渗透-信息搜集

当我们进行信息收集的时候，可能我们获取到的是一个域名或者公司名称或者一个IP等等，在这种情况下我们需要就需要针对不同的信息来进行下一步操作。 那么我们根据得到的不同信息来分开讲解应该怎么进行下一步收集。主要是最近要参加一个红队的攻防演练，所以就把信息收集的这篇文章发出来供大家分享，因为信息收集真的很重要也很费时间和精力。

域名

判断CDN

首先判断是否存在CDN，如果存在CDN那么我们需要进行绕过CDN来查找出真实IP。 通过使用Ping域名判断是否有CDN 如下图，当ping出来的域名很长一串或者存在明显的cdn，ali，tencent字段大概率存在CDN。 Nslookup判断是否使用CDN 如下图，使用nslookup检测到一个域名对应多个IP可判断大概率使用的CDN 如果上图看的不够直观，我们可以查看百度的，因为我们知道百度是一定使用了CDN的，可查看到百度返回界面也是一个域名对应多个IP 超级ping查看是否存在CDN 网站：多个地点Ping服务器,网站测速 - 站长工具 可发现存在两个www.youzan.com 存在CDN 当只存在一个IP大概率就不存在CDN

域名查看真实IP

通过上述CDN检测，我们现在就需要绕过CDN检测，从而获取真实IP 多地ping url 在线ping_多地ping_多线路ping_持续ping_网络延迟测试_服务器延迟测试 如下图，我们通过www.youzan.com 知道该域名存在CDN，那么我们使用该多地ping网站进行下一步真实IP测试，发现在新西兰，日本，韩国使用的IP是一样的，因此推测此IP为真实IP，此功能还可以进行CDN判断 子域名查询真实IP 因为CDN需要的费用比较大，所以大多数公司都是只对主站或者访问量较大的站做了CDN加速处理，那么我们可以获取子域名来查找真实IP。这一节不重点讲解子域名如何收集，后面会详细介绍子域名收集方法 子域名查询 可以通过360quake fofa hunter来进行查看，比如360quake，使用如下语句即可查看子域信息

domain:"baidu.com"

Dnsdb查询法 url https://dnsdb.io/zh-cn/ 黑客只需输入baidu.com type:A就能收集百度的子域名和ip了。 通过子域信息查询真实IP我们可以去下面网站进行测试，一般子域不存在CDN

https://ping.chinaz.com/
https://www.itdog.cn/ping
http://ping.aizhan.com/
http://ce.cloud.360.cn/

DNS历史记录 查看 IP 与 域名绑定的历史记录，可能会存在使用 CDN 前的记录，相关查询网站有：

https://dnsdb.io/zh-cn/ ###DNS查询
https://x.threatbook.cn/ ###微步在线
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP

利用SecurityTrails平台，攻击者就可以精准的找到真实原始IP。他们只需在搜索字段中输入网站域名，然后按Enter键即可，这时“历史数据”就可以在左侧的菜单中找到。 如何寻找隐藏在CloudFlare或TOR背后的真实原始IP 除了过去的DNS记录，即使是当前的记录也可能泄漏原始服务器IP。例如，MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器，那么原始服务器IP将在MX记录中。 利用SSL查找真实IP 使用给定的域名 假如你在xyz123boot.com上托管了一个服务，原始服务器IP是136.23.63.44。 而CloudFlare则会为你提供DDoS保护，Web应用程序防火墙和其他一些安全服务，以保护你的服务免受攻击。为此，你的Web服务器就必须支持SSL并具有证书，此时CloudFlare与你的服务器之间的通信，就像你和CloudFlare之间的通信一样，会被加密（即没有灵活的SSL存在）。这看起来很安全，但问题是，当你在端口443（[https://136.23.63.44:443） 上直接连接到IP时，SSL证书就会被暴露。](https://136.23.63.44:443）上直接连接到IP时，SSL证书就会被暴露。此时，如果攻击者扫描0.0.0.0/0，即整个互联网，他们就可以在端口443上获取在xyz123boot.com上的有效证书，进而获取提供给你的Web服务器IP。目前Censys工具就能实现对整个互联网的扫描，Censys是一款用以搜索联网设备信息的新型搜索引擎，安全专家可以使用它来评估他们实现方案的安全性，而黑客则可以使用它作为前期侦查攻击目标、收集目标信息的强大利器。Censys搜索引擎能够扫描整个互联网，Censys每天都会扫描IPv4地址空间，以搜索所有联网设备并收集相关的信息，并返回一份有关资源（如设备、网站和证书）配置和部署信息的总体报告。而攻击者唯一需要做的就是把上面用文字描述的搜索词翻译成实际的搜索查询参数。xyz123boot.com证书的搜索查询参数为：parsed.names：xyz123boot.com只显示有效证书的查询参数为：tags.raw：trusted攻击者可以在Censys上实现多个参数的组合，这可以通过使用简单的布尔逻辑来完成。组合后的搜索参数为：parsed.names: xyz123boot.com and tags.raw: trusted 此时，攻击者将看到一个使用特定证书的IPv4主机列表，而真实原始 IP就藏在其中。 你可以通过导航到端口443上的IP来验证，看它是否重定向到xyz123boot.com？或它是否直接在IP上显示网站？ 使用给定的SSL证书 如果你是执法部门的人员，想要找出一个隐藏在cheesecp5vaogohv.onion下的儿童色情网站。做好的办法，就是找到其原始IP，这样你就可以追踪到其托管的服务器，甚至查到背后的运营商以及金融线索。 隐藏服务具有SSL证书，要查找它使用的IPv4主机，只需将"SHA1 fingerprint"（签名证书的sha1值）粘贴到Censys IPv4主机搜索中，即可找到证书，使用此方法可以轻松找到配置错误的Web服务器。 网站漏洞查找 1）目标敏感文件泄露，例如：phpinfo之类的探针、GitHub信息泄露等。 2）XSS盲打，命令执行反弹shell，SSRF等。 3）无论是用社工还是其他手段，拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP。 网站邮件订阅查找 RSS邮件订阅，很多网站都自带 sendmail，会发邮件给我们，此时查看邮件源码里面就会包含服务器的真实 IP 了。 F5 LTM解码法 当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码真实ip也可被获取，例如：Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000，先把第一小节的十进制数即487098378取出来，然后将其转为十六进制数1d08880a，接着从后至前，以此取四位数出来，也就是0a.88.08.1d，最后依次把他们转为十进制数10.136.8.29，也就是最后的真实ip。

子域名收集

当我们知道域名，我们除了需要判断是否存在CDN从而获得IP以外还需要使用各种方法来得到子域名信息，扩大资产收集范围。 google收集 通过如下语句即可收集大量信息，当然还有很多，但是我只选择我个人觉得比较好用的，还有百度也是一样的搜索方式，这里就不说了

site: baidu.com 只搜索网站里的关键字
intitle=公司名称

fofa收集 通过各种资产测绘工具也可以进行收集，比如fofa,hunter,360quake,微步在线等，这里只用fafo来进行演示，其他产品操作也是大同小异

domain="ke.com"
host="ke.com"
icon_hash="hash值"

通过icon_hash值也可以来查子域名 站长之家 直接搜索名称或者网站域名即可查看相关信息 url 站长工具 - 站长之家 在线查询工具

https://phpinfo.me/domain/
https://www.t1h2ua.cn/tools/
https://site.ip138.com/baidu.com/domain.htm

Layer子域名挖掘机 SubDomainBrute github上面一款高性能子域名爆破工具，支持泛解析检查方式

https://github.com/lijiejie/subDomainsBrute

Sublist3r 字典强大，爆破率高

https://github.com/aboul3la/Sublist3r

OneForALL 利用证书透明度收集子域（目前有6个模块：censys_api、certspotter、crtsh、entrust、google、spyse_api）

https://github.com/shmilylty/OneForAll

隐藏域名hosts碰撞

https://mp.weixin.qq.com/s/fuASZODw1rLvgT7GySMC8Q

很多时候访问目标资产IP响应多为：401、403、404、500，但是用域名请求却能返回正常的业务系统（禁止IP直接访问），因为这大多数都是需要绑定host才能正常请求访问的 （目前互联网公司基本的做法）（域名删除了A记录，但是反代的配置未更新），那么我们就可以通过收集到的目标的 域名 和 目标资产 的IP段组合起来，以 IP段+域名 的形式进行捆绑碰撞，就能发现很多有意思的东西。 在发送http请求的时候，对域名和IP列表进行配对，然后遍历发送请求 （就相当于修改了本地的hosts文件一样），并把相应的title和响应包大小拿回 来做对比，即可快速发现一些隐蔽的资产。 进行hosts碰撞需要目标的域名和目标的相关IP作为字典 域名就不说了 相关IP来源有：

目标域名历史解析IP
https://site.ip138.com/
https://ipchaxun.com/
ip正则
https://www.aicesu.cn/reg/

总结

关于得到域名进行下一步的信息收集大概就到这里，下一节会讲我们获取到IP应该怎么收集。

IP

IP反查域名

SearchMap SearchMap是一款集域名解析、IP反查域名、WHOIS查询、CDN检测、端口扫描、目录扫描、子域名挖掘为一体的前渗透测试综合信息收集工具。 我们获取到IP第一步就可以通过IP查询域名，在通过域名查询子域名从而进一步扩大信息收集范围

https://github.com/asaotomo/SearchMap

reverse_ip

http://www.ip-adress.com/reverse_ip

7C

http://www.7c.com/

发现端口无法进行利用我们可以收集C段 FOFA

fofa  ip="1.1.1.1/24"   C段搜索

IP138

https://site.ip138.com/www.hnu.edu.cn/

nmap 通过nmap收集 C段信息

nmap -sn -PE -n 192.168.1.1/24 -oX out.xml
-sn 不扫描端口
-PE ICMP扫描
-n  不进行dns解析   
-oX 输出结果

通过nmap定向端口扫描

Nmap -sS -Pn -p 3389 152.136.248.0
-sS  半开放扫描
-Pn  不进行主机存活探测

全端口扫描

Nmap -sS -Pn -p 1-65535 -n ip

端口开放服务扫描

Nmap -ss -sV -p 1-65535 -n ip

查旁站

https://chapangzhan.com/

旁站查询

当我们使用C段的方法送出许多的IP的时候可能无法分辨出那些IP对我们是有效的，这时候我们可以使用旁站来信息收集 概念：旁站是在同一台服务器上的其他域名 webscan 这个平台也是我最喜欢的，每天都会更新大量的站点，基本上都是有求必应。

https://webscan.cc/

端口扫描

nmap 最流行的工具之一，非常强大，端口扫描首选工具，扫描正确率很高

https://zh.wikipedia.org/zh-cn/Nmap
nmap   10.6.0.0/24  基础扫描，扫描常用端口，也可以指定扫描IP而不是网段
nmap -p 80 10.6.0.0/24  扫描指定端口，可以指定多个端口
nmap -sV 10.6.0.1   扫描服务器端的软件版本信息
nmap  -O 10.6.0.1   识别目标主机的操作系统 需要root权限
nmap -Pn 10.6.0.1   禁用ping检测，如果主机屏蔽ping请求则nmap认为没有开机无法进行检测，所以禁用ping进行全面扫描
nmap -A 10.6.0.1    全面扫描，不论操作系统还是版本信息等都能扫描，耗时也是最长的
nmap -sT 10.6.0.1   TCP扫描，三次握手成功则认为该端口开放
nmap -sS 10.6.0.1   SYN扫描（半开扫描），速度很快，扫描也很稳定

masscan 这款端口扫描工具和nmap很像，但是扫描速度却比nmap快10倍，而且很稳定，会显示扫描过程。基于快速扫描首先

https://github.com/robertdavidgraham/masscan

fofa fafo作为资产测绘工具基本涵盖所有信息，端口扫描功能也是不俗的。

https://fofa.info/

总结

通过IP查询域名旁站和C段的方法大概可以通过改方式来进行收集，可能不是很全但是够用。

公司名称

我们可以通过企业查询来寻找想要的信息，比如爱企查，天眼查，凤鸟（现在注册可免费领1年SVIP哦）这些都可以查，大同小异，我这里就以爱企查演示

爱企查

当我们获取到公司名称，可以通过爱企查来查询公司信息

https://aiqicha.baidu.com/

基本信息 邮箱，网站，电话等 点击更多网址可查看更多信息，比如手机号，其他域名，子公司等 人事信息 股权穿透情况 通过该项可查看子公司持股比例，如果持股50%那么我们可以作为目标去打 产品信息 我们还可以通过知识产权处看软件著作，公司开发的产品等信息，比如微信小程序，APP等

小蓝本

此工具对于查询app，商标，媒体等信息非常好用，相较于爱企查类型的软件著作查询，使用小蓝本更适合用来查询app应用。

https://sou.xiaolanben.com/pc

app程序 商标注册信息 与其相同行业的其他公司产品

供应商

有些公司网站页面写有技术支持等信息，这种适用于比如公司名称为三易拓，那么我们可以使用fofa的如下语句去寻找使用该公司产品的网站，从而从其他公司入手。

body="北京三易拓科技有限公司"

通过上图fofa语句搜索如下网站即可查询到使用该公司产品的网站

ipc备案

作为中国的公司一般网站都需要进行备案，所以我们可以通过网站页面显示备案信息来搜索公司名称等信息 页脚会显示备案信息，比如fofa 通过如下备案网站查询

https://beian.miit.gov.cn/#/Integrated/index

输入备案号 成功查询公司信息

google产品手册

通过google搜索某公司使用手册，说不定会泄露默认账号密码信息

github泄露源码

in:name spring               #仓库标题搜索含有关键字 SpringCloud
site:Github.com smtp
site:Github.com smtp @qq.com
site:Github.com smtp @126.com
site:Github.com smtp @163.com
site:Github.com smtp @sina.com.cn
site:Github.com smtp password
site:Github.com String password smtp
我们也可以锁定域名搜索结合厂商域名 灵活运用例如搜百度的
site:Github.com smtp @baidu.com
site:Github.com sa password
site:Github.com root password
site:Github.com User ID=’sa’;Password
site:Github.com inurl:sql
site:Github.com password
site:Github.com ftp ftppassword
site:Github.com 密码
site:Github.com 内部

总结

通过三个方面进行了信息收集讲解，从域名，IP，公司名称进行信息收集，获得了大量的域名，IP和邮箱，公司数量，小程序APP等资产，那么我们下一步就需要通过收集到的资产进行下一步的信息收集，比如目录扫描，指纹识别，Waf探测，非http协议端口怎么收集或处理还有一些其他操作等。

网站整体收集

当我们获取到网站我们需要识别中间件，脚本语言，使用的框架组件等信息。

wappalyzer

此工具作为火狐的一款插件，可通过该工具识别网站使用的组件，框架等指纹信息

数据包

通过数据包信息我们会发现到一些信息，比如中间件信息，脚本语言，特殊字段，比如shiro存在rememberMe=deleteMe

whatweb

此工具也可使用来进行指纹识别，很好用，命令简单，识别的信息也很全，比如脚本语言，系统等

whatweb -v reddit.com

TideFinger

通过分析web指纹的检测对象、检测方法、检测原理及常用工具，设计了一个简易的指纹搜集脚本来协助发现新指纹，并提取了多个开源指纹识别工具的规则库并进行了规则重组，开发了一个简单快捷的指纹识别小工具TideFinger，并实现了一套在线的指纹识别平台“潮汐指纹”

http://finger.tidesec.net/   https://github.com/TideSec/TideFinger

EHole

EHole(棱洞)魔改。可对识别出来的重点资产进行漏洞检测(支持从hunter和fofa中提取资产)支持对ftp服务识别及爆破

https://github.com/lemonlove7/EHole_magic

目录扫描

目录扫描是非常好用的收集方法，能够扫描出很多的敏感信息，比如robots.txt，www.zip，phpinfo等，主要根据网站使用的语言和框架来进行指定扫描 7kbscan

https://github.com/7kbstorm/7kbscan-WebPathBrute

自身功能用起来还是十分不错(支持自定义user-aget、可以设置线程、自定义字典等等)

dirsearch

很好用，我基本上都使用该工具进行目录扫描

https://github.com/maurosoria/dirsearch

BBScan

https://github.com/lijiejie/BBScan

BBScan 是一个高并发、轻量级的信息泄露扫描工具。 它可以在短时间内完成数十万目标的扫描，帮助渗透工程师从大量无标签的主机中，定位到可能存在弱点的目标，进行下一步半自动化测试，或者是开启重量级扫描器。 它可以作为一个轻量级插件，集成到自动化扫描系统中。

dirb

dirb是一个基于字典的web目录扫描工具，采用递归的方式来获取更多的目录，可以查找到已知的和隐藏的目录，它还支持代理和http认证限制访问的网站。

https:// sourceforge.net/project s/dirb/files/

JS信息收集

jsfinder

JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具。LinkFinder的增强版

https://gitee.com/MrWQ1/JSFinder/blob/master/JSFinder.py

LinkFinder

JavaScript文件可能会泄露敏感信息，如注释中的机密信息、内部IP地址，以及包含未授权访问或其他漏洞的URL。手动检查这些信息效率低下，而该工具——LinkFinder，可用于自动收集JavaScript文件中的信息。

https://github.com/GerbenJavado/LinkFinder?tab=readme-ov-file

findsomething

FindSomething，基于浏览器插件的被动式信息提取工具

https://github.com/momosecurity/FindSomething      火狐浏览器安装

WAF探测

这个其实我没怎么了解过，一般来说网站使用的都是公司内部产品，根本不存在绕过的可能，所以大家最多就是知道该网站有WAF然后直接下一个目标，所以我这里只给出工具，大家可以自己去试一试。

https://github.com/EnableSecurity/wafw00f       wafw00f

总结

信息收集大概就这些，希望对大家有用。如果大家对于上述文章提及的信息收集方法还有好的工具可以在下方留言，和其他的师傅们一起分享，感谢大家的观看。

​​​​​​​