Kali 信息收集

一、公开网站 如：Google Fofa等

基本搜索：
逻辑与：and
逻辑或：or
逻辑非：-
完整匹配：“关键词”
通配符：* ? 分别是多通配符与单通配符

1. intitle: 在网页标题中查找。

使用： intitle:标题
如：intitle:codeforces	
	intitle:后台登录 等

2. allintitle: 搜索返回的是页面标题中包含多组关键词的网页。该指令属于intitle排他指令.

使用： allintitle:codeforces round119
相当于：intitle:codeforces intile:round119

3. inurl: Google 会返回那些在 URL（网址）里边包含了查询的关键词的网页。

使用：inurl:关键词
如：inurl:Login

4. allinurl: 搜索返回的是 url 中包含多组关键词的网页。

如：allinurl:Login admin

5. inanchor: 指令返回的结果是导入链接锚文字中包含搜索词的所有内外页面。

例如：inanchor:点击这里
返回的结果页面本身并不一定包含“点击这里”这四个字
而是指向这些页面的链接锚文字中出现了“点击这里”这四个字。

6. allinanchor: 搜索返回的是锚文本中包含多组关键词的网页。该指令属于排他指令。与 allintitle 一样，不多赘述

7. intext: 查询所有出现在正文中的查询关键词的网页，一般组合搜索才用。

8. allintext: intext 的排他指令。

9. info：可以得到网站的一些信息

使用：info:域名

10. site：指定访问站点

使用：site:baidu.com

11. filetype：指定访问文件类型，一般组合使用

使用：site:baidu.com site:word

12. link：包含所有指向对应链接的网页

使用：link:www.baidu.com

13. related：返回与指定页面布局相似的页面

14. cache：网页快照，谷歌将返回给你他存储下来的历史页面，如果你同时制定了其他查询词，将在搜索结果里以高亮显示，

使用：cache:www.hackingspirits.com  guest 
将返回指定网站的缓存，并且正文中含有guest

15. define: 返回对应词语的定义

使用：define:Hacker 返回Hacker的定义

16. phonebook: 电话簿查询美国街道地址和电话号码信息。

使用：phonebook:Lisa+CA  
将返回名字里面包含Lisa并住在加州的人的所有名字

17. 一些特殊查询

###查找网站后台
site:xx.com intext:管理
site:xx.com inurl:login
site:xx.com intitle:后台
###查看服务器使用的程序
site:xx.com filetype:asp
site:xx.com filetype:php
site:xx.com filetype:jsp
site:xx.com filetype:aspx
###查看上传漏洞
site:xx.com inurl:file
site:xx.com inurl:load


###利用  Index of  语法去发现允许目录浏览的
web网站，就像在本地的普通目录一样。下面是
一些有趣的查询：
index of /admin
index of /passwd
index of /password
index of /mail
"index of /" +passwd
"index of /" +password.txt
"index of /" +.htaccess
"index of /root"
"index of /cgi-bin"
"index of /logs"
"index of /config"



###而上面这些命令中用的最多的就是 inurl
利用这个命令，可以查到很多意想不到的东西
利用 allinurl:winnt/system32/ 查询：
列出的服务器上本来应该受限制的诸如“system32” 
等目录，如果你运气足够好，你会发现“system32” 
目录里的“cmd.exe” 文件，并能执行他，接下来就是
提升权限并攻克了。

###查询 allinurl:wwwboard/passwd.txt  将列出所有有
“WWWBoard Password vulnerability”漏洞的服务
器

###查询  inurl:.bash_history  将列出互联网上可以看见 
“inurl:.bash_history” 文件的服务器。
这是一个命令历史文件，这个文件包含了管理员执行
的命令，有时会包含一些敏感信息比如管理员键入的
密码。

###查询 inurl:config.txt  将看见网上暴露了
“inurl:config.txt”文件的服务器，这个文件包含了经过
哈希编码的管理员的密码和数据库存取的关键信息。

###还有一些其他一些使用“inurl:”和“allinurl:”查询组合的例子
inurl:admin filetype:txt
inurl:admin filetype:db
inurl:admin filetype:cfg
inurl:mysql filetype:cfg
inurl:passwd filetype:txt
inurl:”wwwroot/*.”
inurl:adpassword.txt
inurl:webeditor.php
inurl:file_upload.php
inurl:gov filetype:xls “restricted”
index of ftp +.mdb allinurl:/cgi-bin/ +mailto

二、域名注册信息

1. whois 域名

也可访问顶级域名注册商：
美洲：www.arin.net/whois/
欧洲：www.db.ripe.net/whois/
亚太：www.apnic.net/apnic-info/whois_search2
阿里云：https://whois.aliyun.com/

三、DNS记录分析

1. host

host www.baidu.com
返回百度的IP地址（IPV4 IPV6如果有也会返回）

host -a baidu.com
查询所有DNS记录（SOA NS A  AAAA MX PTR CNAME）

host 23.23.144.81
通过IP反查域名（逆向查询）

host -l example.com ns4.isp.com
域传输（提供公开域传输的服务器很少见）

2. dig

相比host, dig的用法更为灵活，输出更为清晰

dig example.com
不指定任何选项，返回指定域名的A记录

dig example.com any
any表示查询指定域名的所有DNS数据

dig @ns4.isp.com example.com axfr
域传输

3. dnsenum

可收集：
1.主机IP地址
2.该域DNS服务器
3.该域的MX记录
4.通过Google搜索其他的域名及子域名
5.用字典文件对子域名进行暴力破解，dnsenum自带字典文件dns.txt可测试1480个域名，dns-big.txt可测试266930个域名
6.对C类网段进行whois查询并计算其网络范围
7.对网段进行反向查询
8.采用多线程技术，可进行并发查询

dnsenum example.com 
默认返回主机地址、名称解析服务器和邮件服务器的IP（允许域传输）

dnsenum -f dns.txt example.com
不允许域传输时，利用字典文件暴力破解

-p 指定页数
-s 指定数量
--threads 指定线程数量	

4. dnsdict6 (IPv6)

dnsdict6 example.com
-4 测试IPv4的子域名
-d 收集该域的DNS与NS信息

5. fierce 可针对不连续IP空间与主机名称进行测试

fierce -dns example.com -threads 3