信息收集

信息收集 域名信息 Whois查询

指的是域名注册时留下的信息·管理员名字、电话、邮箱

可以通过社工、查询有误其他域名，扩大攻击范围

1. 通过在线工具查询

   • IP138查询网

   • 域名信息查询 - 腾讯云

   • 新网域名信息查询

   • IP Whois查询 - 站长工具

   • SearchDns—Netcraft

2. 通过命令行查询

   • whois命令

     root@kali:/home/mpy# whois xuegod.cn
     Domain Name: xuegod.cn
     ROID: 20140908s10001s72166376-cn
     Domain Status: ok
     

邮箱收集

• 通过工具
  • theHarvester
  • infoga

备案信息查询

网站备案信息是根据国家法律法规规定，由网站所有者向国家有关部门申请的备案，是国家信息产业部对网站的一种管理途径，是为了防止在网上从事非法网站经营活动，当然主要是针对国内网站。

在备案查询中我们主要关注的是：单位信息例如名称、备案编号、网站负责人、法人、电子邮箱、联系电话等。

• 通过在线工具查询

  • 备案查询

  • ICP/IP地址/域名信息备案管理系统

  • 备案巴巴

  • 天眼查

  • ICP备案查询网

  • 国外备案查询

信用信息查询

查一些基础信息，看运气

• 通过在线工具查询

  • 国家企业信用信息公示系统

  • 信用中国-个人信用查询搜索-企业信息查询搜索-统一社会信用代码查询

子域名信息 子域名

1. 在线工具查询

   • IP138查询网
   • Dns-Bufferover
   • 在线子域名查询—phpinfo
   • 子域名扫描
   • 二级子域名扫描
   • DnsDumpster
   • SearchDns—Netcraft

2. 证书透明度公开日志枚举

   证书透明度是证书授权机构（CA）的一个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中

   一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也经常成为攻击者非常希望获得的有用信息

   查找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志

   • crt
   • censys
   • myssl

3. 软件

   • theHarvester

   • Layer

   • subDomainsBrute

DNS记录

通过字典拼接到域名上去访问DN服务器，如果服务器有响应，则该域名存在

Dns域名解析

1. ping

   root@kali:/home/mpy# ping baidu.com
   PING baidu.com (220.181.38.148) 56(84) bytes of data.
   64 bytes from 220.181.38.148 (220.181.38.148): icmp_seq=1 ttl=128 time=68.5 ms
   

2. nslookup

   nslookup baidu.com

   root@kali:/home/mpy# nslookup baidu.com
   Server:         192.168.30.2
   Address:        192.168.30.2#53
   
   Non-authoritative answer:
   Name:   baidu.com
   Address: 39.156.69.79
   Name:   baidu.com
   Address: 220.181.38.148
   

3. dig

   dig @服务器地址 需要查询的地址 any

   any：显示所有类型的域名记录（默认只显示A记录）

   root@kali:/home/mpy# dig baidu.com
   root@kali:/home/mpy# dig @8.8.8.8 baidu.com
   root@kali:/home/mpy# dig @8.8.8.8 baidu.com any
   root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
       ……
   baidu.com.              7191    IN      SOA     dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
   baidu.com.              21591   IN      NS      ns4.baidu.com.
       ……
   

   +noall +answer会显示的很整洁

   root@kali:/home/mpy# dig @8.8.8.8 baidu.com any +noall +answer
   baidu.com.              7070    IN      SOA     dns.baidu.com. sa.baidu.com. 2012143570 300 300 2592000 7200
   baidu.com.              21470   IN      NS      ns4.baidu.com.
   baidu.com.              21470   IN      NS      ns7.baidu.com.
   baidu.com.              21470   IN      NS      ns3.baidu.com.
   baidu.com.              21470   IN      NS      dns.baidu.com.
   baidu.com.              21470   IN      NS      ns2.baidu.com.
   baidu.com.              470     IN      A       39.156.69.79
   baidu.com.              470     IN      A       220.181.38.148
   baidu.com.              7070    IN      MX      20 mx50.baidu.com.
   baidu.com.              7070    IN      MX      10 mx.maillb.baidu.com.
   baidu.com.              7070    IN      MX      15 mx.n.shifen.com.
   

   -x使用IP反查域名

   root@kali:/home/mpy# dig -x 8.8.8.8
   ; <<>> DiG 9.16.6-Debian <<>> -x 8.8.8.8
   ;; global options: +cmd
   ;; Got answer:
   ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 22187
   ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0
   
   ;; QUESTION SECTION:
   ;8.8.8.8.in-addr.arpa.          IN      PTR
   
   ;; ANSWER SECTION:
   8.8.8.8.in-addr.arpa.   5       IN      PTR     dns.google.
   

4. dnsdict6

   root@kali:/home/mpy# dnsdict6 -m baidu.com
   

   -4 查询ipv4地址
   -D 显示自带的字典
   -t 线程数 最高32，默认是8
   -d 显示NS MX域名信息
   -S SRV服务名称猜解
   -[smlxu] 选择字典大小
   -s(mall=100),-m(edium=1419)(DEFAULT)
   -l(arge=2601),-x(treme=5886) or -u(ber=16724)
   

历史记录查询

• A记录（Address）正在解析

  • A记录是将一个主机名（全称FQDN）和一个IP地址关联起来，大多数客户端程序默认的查询类型
  • 例如：就是域名解析IP（mpy.com -> 12.12.12.11）

• PTR记录（Pointer） 反向解析

  • PTR记录将一个IP地址对应到主机名（全称域名FQDN），这些记录保存在in-addr.arpa域中

  • 例如：IP解析域名（12.12.12.11 -> mpy.com）

• CNAME记录（Canonical Name）别名记录

  • 别名记录，也成规范名字（Canonical Name），这种记录允许您将多台映射到同一台计算机上
  • 例如：n.mpy.com -> 8.8.8.7，m.mpy.com -> 8.8.8.7

• MX记录（Mail eXchange）邮件记录

  • MX记录是邮件记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器
  • 当有多个MX记录（即有多个邮件服务器）时，则需要设置数值来确定其优先级，通过设置优先级数字来指明首选服务器，数字越小表示优先级越高
  • 例如：mail.mpy.com

• NS记录（Name Server）域名服务器记录

  • NS（Name Server）记录是域名服务器记录，也称为授权服务器，用来指定该域名由哪个DNS服务器进行解析
  • 例如：dns.mpy.com

DNS bind版本查询

• 目的通过版本信息来查找相关版本漏洞的利用方式

dig txt chaos VERSION.BIND @需要查询的域名 查询bind版本信息

root@kali:/home/mpy# dig txt chaos VERSION.BIND @nc3.dnsv4.com

DNS域传送漏洞原理

DNS服务器分为：主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库，需要使用“DNS域传送”。域传送是指备份服务器从主服务器拷贝数据，并用得到的数据更新自身数据库

若DNS服务器配置不当，可能导致攻击者获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。同时，黑客可以快速的判定出某个特定zone的所有主机，收集域信息，选择攻击目标，找出未使用的IP地址，绕过基于网络的访问控制。

• DNS域传送漏洞检测

  1. nslookup

     nslookup #进入交互式shell

     server dns.xx.yy.zz #设定查询将要使用的DNS服务器

     ls xx.yy.zz #列出某个域中的所有域名

     exit #退出

     > nslookup
     Server:  lkwifi.cn
     Address:  192.168.68.1
     
     *** lkwifi.cn can't find nslookup: Non-existent domain
     > server ss2.bjfu.edu.cn
     Default Server:  ss2.bjfu.edu.cn
     Address:  202.204.112.67
     
     > ls bjfu.edu.cn
     [ss2.bjfu.edu.cn]
     *** Can't list domain bjfu.edu.cn: Query refused
     The DNS server refused to transfer the zone bjfu.edu.cn to your computer. If this
     is incorrect, check the zone transfer security settings for bjfu.edu.cn on the DNS
     server at IP address 202.204.112.67.
     > exit
     

     > nslookup
     > server dns1.xxx.edu.cn
     > ls xxx.edu.cn
     

  2. nmap

     • 利用nmap漏洞检测脚本"dns-zone-transfer"进行检测

     nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=xxx.edu.cn -p 53 -Pn dns.xxx.edu.cn

     --script dns-zone-transfer表示加载nmap漏洞检测脚本dns-zone-transfer.nse，扩展名.nse可省略

     --script-args dns-zone-transfer.domain=xxx.edu.cn向脚本传递参数，设置列出某个域中的所有域名

     -p 53 设置扫描53端口

     -Pn 设置通过Ping发现主机是否存活

  3. dig

     dig -h

     dig @dns.xxx.edu.cn axfr xxx.edu.cn

     axfr是q-type类型的一种: axfr类型是Authoritative Transfer的缩写，指请求传送某个区域的全部记录。

指纹识别

指网站CMS指纹识别、计算机操作系统及web容器的指纹识别等

• 通过在线工具
  • Tide安全团队
  • WhatWeb
  • Finger-P

WAF识别 WAF分类

1. 软件WAF

   1. D盾

      

   2. 云锁

      

   3. UPUPW

      

   4. 宝塔

      

   5. 国防G01

      

   6. 护卫神

      

   7. 安全狗

      

   8. 智创防火墙

      

   9. 360主机卫士 / 360webscan

      

   10. 西数WTS-WAF

       

   11. Naxsi

       

   12. 腾讯云

       

   13. 腾讯宙斯盾

       

   14. 百度云

       

   15. 华为云

       

   16. 网宿云

       

   17. 创宇盾

       

2. 硬件WAF

   GOV站点（政府站点）、国网、运营商

应用信息

公众号、微博、应用程序、App等

• 通过在线工具
  • 天眼查
  • 七麦数据
  • 苹果app

真实IP 国内外CDN 国内常见CDN

阿里云
腾讯云
百度云
网宿科技(ChinanNet Center)
蓝汛
金山云
UCloud
网易云
世纪互联
七牛云
京东云等

国外常见CDN

Akamai(阿卡迈)
Limelight Networks(简称LLNW)
AWS Cloud(亚马逊)
Google(谷歌)
Comcast(康卡斯特)

发现CDN 全国PING

• Ping检测-站长工具
• 17CE
• ipip (支持国内、国外)

绕过CDN 内部邮箱源

一般的邮件系统都在内部，没有经过CDN的解析，通过利用目标网站的邮箱注册、找回密码或者RSS订阅等功能，查看邮件、寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名,就可以获得目标的真实IP。

注意：必须是目标自己的邮件服务器，第三方或公共邮件服务器是没有用的

国外请求

很多时候国内的CDN对国外得覆盖面并不是很广，故此可以利用此特点进行探测。通过国外代理访问就能查看真实IP了，或者通过国外的DNS解析，可能就能得到真实的IP。

国际Ping

• ipip
• ASM

国外DNS解析

• 世界各地DNS服务器地址大全

分站域名&C段查询

很多网站主站的访问量会比较大，所以主站都是挂CDN的，但是分站可能没有挂CDN,可以通过ping二级域名获取分站IP， 可能会出现分站和主站不是同一个IP但在同一个C段下面的情况，从而能判断出目标的真实IP段。

C段查询

• 在线查询

https://phpinfo.me/bing.php

• 工具
  • K8_C段旁注工具6.0
  • nmap
  • IISPutScanner
  • 小米范WEB查找器

小米范WEB查找器：http://pan.baidu.com/s/1pLjaQKF

• 网络资产搜索引擎

  • Fofa、Shodan、ZoomEye

利用这些网络空间资产搜索引擎来搜索暴露在外的端口信息

利用语法搜索C段信息

网站漏洞

通过网站的信息泄露如phpinfo泄露，github信息泄露，命令执行等漏洞获取真实ip。

一些测试文件

phpinfo、test等

SSRF漏洞

服务器主动向外发起连接，找到真实IP地址

查询域名解析记录

一般网站从部署开始到使用cdn都有一个过程，周期如果较长的话 则可以通过这类历史解析记录查询等方式获取源站ip，查看IP与域名绑定的历史记录，可能会存在使用CDN前的记录。

在线网站查询

• dnsdb
• NETCRAFT
• viewdns
• threatbook
• securitytrails

目标网站APP应用

如果目标网站有自己的App，可以尝试利用Fiddler或Burp Suite抓取App的请求，从里面找到目标的真实IP。

网络空间引擎搜索

shodan、FOFA、zoomeye

敏感信息 目录后台

• 通过工具
  • 7kbscan-WebPathBrute
  • dirbuster
  • dirmap
  • 御剑

备份文件

• 网站备份文件常用名

  backup

  db

  data

  web

  wwwroot

  database

  www

  code

  test

  admin

  user

  sql

• 网站备份文件常用后缀名

  .bak

  .html

  _index.html

  .swp

  .rar

  .txt

  .zip

  .7z

  .sql

  .tar

  .gz

  .tgz

  .tar

• 常见扫描工具有

  • Test404网站备份文件扫描器 v2.0

公开文件

• 扫描工具
  • snitch

公网网盘

可能有些内部资料存放在公网网盘，被在线网盘抓取，可以利用这个来对目标系统进行信息收集

• 直接输入厂商名字进行搜索

• 在线搜索工具

  • 凌风云搜索
  • 小白盘搜索
  • 大力盘搜索
  • 小不点搜索【微盘】

历史网站

wayback会记录网站版本更迭，可以获取到之前版本的网站，可能会找到一些后来删除的敏感资产信息，或者一些漏洞

• https://web.archive.org/

源码泄露

/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store  MacOS自动生成
/.hg/
/.svn/ (/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml

Robots.txt

将常见源码泄露加入字典配合FUZZ、御剑等扫描器进行扫描收集

• .git源码泄露：https://github.com/lijiejie/GitHack
• .DS_Store泄露：https://github.com/lijiejie/ds_store_exp
• .bzr、CVS、.svn、.hg源码泄露：https://github.com/kost/dvcs-ripper

JS获取敏感接口 JSFinder

JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具。

• 安装

pip3 install requests bs4
git clone https://github.com/Threezh1/JSFinder.git

• 使用

python3 JSFinder.py -u http://www.mi.com
python3 JSFinder.py -u http://www.mi.com -d

LinkFinder

该工具通过网站中的JS文件来发现服务端、敏感信息、隐藏控制面板的URL链接等有用信息，可最大化地提高URL发现效率

• 安装

git clone https://github.com/GerbenJavado/LinkFinder.git
cd LinkFinder
python2 setup.py install

• 使用

在线JavaScript文件中查找端点的最基本用法，并将结果输出到results.html：

python linkfinder.py -i https://example.com/1.js -o results.html

CLI输出（不使用jsbeautifier，这使得它非常快）：

pyhon linkfinder.py -i https://example.com/1.js -o cli

分析整个域及其JS文件：

python linkfinder.py -i https://example.com -d

Burp输入（在目标中选择要保存的文件，右键单击，Save selected items将该文件作为输入）：

python linkfinder.py -i burpfile -b

枚举JavaScript文件的整个文件夹，同时查找以/ api /开头的终结点，并最终将结果保存到results.html：

python linkfinder.py -i 'Desktop/*.js' -r ^/api/ -o results.html

端口扫描 扫描工具

Nmap  

Masscan

masnmapscan

ZMap  

御剑高速TCP端口扫描工具

御剑高速端口扫描工具

IISPutScanner

IISPutScanner增强版-DotNetScan v1.1 Beta

Nmap

• 扫描多个IP

扫描整个子网 nmap 192.168.6.1/24
           nmap 192.168.1.1/16
           nmap 192.168.1-30.1-254
           nmap 192.168.1-254.6
扫描多个主机 namp 192.168.6.2 192.168.6.6
扫描一个小范围 nmap 192.168.6.2-10
扫描txt内的ip列表  nmap -iL text.txt
扫描除某个目标外   nmap 192.168.6.1/24 -exclude 192.168.6.25

• 绕过Firewalld【防火墙】扫描主机端口

通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制

nmap -sP 192.33.6.128
nmap -sT 192.33.6.128
nmap -sS 192.33.6.128
nmap -sU 192.33.6.128
nmap -sF 192.33.6.128
nmap -sX 192.33.6.128
nmap -sN 192.33.6.128

• 初步扫描端口信息

nmap -T4 -A -v -Pn 192.168.1.1/24 -p 21,22,23,25,80,81,82,83,88,110,143,443,445,512,513,514,1433,1521,2082,2083,2181,2601,2604,3128,3306,3389,3690,4848,5432,5900,5984,6379,7001,7002,8069,8080,8081,8086,8088,9200,9300,11211,10000,27017,27018,50000,50030,50070 -oN nmap_result.txt

• 扫描端口并且标记可以爆破的服务

nmap 127.0.0.1 --script=ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute

• 判断常见的漏洞并扫描端口

nmap 127.0.0.1 --script=auth,vuln

• 精确判断漏洞并扫描端口

nmap 127.0.0.1 --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iis-buffer-overflow,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version

浏览器插件

shodan

tcpiputils

dnslytics

fofa-view

wapplayzer

网络空间搜索引擎

fofa

shodan

zoomeye

漏洞公共库 国内

• 国家信息安全漏洞库
• 国家信息安全漏洞共享平台
• SeeBug
• 信息安全漏洞门户 VULHUB
• 数字观星
• NSFOCUS绿盟科技
• BugScan--漏洞插件社区
• 漏洞列表 | 教育行业漏洞报告平台（Beta）
• 工控系统行业漏洞库平台
• exp库-打造中文最大exploit库
• 乌云漏洞库

国外

• Exploit-db
• Sploitus | Exploit & Hacktool Search Engine
• packetstorm
• SecurityFocus
• cxsecurity
• rapid7 Vulnerability & Exploit Database
• Most recent entries - CVE-Search
• CVE security vulnerability database. Security vulnerabilities, exploits
• CVE mitre - Search CVE List
• 美国官方工控数据库 ICS-CERT Landing | CISA
• 路由器漏洞搜索 Routerpwn - One click exploits, generators, tools, news, vulnerabilities, poc

社工库

• social-engineer-toolkit