信息收集tools
| 工具 | 链接 |
|---|---|
| fofo | https://fofa.so/ |
| shodan | https://www.shodan.io/ |
| 站长工具 | https://tool.chinaz.com/ |
| github | https://github.com/ |
| 码云 | https://search.gitee.com/ |
| 爱企查 | https://aiqicha.baidu.com/ |
| zoomeye | https://www.zoomeye.org/ |
| 站点数据 | 官网最下面cnzz处 |
| 备案查询 | https://www.beianx.cn/ |
| dns | https://dns.bufferover.run/dns?q=目标域名如 xx.com |
| dns | https://dnsdb.io/zh-cn/ 需要vip |
| dns | https://spyse.com/ |
| 微步情报查询 | https://x.threatbook.cn/ |
| 奇安信鹰图平台 | https://hunter.qianxin.com/ |
| site.ip138.com | site.ip138.com |
| 超级ping | https://ping.chinaz.com/ |
| nslookup | |
| Layer子域名挖掘机 | |
| oneforall工具 | |
| 聚合搜索 | https://search.chongbuluo.com/ |
| 中国互联网信息中心 | http://ipwhois.cnnic.net.cn/ |
搜索目标企业的暴露域名
官网信息
通过百度,google等搜索引擎搜索目标企业的官方网站和子公司的官方网站,确定该企业官网使用的域名。
如果控股子公司有独立域名,也要记录下来进行下面的操作。
对已发现的域名执行以下8步骤操作
1. 检查是否使用了cdn
对域名进行超级ping操作https://ping.chinaz.com/,可以发现其中该域名是否使用了cdn服务。如果只有一个ip那么该ip即为该域名真实公网ip。
如果超级ping发现该域名指向了多个ip且没什么规律,那么很有可能是使用了cdn服务。
当发现有域名使用cdn服务时,想办法绕过cdn,例如可以使用该网站查询历史解析ip,如果目标域名最早没有使用cdn服务,那么通过历史解析ip可以知道该域名的真实ip。或通过国外ip访问,有可能目标网站仅在国内使用了cdn服务,国外使用的是真实ip。
例如使用ip138查询网可以查询目标域名的历史解析ip,子域名,备案信息等信息。
2.进入网站,在网页中搜索有用信息
网站的顶部和尾部会有一些二级链接或该公司的一些其他网站的链接按钮,点击进去记录下所有属于该公司的域名等有用信息。
通过whois工具,查询域名注册信息,记录注册电话和邮箱,通过反查可以查询该邮箱或电话下的其他注册域名。
3.备案查询
通过备案查询网站https://www.beianx.cn/,直接属于域名,可以查询该域名的备案信息,其中一条信息为网站备案/许可证号,再搜索网站的备案号,搜索时去掉备案号的后缀,如 京ICP证030173号-1 该备案号后面的 -1 就是后缀。同一备案号下可能注册有多个域名,这些域名同样归该企业所有,一一记录下来。
4. DNS搜索
使用dns搜索可以发现目标域名使用的dns服务器上解析的其他域名和对应的ip。使用方法 :复制以下url,在q=字符后面拼接上目标域名进行搜索。 https://dns.bufferover.run/dns?q=目标域名如 xx.com
例如搜索 https://dns.bufferover.run/dns?q=rockontrol.com
结果如下
{
"Meta": {
"Runtime": "0.189693 seconds",
"Errors": null,
"Message": "Powered by DNSGrep - https://github.com/erbbysam/DNSGrep",
"FileNames": [
"/sonar.fdns_v2/2021-12-31-1640909088-fdns_a.json.gz",
"/sonar.rdns_v2/2021-12-29-1640736344-rdns.json.gz"
],
"TOS": "The source of this data is Rapid7 Labs. Please review the Terms of Service: https://opendata.rapid7.com/about/"
},
"FDNS_A": [
"218.26.184.147,rockontrol.com",
"218.26.184.147,oa.rockontrol.com",
"220.194.141.144,zhongshan.cloud.rockontrol.com",
"10.1.2.18,file.rockontrol.com",
"ssl.exmail.qq.com.,mail.rockontrol.com",
"218.26.184.147,www.mail.rockontrol.com",
"221.178.97.88,web-park--hechuan.rockontrol.com",
"221.178.97.88,jpark-cms--hechuan.rockontrol.com",
"220.194.141.138,cloudchain.rockontrol.com",
"10.100.140.10,taiyuan.cloudchain.rockontrol.com",
"139.198.16.159,demo.rockontrol.com",
"139.198.21.187,aiphoto.rockontrol.com",
"218.26.184.147,oasms.rockontrol.com",
"220.194.141.141,ops.rockontrol.com",
"139.198.18.171,product.rockontrol.com",
"account.rockontrol.com.cdn.dnsv1.com.,account.rockontrol.com",
"172.17.100.249,gw-iot.rockontrol.com",
"218.26.184.147,www.rockontrol.com"
],
"RDNS": [
"218.26.184.151,mail.rockontrol.com"
]
}
可以发现该dns服务器还存在erp2、h5、redmine、app、erp、www等子域名以及对应ip。
5.使用子域名挖掘机工具进行搜索
类似的工具有很多,例如Layer子域名挖掘机,github上有oneforall工具,都可以去搜索子域名。如Layer子域名挖掘机,输入目标域名,域名层数选择1层,目标端口依据自身需要选择,默认为80和443.点击启动即可。
6.使用搜索引擎的高级语法搜索子域名
inurl: (xx.com)可以搜索出所有url中存在xx.com的网站。(xx.com为之前发现的目标企业的域名)
title: (xx)可以搜索网站标题中带xx的网站,xx为目标企业名称(中文,英文,或缩写)
记录下所有搜索结果中出现的子域名
7.循环
以上每步都有可能发现新的域名,对所有新发现的域名重复上述步骤。
数据整理
循环上述步骤直到没有新的域名发现后,进行数据整理。
将所有发现的属于该公司的ip统计,分类,归纳该公司使用的网段。
将所有ip批量查询,查询出ip归属地,一般同一地区的大概率就是在同一机房。
ip批量查询地址https://ip.tool.chinaz.com/ipbatch
其他暴露信息
APP
搜索微信公众号,小程序等,搜索苹果应用商店,安卓应用市场等看是否有目标企业开发的应用。
开源平台
在各大开源平台搜索目标企业的中英文名,主要产品的名称等,查看目标企业是否有将代码托管在开源平台
网盘资料
在各大网盘的资源搜索引擎中搜索,查看目标企业是否有资料使用过网盘分享。
搜索子公司
通过爱企查,企查查,天眼查等,搜索目标的工商注册信息和对外投资关系。
将搜索结果中值得注意的信息记录下来,包括电话,地址,网站,法人,控股企业等。注意子公司的子公司也要记录下来。
tips
在开源平台进行信息收集的时候,会出现信息太多的情况,要学会筛选信息,分析信息,比如进行联合查询,搜索password username等关键字
有些工具有api接口,可以提高工作效率
要查看网页里的链接,用查看网页源代码的方式 ,搜索http可以快速筛选
微信小程序可以使用工具查出ip
4799
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
