渗透测试---------信息收集

⼀. web资产信息收集

1.1 web基本架构：

开发语⾔，程序源码，中间件容器，数据库类型，服务器操作系统，第三⽅软件等

开发语⾔：asp,php,aspx,jsp,java,python,ruby,go,html,javascript等

收集⽅法：

通过header头部信息收集

通过⽬录收集

通过端⼝收集

通过cms收集

通过第三⽅搜索引擎收集

⼦域名也是⼆级域名，是指顶级域名的域名。假设⽬标⽹络规模⽐较⼤，直接从主域名⼊⼿很难，

因为⼀般主域名是重点防护区域，所以可以从⼦域名⼊⼿，然后在想办法迂回接近真正的⽬标。

收集⽅法：

第三⽅搜索引擎

google hacker语法

在线⼦域名爆破：https://phpinfo.me/domain/

layer⼦域名挖掘机，OneForAll⼯具

旁站往往存在业务功能站点，建议先收集已有IP的旁站，再探测C段，确认C段⽬标后，再在C

段的基础上再收集⼀次旁站。

旁站在线查询： https://www.webscan.cc/

C段在线查询： https://c.webscan.cc/

FOFA： https://fofa.info/

程序源码：根据开发语⾔分类；应⽤类型分类；开源CMS分类；开发框架分类等

中间件容器：IIS,Apache,Nginx,Tomcat,Weblogic,Jboos,glasshfish等

数据库类型：Access,Mysql,Mssql,Oracle,db 2 ,Sybase,Redis,MongoDB等

服务器操作系统：Windows系列，Linux系列，Mac系列等

第三⽅软件：phpmyadmin,vs-ftpd,VNC,ELK,Openssh等

收集⽅法：

通过header头部信息收集

通过⽬录收集

通过端⼝收集

通过cms收集

通过第三⽅搜索引擎收集

1.2 ⼦域名信息收集

⼦域名也是⼆级域名，是指顶级域名的域名。假设⽬标⽹络规模⽐较⼤，直接从主域名⼊⼿很难，

因为⼀般主域名是重点防护区域，所以可以从⼦域名⼊⼿，然后在想办法迂回接近真正的⽬标。

收集⽅法：

第三⽅搜索引擎

google hacker语法

在线⼦域名爆破：https://phpinfo.me/domain/

layer⼦域名挖掘机，OneForAll⼯具

1.3 旁站和C段信息收集

旁站往往存在业务功能站点，建议先收集已有IP的旁站，再探测C段，确认C段⽬标后，再在C

段的基础上再收集⼀次旁站。

旁站在线查询： https://www.webscan.cc/

C段在线查询： https://c.webscan.cc/

FOFA： https://fofa.info/

1.4 ⽬录和敏感⽂件扫描3

在渗透测试中，探测web⽬录结构和隐藏的敏感⽂件是⼀个必不可少的环节，从中可以获取⽹

站的后台管理⻚⾯、⽂件上传⻚⾯、甚⾄可以扫描出⽹站的源代码。

⼯具：

7 kbscan

dirsearch

dirbustr

dirb

常⻅收集⽂件：

robots.txt 、后台⽬录、⽹站安装包、⽹站上传⽬录、 mysql 管理⻚⾯、 phpinfo 、⽹站⽂本编辑

器、测试⽂件、⽹站备份⽂件 (.rar 、 zip 、 7z 、 tar.gz 、 .bak) 、 DS_Store ⽂件、 vim 编辑器备份

⽂件 (.swp) 、 .git 、 .svn 等

 1.5 CMS识别

CMS(Content Management System)⼜称整站系统或⽂章系统。在 2004 年以前，如果想要

进⾏⽹站内容管理，基本上都靠⼿⼯维护，但在信息爆炸的时代，完全靠⼈维护相当困难。所以就

出现了CMS，开放者只要给客户⼀个软件包，客户⾃⼰安装配置好，就可以定期更新数据来维护

⽹站，节省了⼤量的⼈⼒和物⼒。

识别CMS:

whatweb: http://whatweb.bugscaner.com/look/

Kali：whatweb

御剑cms识别

 1.6 判断⽹站中间件等信息

通过headers头部来判断

⼀些在线⽹站识别： http://whatweb.bugscaner.com/look/

插件识别：Wappalyzer

 1.7 端⼝扫描

确定了⽬标⼤概的ip段后，可以先对ip的开放端⼝进⾏探测，⼀些特定服务可能开起在默认端

⼝上，探测开放端⼝有利于快速收集⽬标资产，找到⽬标⽹站的其他功能站点。

        

● 御剑

● Nmap

⼆. CDN绕过

CDN就是内容发布⽹站，主要解决因传输距离和不同运营商节点造成的⽹络速度性能低下的问题。说的简单点，就是⼀组在不同运营商之间的对接点上的告诉缓存服务器，把⽤户经常访问的静态数据资 源（html,css,js图⽚，视频，声⾳等⽂件）直接缓存到节点服务器上，当⽤户再次请求时，会直接发到离 ⽤户最近的节点服务器响应给⽤户，当⽤户⼜实际数据交互时才会从远程web服务器上响应，这样可以 ⼤⼤提⾼⽹站的响应速度及⽤户体验。

判断是否存在CDN:

ping测试，nslookup

绕过CDN的⽅法：

1. 查询⼦域。

2. 国外ip访问，⼀些偏僻点的地⽅。

3. 历史解析记录。

4. 查询邮件ip

5. 通过⼩程序，APP

6. 接⼝查询：https://get-site-ip.com/

7. 搜索faction.ico图标

8. ⼀些敏感⽂件：⽂件探针，phpinfo，⽹站源代码，信息泄露等

 三. 信息泄露收集

3.1 Github搜索

尝试在GitHub上寻找相关的敏感信息，如数据库连接信息，邮箱密码，uc-key，阿⾥的

osskey，有时还可以找到源代码泄露。

in:name password

搜索标题中含有关键字password

in:descripton password 搜索描述中含有关键字password

in:readme password

⽂件搜索含有关键字

 3.2 google hacking语法收集信息

3.3 ⼀些⽹盘搜索

凌云搜索 https://www.lingfengyun.com/

盘搜搜： http://www.pansoso.com/

盘搜： http://www.pansou.com/

⽹站注册信息： www.reg 007 .com

 3.4 Js敏感信息泄露

https: //github.com/Threezh 1 /JSFinder

https: //github.com/GerbenJavado/LinkFinder

https: //github.com/rtcatc/Packer-Fuzzer (webpack)