materialtools.com/
  http://receivefreesms.com/
Email
  https://10minutemail.net/
  https://zh.mytrashmailer.com/
  http://24mail.chacuo.net/enus
  https://www.linshiyouxiang.net/
Fake id
  https://www.fakenamegenerator.com/
  http://www.haoweichi.com/
  https://www.fakeaddressgenerator.com/

企业信息

维基百科 https://zh.wikipedia.org/wiki/Wikipedia:%E9%A6%96%E9%A1%B5

天眼查、企查查、企业信用信息公示系统、企业组织架构
企业邮箱收集,企业架构画像、人员统计、人员职责、部门、WiFi、常用部门密码、人员是否泄露过密码、人员平时爱逛的站点、OA/erp/crm/sso/mail/vpn等入口、网络安全设备(waf,ips,ids,router等统计)、内部使用的代码托管平台(gitlab、daocloud等),bug管理平台、服务器域名资产统计
注册公司、基金会、校友会、出版社、校医院、
site:xxx 直属单位/site:xxx 机构设置

监控资产

最简单的办法就是,通过subfinder、oneforall等子域名收集工具,每天定期跑一次,对比旧结果,新结果写入数据库,记录时间。

本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!

Web弱口令到的获取集权类设备权限的过程
MachineGunJoe666
05-20 478
x01 web弱口令获取ssh权限 对公网的端口进行扫描后,发现443端口是某厂商的vpn管理平台,通过默认账号密码:admin/xxxxx进入平台,发现该平台可以连接内网中的机器,于是想着用该设备的ssh做一次代理,进入内网。(PS:一般情况下设备的web账号密码也是ssh的账号密码)。 telnet 22端口,端口开放,但是ssh连接则又显示不可达,如下: 咨询了团队大佬,说是有ACL限制了。刚好设备里面可以修改ACL,于是修改ACL允许我的IP进行连接。 里面有很多的ACL..
一款集成了fofa、zoomeye、censys、鹰图平台、360quake的信息收集工具
W718645383的博客
07-07 1241
NoMoney 是一款信息收集的工具,其中集成了fofa,zoomeye(钟馗之眼),censys,奇安信的鹰图平台,360quake。从这个名字就可以看出,这款工具涉及的范围在以上平台中都是免费的。360quake API 获取数据,每月3000积分,每月会送5次免费查询机会,单次查询最多获取400条数据。censys API获取数据,国外网站,速度可能较慢,每月有250积分。,而其余各大平台都有相对应的免费api,但是有一定的查询限制。qianxin(鹰图平台)API获取数据,每日500积分。
常见的ACL攻击方式,集权设施如何防御攻击?
m0_61869253的博客
08-08 505
在Windows访问控制模型中,有两个主要的组成部分:访问控制令牌(Access Token)和安全描述符(Security。
网络安全渗透实战学习
kali_Ma的博客
10-27 2万+
前言 本次渗透以SMB共享之SCF文件攻击为突破点,利用burp编码爆破Basic Authorization认证、smb连接的多种方法、windows用户的NTLM值破解方法、evil-winrm的运用、windows主机信息收集工具、msf运行powershell脚本、远程运行powershell脚本、PrintNightmare漏洞提权等多个知识点。 本次渗透过程从技术层面来说难度并不算很大,本文精华在于渗透过程中运用到了多个知识点,并对多种利用SMB攻击的方法作了总结,下面开始此次渗透实战之旅。 信
网络安全-自学笔记
热门推荐
关注网络安全、云原生安全
12-01 21万+
目录 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 通信安全 WEB(应用)安全 前端安全 xss攻击 后端安全 文件上传漏洞 WebShell 解析安全 数据安全 sql注入 网络安全-sqlmap学习笔记 通信安全 网络-http协议学习笔记(消息结构、请求方法、状态码等) ...
网络安全实战之靶场渗透技术
kali_Ma的博客
10-20 8786
靶机主要是从信息收集开始,发现是flask搭建的,然后使用flask unsign进行解密,暴力破解。接着使用枚举出的用户进行FTP登录,FTP登录之后,下载pdf文件,发现管理员账号和密码规则,然后登录FTP管理员,接着下载压缩包,进行文件分析,发现可以使用CVE-2021-23639历史漏洞可以获取权限,在文件中发现存在mysql服务,接着进行权限提升,获取到了root文件。
记一次网络安全渗透测试实战指南
kjuhfkicf154的博客
05-16 810
基于一次授权的渗透把一些思路整理一下,本次的重点在以洞打洞原则发现一个小洞顺藤摸瓜发现更多的高危甚至严重问题,像我们日常渗透有这样一步步思路进行收获都不小,当然了运气可以省很大部分时间和心思,一步到位的欧皇也是存在。网络安全产业就像一个江湖,各色人等聚集。
网络安全实战:防御策略与渗透测试技巧
weixin_29050829的博客
04-29 815
本文通过一系列网络安全场景,探讨了在面对可疑电子邮件、防火墙配置、网络扫描以及入侵检测系统中的策略选择。文章详细解释了如何处理电子邮件、如何识别并应对不同类型的防火墙、如何从扫描结果中得出安全结论,以及如何配置网络入侵检测系统。此外,文章还讨论了渗透测试的价值、软件设计缺陷以及应对入侵检测系统的方法。
原创 Web渗透测试信息收集实战干货
ewii12567的博客
07-21 951
本原创连载旨在帮助新手能快速上手红队攻击技能,有些案例都是一些简单的入门,对于有经验的红队攻击手,仅作为参考。在Web渗透测试中,信息收集是关键的一步,它能帮助我们找到目标系统的弱点。以下是一些实战案例,全是干货,直接上料!
网络安全实战:记一次比较完整的靶机渗透
Android_wxf的博客
10-21 2万+
因为这么多域名我们不可能挨个去手动访问,所以我们这里用工具来批量测试,在使用工具之前,我们需要首先把所有的域名放到一个文件里面,我这里放在了name文件里,然后我们通过如下简单的shell脚本,把这些域名处理成工具可以识别的url链接并写入到名为url的文件中,便于我们下一步的利用。通过上图我们发现,服务器竟然支持了我们的axfr请求,返回给了我们请求域中所有的dns记录,既然我们拿到了当前域中所有的子域名,那么我们就可以把这些子域名都加到kali的hosts文件中。
网络安全基于PTES与MITRE ATT&CK的渗透测试技术框架:红队实战信息收集、漏洞利用及权限维持方法研究
11-12
内容涉及子域名收集、端口扫描、Web信息探测、社会工程学钓鱼、Nday漏洞利用、内网信息收集、权限提升、凭证窃取、隧道代理、域渗透及痕迹清除等关键技术环节,并列举了大量常见服务漏洞、渗透工具与实战技巧,全面...
网络安全渗透实战:从外网打点到三层内网渗透及域控权限获取全流程解析
07-05
适合人群:具备一定网络安全基础,对渗透测试感兴趣的网络安全工程师或安全研究人员。 使用场景及目标:①学习如何从外网逐步渗透进入内网,掌握常见的渗透技术和工具使用方法;②了解SQL注入、反向代理、内网信息...
Kali Linux网络渗透测试实战指南
07-31
书中详细介绍了渗透测试的基础知识、方法论、风险评估、Kali Linux的安装与配置、信息收集、服务器端和客户端攻击、认证攻击、Web攻击及防御措施等内容。此外,还涵盖了如何编写专业的渗透测试报告,确保测试结果...
网络安全基于SQL注入与SUID提权的靶机渗透技术:Nullbyte靶机信息搜集、漏洞利用与权限提升实战分析
09-15
适合人群:具备一定网络安全基础,熟悉Linux操作系统、常见渗透工具(如Nmap、Gobuster、Hydra、SQL注入技术)的安全研究人员或渗透测试初学者。; 使用场景及目标:①学习渗透测试的标准流程与实战技巧;②掌握信息...
OpenHarmony Flutter 分布式安全与隐私保护:跨设备可信交互与数据防泄漏方案
2501_93721151的博客
12-11 682
在开源鸿蒙(OpenHarmony)全场景分布式生态中,跨设备安全与隐私保护是实现多设备协同的生命线。随着设备间数据流通与交互频率的提升,数据泄露、身份伪造、权限滥用等安全风险也随之加剧;传统单设备安全方案难以适配分布式场景下的可信交互需求。基于开源鸿蒙的分布式安全服务(DSS)与 Flutter 的跨端安全开发能力,能够构建一套 **“设备可信认证、数据加密传输、权限动态管控、隐私数据脱敏”** 的分布式安全与隐私保护解决方案,赋能金融支付、健康医疗、智能家居等高敏感场景的跨设备协同。本文聚焦。
安全审查--跨站请求伪造--双重提交Cookie模式
petunsecn的专栏
12-12 587
本文详细讲解了双重提交Cookie模式防御CSRF攻击的原理与实现。首先通过网上银行转账案例展示了CSRF攻击的危害性,解释了攻击者如何利用浏览器自动携带Cookie的特性发起恶意请求。随后深入剖析了双重提交Cookie的核心理念:利用同源策略,要求请求同时携带Cookie中的token和请求头/体中的token进行双重验证。 文章从零开始演示了实现步骤:1)服务器设置可被JavaScript读取的CSRF Token Cookie;2)前端获取Cookie中的token并添加到请求头;3)服务器验证两个t
第十一篇:Day31-33 前端安全与性能监控——从“能用”到“安全可靠”(对标职场“系统稳定性”需求)
2402_87628679的博客
12-11 1174
对于小型项目或特定业务场景,可通过自定义埋点实现核心指标监控,无需接入复杂工具。// src/utils/monitor.js(自定义监控工具) import axios from 'axios';// 监控数据上报接口(后端提供) const MONITOR_UPLOAD_URL = '/api/monitor/upload';
App反诈骗:一场面向移动生态的深度安全战争(接上文短信反诈)
最新发布
xixixi7777的博客
12-12 1128
App反诈骗的最终目标是构建一个安全、可信、透明技术支柱:持续创新的检测与防御技术制度支柱:完善的法律法规与行业标准治理支柱:跨平台、跨行业的协同治理机制教育支柱:提升开发者和用户的安全意识经济支柱:建立正向激励与惩罚机制与短信反诈相比,App反诈的战场更广、链条更长、对抗更复杂。这是一场技术、法律、经济、社会的综合性战役,其成功不仅需要先进的技术手段,更需要生态系统各方的共同责任和长期投入。真正的App反诈不是简单的"查杀",而是通过纵深防御、主动狩猎、生态治理。
DNS协议安全
weixin_61562383的博客
12-12 800
许多企业的防火墙会拦截内部员工直接访问外部网站的 HTTP/TCP 连接,但通常会放行 DNS 流量,因为员工需要解析域名才能工作。阴影域名:黑客攻破了合法网站(如 example.com)的管理权,创建了恶意的子域名(如 bad.example.com)。DNS 协议在设计之初就像是在“明信片”上写字,任何人都可以拦截、修改(中间人攻击),或者伪造一张新的明信片发给你(欺骗/投毒)。:为了防止命令控制服务器(C&C)的域名被封杀,僵尸程序会内置一套算法,每天自动生成成千上万个随机域名。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值