信息搜集

一、信息搜集的意义

知己知彼，百战不殆。
安全的高度，取决于最薄弱的地方，木桶中最短的那一块板。
信息搜集，就是搜集薄弱资产。
安全的防护，讲究外紧内松，内网有大量的弱密码、通杀漏洞。

二、信息搜集方向

1、whois
域名注册时留下的信息，比如留下管理员的名字、电话号码、邮箱。
域名注册人可能就是网站管理员，可以尝试对其进行社工、套路，查询是不是注册了其他域名，以扩大攻击范围。
站长之家
whois反查

whois
查找隐藏的联系方式，搜索联系方式，判断从事方向

贴吧

不同的搜索引擎会得到不同的内容。
信息搜集不一定会得到想要的结果。

天眼查
搜索公司，搜索法人的名字

密码字典生成器

2、子域名
顶级域名下的二级域名或者三级甚至更多级的域名都属于子域名，有一些直接ip访问的WEB站也归结于子域名收集范围。
子域名可以扩大攻击范围，同一个域名下的二级域名都属于相同资产，一般而言都有相关的联系。
baidu.com
www.baidu.com

旁站：
同IP站点
www.a.com -> 127.1.1.1
www.b.com -> 127.1.1.1

同IP不代表同服务器：
（1）同IP同服务器
（2）同IP不同服务器，同一个内网

站长工具：同IP查询

ping查询
ping检测

IP反查域名
爱站网
reverseip
微步在线
潮汐指纹

CDN加速
访问到的IP不是真实的IP，而是CDN提供的IP。可以通过ping检测，查看其IP是否改变。

通过访问同IP站点的错误文件，查看其报错是否相同，如果相同，很大可能是使用了同一个web容器，很大可能搭建在同一台服务器上。
对报错页面进行分析，可能得到一些漏洞。

403禁止访问，证明文件存在
404找不到文件

寻找功能点、后台地址
例如尝试查找admin文件
ab.com/admin/login.asp

子域名挖掘机：
爆破DNS，只写顶级域名，不会伤害目标站点，但可能造成自身网络堵塞。

使用工具爆破DNS服务器
subDomainsBrute

3、目录扫描技术（御剑）
有些网站可能某个目录下是一个新的网站，有的时候目录扫描直接下载了压缩包源码、编辑器目录、一些废弃的页面（会报错）

未经授权进行扫描，可能会因为访问次数过多，而被认为是恶意访问。最好降低访问速度，比如使用单线程（1s访问1次），延时扫描。

如果IP被封，稍微等一下，一般可以解决，如果长时间被封，则需要更换IP，手机热点则重启手机，拨号上网则重启路由器。实在不行，就挂代理。

当然，虽然蜜罐没有那么常见，但还是小心为上。

小技巧：查看君子协议robots.txt

4、端口探测（Nmap）
有些危险端口易与入侵，例如445、3306、22、1433、6379，可以尝试爆破或者是使用某些端口存在漏洞的服务。

高危端口：
21 FTP
22 ssh
3306 mysql
8080 其他web站
6379 redis未授权访问
1433 MSSQL（爆破）
3389 RDP（0708）
445 smb（永恒之蓝）
这些大部分都是默认端口。

有可能一台服务器上面不同端口代表着不同的Web网站。

有域名的防护 > 无域名的防护
80或者443默认端口的防护 > 其他端口
总结，无域名的非80、443端口的防护相对较弱

6、C段扫描
例如192.168.1.1 ，那么192.168.1.1-192.168.1.255 都属于同一个C段，有些学校或者大公司，他们会持有整个IP段，这个IP段中所有的IP都是那个公司的资产，拿下一台可能有有用的计算机，可能在同一内网。

当然，这是一场赌博，可能会误伤他人。

7、谷歌语法
谷歌搜索
语法可联合使用
filetype:指定数据类型
site:指定域名
inurl:指定URL栏目，URL是统一资源定位符号，即网址
intitle:指定标题
intext:指定内容
link:包含指定网页链接的网页

谷歌搜索：
filetype:xls 学号
site:smqh.edu.cn
inurl:.php
intitle:PHP探针-UPUPW

谷歌搜索仍然强于其他搜索引擎。

我们可以使用谷歌搜索一些所需要的信息。

伪静态：本身是动态，但表现为静态

Goole Hacking

三、网络空间搜索引擎

fofa.so
钟馗之眼
shodan

可以搜索到平时搜索不到的内容，比如可以搜索工控设备等等