信息收集个人总结篇
最近在学习中,在搜集了很多资料后学到的几个信息收集基本方法,来总结一下
whois
在线whois查询
功能:对域名信息进行查询,可以查到注册商、注册人、邮箱、DNS解析服务器、注册人联系电话等
操作:直接输入网址
这里推荐几个吧
(1)站长之家域名WHOIS信息查询地址
(2)爱站网域名WHOIS信息查询地址
(3)腾讯云域名WHOIS信息查询地址
(4)美橙互联域名WHOIS信息查询地址
(5)爱名网域名WHOIS信息查询地址
(6)易名网域名WHOIS信息查询地址
(7)中国万网域名WHOIS信息查询地址
在线网站备案查询
功能:可查询网站备案信息及企业备案信息(单位名称、备案编号、网站负责人、电子邮箱、联系电话、法人等)
操作:直接输入网址
(1)天眼查
(2)ICP备案查询网
(3)爱站备案查询
(4)域名助手备案信息查询
其他方法
(1)利用DNS解析记录可以反查IP,比较早的解析记录有时可以查到真实IP,需要留意一下
(2)在网站查找注册人电话,注册人邮箱等社工信息可以钓鱼或者收集进字典来爆破目标办公系统
关于子域名的收集
子域名作用
收集子域名可以扩大测试范围,同一域名下的二级域名都属于目标范围
子域名中的常见的资产类型一般包括办公系统,邮箱系统,论坛,商城等,其他管理系统,网站管理后台等较少出现在子域名中
首先找到目标站点,在官网中可能会找到相关资产(多为办公系统,邮箱系统等),关注一下页面底部,也许有管理后台等收获。
在线查找方法
1、找官网
(1)FOFA title=“公司名称”
(2)百度 intitle=公司名称
(3)Google intitle=公司名称
(4)站长之家
(5)钟馗之眼 site=域名即可
找到官网后,再收集子域名(直接输入domain即可查询)
(1)子域名在线查询
(2)子域名在线查询t1h2ua
(3)Layer子域名挖掘机4.2(使用方便,界面整洁)
端口扫描
端口扫描作用
当确定了目标大概的ip段后,可以先对ip的开放端口进行探测,一些特定服务可能开起在默认端口上,探测开放端口有利于快速收集目标资产,找到目标网站的其他功能站点。
在线扫描
在线端口检测
工具扫描
Nmap扫描
常用参数,如:
nmap -sV + ip
用于扫描目标主机服务版本号与开放的端口
如果需要扫描多个ip或ip段,可以将他们保存到一个txt文件中
nmap -iL ip.txt
来扫描列表中所有的ip。
Nmap为端口探测最常用的方法,操作方便,输出结果非常直观。
(后面会专门写一篇有关nmap的)
端口扫描器
御剑,msscan,zmap等
填入想要扫描的ip段(如果只扫描一个ip,则开始IP和结束IP填一个即可),可以选择不改默认端口列表,也可以选择自己指定端口。
主要端口对应服务(来源公众号水滴安全)
查找真实IP
如果目标网站使用了CDN,那么我们就需要找到它的真实ip
注意:很多时候,主站虽然是用了CDN,但子域名可能没有使用CDN,如果主站和子域名在一个ip段中,那么找到子域名的真实ip也是一种途径。
1、多地ping确认是否使用CDN
http://ping.chinaz.com/
http://ping.aizhan.com/
2、查询历史DNS解析记录
在查询到的历史解析记录中,最早的历史解析ip很有可能记录的就是真实ip,快速查找真实IP推荐此方法,但并不是所有网站都能查到。
(1)DNSDB
https://dnsdb.io/zh-cn/
(2)微步在线
https://x.threatbook.cn/
(3)Ipip.net
https://tools.ipip.net/cdn.php
3、phpinfo
如果目标网站存在phpinfo泄露等,可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真实ip
4、绕过CDN
绕过CDN的多种方法具体可以参考
https://www.cnblogs.com/qiudabai/p/9763739.html
旁站和C段
旁站往往存在业务功能站点,建议先收集已有IP的旁站,再探测C段,确认C段目标后,再在C段的基础上再收集一次旁站。
旁站是和已知目标站点在同一服务器但不同端口的站点,通过以下方法搜索到旁站后,先访问一下确定是不是自己需要的站点信息
1、站长之家
同ip网站查询
http://stool.chinaz.com/same
2、网络空间搜索引擎
如FOFA搜索旁站和C段
该方法效率较高,并能够直观地看到站点标题,但也有不常见端口未收录的情况,虽然这种情况很少,但之后补充资产的时候可以用下面的方法nmap扫描再收集一遍。
3、Nmap,Msscan扫描等
例如:
nmap -p 80,443,8000,8080 -Pn 192.168.0.0/24
4、常见端口表
21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060
注意:探测C段时一定要确认ip是否归属于目标,因为一个C段中的所有ip不一定全部属于目标。
网络空间搜索引擎
如果想要在短时间内快速收集资产,那么利用网络空间搜索引擎是不错的选择,可以直观地看到旁站,端口,站点标题,IP等信息,点击列举出站点可以直接访问,以此来判断是否为自己需要的站点信息。FOFA的常用语法
1、同IP旁站:ip=”192.168.0.1”
2、C段:ip=”192.168.0.0/24”
3、子域名:domain=”baidu.com”
4、标题/关键字:title=”百度”
5、如果需要将结果缩小到某个城市的范围,那么可以拼接语句
title=“百度”&& region=“Beijing”
6、特征:body=”百度”或header=”baidu”
扫描敏感目录/文件
扫描敏感目录需要强大的字典,需要平时积累,拥有强大的字典能够更高效地找出网站的管理后台,敏感文件常见的如.git文件泄露,.svn文件泄露,phpinfo泄露等,这一步一半交给各类扫描器就可以了,将目标站点输入到域名中,选择对应字典类型,就可以开始扫描了,十分方便
1、御剑
https://www.fujieace.com/hacker/tools/yujian.html
2、7kbstorm
https://github.com/7kbstorm/7kbscan-WebPathBrute
3、bbscan
https://github.com/lijiejie/BBScan
4、dirmap
https://github.com/H4ckForJob/dirmap
5、dirsearch
https://github.com/maurosoria/dirsearch
6、github搜索
指纹识别
收集好网站信息之后,应该对网站进行指纹识别,通过识别指纹,确定目标的cms及版本,方便制定下一步的测试计划,可以用公开的poc或自己累积的对应手法等。
1、云悉
http://www.yunsee.cn/info.html
2、潮汐指纹
http://finger.tidesec.net/
3、CMS指纹识别
http://whatweb.bugscaner.com/look/
非常规操作
1、如果找到了目标的一处资产,但是对目标其他资产的收集无处下手时,可以查看一下该站点的body里是否有目标的特征,然后利用网络空间搜索引擎(如fofa等)对该特征进行搜索,如:body=”XX公司”或body=”baidu”等。
该方式一般适用于特征明显,资产数量较多的目标,并且很多时候效果拔群。
2、当通过上述方式的找到test.com的特征后,再进行body的搜索,然后再搜索到test.com的时候,此时fofa上显示的ip大概率为test.com的真实IP。
3、如果需要对政府网站作为目标,那么在批量获取网站首页的时候,可以用上
http://114.55.181.28/databaseInfo/index
之后可以结合上一步的方法进行进一步的信息收集。
SSL/TLS证书查询
SSL/TLS证书通常包含域名、子域名和邮件地址等信息,结合证书中的信息,可以更快速地定位到目标资产,获取到更多目标资产的相关信息。
推荐网站
算不上原创吧从很多地方找的资料
侵权删