信息收集（whois、dig、dnsrecon、dnsenum、netcraft 与 wappalyzer插件）

本文以testfire.net和 vulnweb.com为目标，testfire.net 是IBM 公司为了演示旗下有名的Web 漏洞扫描器AppScan 的强大功能所搭建的模拟银行网站，所以上面有很多常见的Web 安全漏洞。vulnweb.com也是一个类似的测试网站。

DNS信息

在收集DNS信息的时候，主要关注域名注册商，管理员联系方式，电话和邮箱，子域名信息等。

whois 查询

whois 是集成在kali 中的一个小工具，只能查询公开的一些信息
whois 工具可以用来查询域名注册信息，命令如下：[whois DomainName]，一般子域名查不到

一些参数：

还可以利用站长之家：http://whois.chinaz.com/进行whois查询


除了使用whois 进行查询之外，我们还可以使用反查（例如：通过whois 查询到了邮箱，我们就可以通过邮箱反查出这个邮箱注册了多少个域名）

• 邮箱反查
  
• 电话反查
  
• 注册人反查
  

子域名查询

1. 第三方网站
   可以查询子域名的网站：https://searchdns.netcraft.com/，需要科学上网。在表单中直接提交域名即可，这种方法查询大型网站比较有优势。但是不一定全面，有缺陷。
   
   还有其他的第三方网站查找：
   http://tool.chinaz.com/subdomain
   http://dnsdumpster.com/
   http://dns.aizhan.com（IP反查域名）
   搜索引擎（谷歌）查找：
   site:主域名
2. 域传送漏洞
   DNS 区域传送（DNS Zone Transfer）指的是一台备用服务器使用来自主服务器的数据刷新自己的域（zone）数据库。这为运行中的DNS 服务提供了一定的冗余度，其目的是为了防止主的域名服务器因意外故障变得不可用时影响到整个域名的解析。
   一般来说，DNS 区域传送操作只在网络里真的有备用域名DNS服务器时才有必要用到，但许多DNS 服务器却被错误地配置成只要有client发出请求，就会向对方提供一个zone 数据库的详细信息，所以说允许不受信任的因特网用户执行DNS 区域传送(zone transfer)操作是后果最为严重的错误配置之一。
   使用vulhub 复现域传送漏洞
   
   可以使用dig 工具（kali自带，但是我的kali 2020.4没有，安装命令：apt-get install dnsutils,Ubuntu自带）来检测域传送漏洞，命令如下：
   [dig axfr @dns.example.com example.com]
   axfr是参数，@dns.example.com是指定一个dns服务器（这里就是搭建vulhub的虚拟机的IP），example.com是要解析的域名
   
3. 子域名挖掘工具
   dnsrecon：kali自带的一款子域名挖掘器，可以实现子域名爆破，需要配合字典使用
   
   命令：dnsrecon -d 域名 -D 字典的绝对路径 -t 类型
   
   准备一个字典里面写上所有可能的域名(4个字母左右别超过十个)。字典中的每个单词，依次去尝试，就叫做爆破
   工具不重要，重要的是字典：
   
   

DNS2IP

根据域名获得IP

• ping：非权威解答
  
• nslookup
  
• dig
  dig 域名
  
  dig +trace 域名：获取域名的详细解析过程
  
  dig @DNS服务器 域名：指定DNS服务器
  
• dnsenum：kali自带，推荐使用，自动检测域传送漏洞
  
• CDN的全称是Content Delivery Network，即内容分发网络。
  CDN的基本原理是广泛采用各种缓存服务器，将这些缓存服务器分布到用户访问相对集中的地区或网络中，在用户访问网站时，利用全局负载技术将用户的访问指向距离最近的工作正常的缓存服务器上，由缓存服务器直接响应用户请求。
  所以我们有时候查询到的IP可能不是真正服务器的IP，而是CDN服务器。
  在进行渗透的过程中，要绕过这些CDN服务器。

IP查询

站长之家：http://ip.tool.chinaz.com/

• IP查询
• 同IP查询：同一个服务器上的网站（旁站关系），C段指的是和服务器属于同一个网段/24
• IP2Location
  通过IP地址查询经纬度：https://www.maxmind.com
  
  通过经纬度查询物理地址：https://www.google.com/maps/
  

利用搜索引擎搜取信息

Google hacking语法

一种搜索引擎语法，获取有关网站的信息。（搜索的是网站的页面）
Google hacker (Google黑客)是利用GOOGLE提供的搜索功能查找黑客们想找到的信息。一般是查找网站后台，网管的个人信息，也可以用来查找某人在网络上的活动。
Google hacker 一般是做为黑客在入侵时的一个手段。在入侵过程中有时需要查找后台的登陆口就需要用到GOOGLE HACKER。有时猜解密码的时候google也是提供查找管理员资料的有效平台。

• intext:
  这个就是把网页中的正文内容中的某个字符做为搜索条件。例如在google里输入：intext:动网。将返回所有在网页正文部分包含“动网”的网页。
• allintext:
  使用方法和intext类似。
• intitle:
  和上面那个intext差不多，搜索网页标题中是否有我们所要找的字符。例如搜索：intitle:安全天使。将返回所有网页标题中包含“安全天使”的网页。
• allintitle:
  也同intitle类似。
• cache:
  搜索google里关于某些内容的缓存，有时候也许能找到一些好东西哦。
• define:
  搜索某个词语的定义，例如搜索：define:hacker，将返回关于hacker的定义。
• filetype:
  这个我要重点推荐一下，无论是撒网式攻击还是我们后面要说的对特定目标进行信息收集都需要用到这个。搜索指定类型的文件。例如输入：filetype:doc。将返回所有以doc结尾的文件URL。当然如果你找.bak、.mdb或.inc也是可以的，获得的信息也许会更丰富。
• info:
  查找指定站点的一些基本信息。
• inurl:
  搜索我们指定的字符是否存在于URL中。例如输入：inurl:admin，将返回N个类似于这样的连接：http://www.xxx.com/xxx/admin，用来找管理员登陆的URL不错。容易存在sql注入。
• allinurl:
  也同inurl类似，可指定多个字符。
• link:
  例如搜索：inurl:www.4ngel.net。可以返回所有和www.4ngel.net做了链接的URL。
• site:
  这个也很有用，例如：site:www.4ngel.net。将返回所有和4ngel.net这个站有关的URL。

钟馗之眼

ZoomEye 支持公网设备指纹检索和Web 指纹检索。
网站指纹包括应用名、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统（CMS）和数据等。

netcraft 与 wappalyzer插件

撒旦

输入 JAWS/1.0 进行搜索，可以查看公网摄像头网址，输入【admin/】进行登录，可能可以登录后台查看摄像头。