信息收集手段与方法

一，Google hacking

（1）Google语法图

（2）GHDB

	常用google hacking 语法集合

二，网络空间搜索引擎

网络空间搜索引擎是对全球网络空间技术设施或网络设备进行扫描，并可以对指纹特征检索的平台。

简单来说，可以通过网络空间搜索引擎，对网络空间上的在线网络设备（联网设备）进行检索。例如：服务器、路由器、交换机、公共ip打印机、网络摄像头等等。

通过扫描全网设备并抓取解析各个设备返回的信息

• （1）www.shodan.io
  

• （2）fofa.so

• （3）censys.io

• （4）www.zoomeye.org

三、域名信息收集

• 1，whois
  WHOIS是用来查询域名或者IP所有者信息的传输协议，基于TCP协议。它可以用来查询域名是否已经被注册，以及注册者的详细信息

  ![图whois查询](https://img-blog.csdnimg.cn/20200502150938434.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80MzI3MjU0Mg==,size_16,color_FFFFFF,t_70#pic_center)
  

• （1）通过whois平台查询

• （2）kali命令行查询

  • whois 域名

通过获得注册人的相关信息。对于中小型站点，域名所有者往往是IT运维人员，就可以根据获取部分信息进行深入挖掘

四，备案信息查询

• ICP—>Internet Content Provider 网络内容服务商。

  icp备案可以说是网站备案或域名备案，具体是指网站在信息产业部提交网站信息进行官方认可。对国内各大小网站（包括企业以及个人站点的）严格审查工作，对于没有合法备案的非经营性网站或者没有获取ICP许可证
  的经营性网站，根据网站性质，将给予罚款，严重的关闭网站，一次规范网络安全，打击一切利用网络资源进行不法活动的犯罪行为

  ![备案信息查询图](https://img-blog.csdnimg.cn/20200502151038523.png#pic_center)
  

  可以根据备案信息获取域名的单位信息。再根据单位相关信息，找到更多的网络资产。

五，子域名信息收集

子域名可以让我们发现目标在互联网上更多的资产与服务，扩大攻击面，更容易找到薄弱点。

• 1，子域名枚举
  基于子域名字典枚举爆破

  • （1）subDomainsBrute
    

  • （2）搜索引擎 site:
    site:二级域名/三级域名

  • （3）第三方聚合应用
    第三方服务汇聚了大量的DNS数据集，可以检索某个给定域名的子域名信息

    	![第三方聚合应用图](https://img-blog.csdnimg.cn/20200502151136784.png#pic_center)
    

  • （4）证书透明度
    授权机构（CA）是一个受信任的第三方组织，负责发布和管理SSL/TLS证书，全球有数百个受信任的CA，可以有权利为域名发布SSL证书

    证书透明度（CT）是为了防止证书授权机构（CA）或者其他恶意人员伪造服务器证书二诞生的一个项目。
    

    CT会要求CA将证书（SSL/TLS证书）公开并发布将颁发记录同步到日志服务器中。二日志服务器则会提供给用户一个查找某域名颁发的所有数字证书途径

    	！！！数字证书会包含子域名相关的信息！！！
    
    	CT日志检查平台图
    

  • （5）CT日志缺陷
    CT日志只能增加，不能减少，所以证书上的子域名可能是过期的状态，可以通过masdns工具对域名可解析的识别

  • （6）CSP
    网页安全政策（CSP），白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同白名单

    可以查看HTTP的Content-Security-Policy 字段来手机子域名信息（一般没有，很有限）

  • （7）DNS区域传送漏洞（很少了）
    一般DNS服务器会存在冗余备份，而主备之间同步域数据库的操作，就是DNS区域传送。主服务器对来请求的备用服务器未作访问控制，验证身份就是做出相应故而出现这个漏洞。

  • （8）子域名挖掘机

  • （9）sublist3r（GitHub开源）
    使用许多搜索引擎枚举子域。使用多个工具枚举子域。

  • （10）OneForAll（基本子域名功能都涵盖了）

六，服务器信息收集

• 1，获得服务器真实IP

  • （1）CDN
    内容分发网络

    CDN将媒体资源，动静态图片，html，css，js等内容缓存到距离客户端更近的节点，从而让用户进行共享资源，实现缩减站点间的响应时间等等需求。
    提高用户访问速度和成功率。结局分部、带宽、服务器性能带来的访问延迟问题，适用于站点加速、点播、直播等场景。

    

  • （2）目标ip信息收集
    如果站上CDN，那么无法获取真实IP地址

    • 1，判断是否存在CDN

      • （1）站长工具ping测试，多个节点ping服务器，如果不同ip地址可能上了CDN。注意对ip归属地进行解析。
        CDN常用工具图
      • （2）使用在线平台
        CDN在线平台图

    • 2，绕过CDN

      • （1）子域名获取真实ip
        大多数情况，企业在互联网上的网站资产较多，不会对所有站点都使用CDN进行加速。那么我们可以从子域名入手，获取真实ip

      • （2）利用站点功能主动发起请求
        网站中注册或者找回密码功能中会发邮件验证，或者RSS订阅、邮件订阅等这些功能就会让服务器主动发起请求，我们可以获得对方服务器的IP地址。但大多数时候获取的是邮箱服务器地址。

      • （3）查询SSL证书
        在censys上搜索一下语句，来查询证书中是否有匹配的域名

      • （4）利用DNS记录
        查询域名与IP的历史记录，可能会发现使用CDN之前的目标IP地址
        

      • （5）利用冷门的DNS请求
        某些CDN对国外的覆盖不广，那么可以利用这种特性进行探测。使用国外的代理或DNS解析来查看IP

      • （6）利用站点漏洞
        利用某些漏洞，让服务器得到信息泄露，或者主动对我们发起请求，则可以获得域名真实IP
        例如：PHPinfo，SSRF漏洞。

七，操作系统类型

• 1，Nmap
  Nmap可以检测目标主机是否在线，端口开放情况，侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。它是网络管理员比用的软件之一，用来评估网络系统安全。

  • nmap 参数 ip地址
    -pn 不判断主机存活，直接探测操作系统（不加可能会被禁ping）

    -O 判断服务器操作系统类型，和版本号

    -sV 探测主机服务信息，

• 2,大小写

  • Windows不区分大小写

  • Linux大小写敏感

  可以在url直接改变大小写判断服务操作系统类型

八，端口扫描

• 1，使用Nmap
  nmap IP地址

九，主机服务信息

• 查找主机服务版本号

  nmap -sV IP地址

十，web应用架构探测

对于具有web应用的服务器，我们需要深入探测web应用架构，包括web中间件、服务端脚本语言、数据库、web应用开发框架、web应用指纹等

• 1，burpsuite探测报文头

• 2，页面报错信息

• 3，御剑web指纹识别系统

• 4，在线cms检测web指纹识别工具（推线）
  云悉指纹

• 5，web应用敏感信息
  寻找web应用的敏感目录、敏感文件、源码泄露。

  • （1）wfuzz
    wfuzz可以通过做参数的模糊测试，也可以通过做web目录扫描等操作

    wfuzz -w DIR.txt http://xxx.com/FUZZ

    通过字典对域名爆破

  • （2）御剑（无字典大小限制版或目录优化版）

    字典写好目录规则

    不断发送http请求判断目录是否存在