前期学习时候的笔记，写得可能不好，不对的地方请大家批评指正

#小迪信息收集流程图（参考）

信息收集简介

信息搜集的方式分为两类：主动和被动。

主动信息搜集方式是通过直接访问、扫描网站、将这种流量流经网站的行为称为主动信息搜集。

被动信息搜集方式是利用第三方暴露在外，主要是互联网的信息进行收集。

一、域名信息

whois查询

whois信息在线收集地址 站长之家： http://whois.chinaz.com/阿里云域名信息查询：https://whois.aliyun.com爱站：https://whois.aizhan.com/微步：https://x.threatbook.cn/

whois反查

站长之家：http://whois.chinaz.comwhois反查可根据whois获取到的域名所有人、域名注册商、域名注册日期和过期日期等,使用邮箱，电话等进行反查获取更多关联的域名等信息。

备案信息查询

常用备案信息查询网站，获取网站的详细信息 ICP备案查询网：http://www.beianbeian.com/天眼查：https://www.tianyancha.com/爱站网：https://www.aizhan.com/

二、子域名

通过证书收集

https://censys.io/https://crt.sh/

Google语法

利用搜索引擎查询（site:www.xxx.com）

工具爆破枚举

layer子域名挖掘机、御剑、subDomainsBrute、K8

oneforall

在线查询

http://sbd.ximcx.cn/站长工具:http://tool.chinaz.com/subdomain/

三、旁站、C段

旁站：是和目标网站在同一台服务器上的其它网站。

C端：是和服务器IP处在一个C段的其他服务器。

在线： https://webscan.cc/

fofa、shodan在线工具 语法:ip="106.15.141.18/24"

本地：

namp

nmap -p 22,21,443,8080-Pn 172.178.40.0/24

masscan

masscan -p 22,21,443,8080-Pn --rate=1000172.178.40.0/24

goby 自动探测当前网络空间存活的IP及解析域名到IP，

K8旁站 K8Cscan是款专用于大型内网渗透的高并发插件化扫描神器，可以用来扫描C段、旁站

御剑1.5这个就不用多说什么了。

四、网站信息

1、网站架构探测

探测目标站点架构：操作系统、中间件、脚本语言、数据库、服务器、web容器。

1、指纹检测

组件是网络空间最小的单元，WEB应用程序、数据库、中间件等都属于组件。指纹是组件上能标识对象类型的一段特征信息，用来在渗透测试信息收集环节中快速识别目标服务。指纹识别可以通过一些开源程序和小工具进行扫描，也可以结合文件头和反馈信息进行手工判断，指纹识别的主要思路如下：

• 使用工具自动判断；

• 手工对网站的关键字、版权信息、后台登录、程序版本和rebots.txt等常见固有文件进行识别、查找、对比，相同文件具有相同的MD5值或相同的属性。

指纹检测详细解释：https://www.anquanke.com/post/id/178230

国外指纹识别工具

WhatWeb

Wapplyzer

Whatruns跟Wappalyzer安装类似，Whatruns可直接在chrome应用商城直接搜索安装

国内指纹识别工具

御剑web指纹识别程序

Test404轻量WEB指纹识别

w11scan分布式WEB指纹识别平台

在线指纹识别，

使用首先需要将被识别网址保存到文件中，然后打开Test404导入网址文件，点击开始识别即可。

通过域名或IP地址进行查询。

• 云悉指纹识别网址 ：http://www.yunsee.cn/finger.html

• bugscaner指纹识别网址：http://whatweb.bugscaner.com/look/

2、CMS识别

web渗透过程中，对目标网站的指纹识别比较关键，通过工具或手工来识别CMS系统的自建、二次开发，还是直接使用开源的CMS程序至关重要，通过获取的这些信息来决定后续渗透的测试思路和策略。在指纹识别的过程中，借用了很多开源的工具和指纹库，如fofa、WhatWeb、w11scan、WebEye、御剑等等。

在线cms指纹识别：http://whatweb.bugscaner.com/look/

云悉：http://www.yunsee.cn/info.html

潮汐指纹：http://finger.tidesec.net/

操作系统类型识别：

通过ping目标主机返回的TTL值判断服务器类型 win128 linux 64 ，大小写敏感区分。

工具：namp、p0f

综合探测工具： shodan、whatweb（kali集成）、wappalyzer插件。

2、WAF信息

扫描工具：whatwaf、wafw00f 在线识别工具：https://scan.top15.cn/web扫描IP C段，防火墙一般都会有web管理。

什么是WAF应用？

Web应用防火墙可以防止Web应用免受各种常见攻击，比如SQL注入，跨站脚本漏洞（XSS）等。WAF也能够监测并过滤掉某些可能让应用遭受DOS（拒绝服务）攻击的流量。WAF会在HTTP流量抵达应用服务器之前检测可疑访问，同时，它们也能防止从Web应用获取某些未经授权的数据。

WAF的主要特点有：

1． 针对HTTP和HTTPS的请求进行异常检测，阻断不符合请求的访问，并且严格的限制HTTP协议中没有完全限制的规则。以此来减少被攻击的范围。

2． 建立安全规则库，严格的控制输入验证，以安全规则来判断应用数据是否异常，如有异常直接阻断。以此来有效的防止网页篡改，信息泄露等恶意攻击的可能性。

3． 运用WAF技术判断用户是否是第一次请求访问的，同时将请求重定向到默认的登陆页面并且记录该事件。以此来检测识别用户的操作是否存在异常或者攻击，并且对达到阙值，触发规则的访问进行处理。

4． WAF防御机制也可以用来隐藏表单域保护，响应监控信息泄露或者被攻击时的告警提示，也可以抵抗规避入侵，爬虫等技术。

如何快速识别WAF？

工具：wafw00f

下载地址;https://github.com/EnableSecurity/wafw00f

直接cmd打开，输入： python setup.py install ,就会自动运行安装程序，最后一行出现下面这句话就是安装成功了

Finished processing dependencies for wafw00f==2.1.0

之后，cd 进入wafw00f文件夹，执行 python main.py 就可以开始识别网站waf了

执行命令 python main.py https://www.bilibili.com/进行waf检测

有识别不出和误报情况

案例:

无waf

手动识别waf

wafw00f-shodan（X-Powered-By:WAF）字段里面看看是否包含此信息X-Powered-By:WAF，但是此方法不一定有效

识别WAF对于安全测试的意义？

对方有waf，不要直接使用扫描工具去扫，因为都会拦截掉，扫了有可能会把ip封了，之后要过一会才能扫了。

3、历史漏洞

公开漏洞查询

确认网站的运行的cms或者运行的服务后，可通过公开漏洞进行查询：

http://cve.mitre.org/find/search_tips.html

通过查询cve漏洞库查找当前cms或者服务是否存在已知公开漏洞，结合google获取详细漏洞信息：

https://www.exploit-db.com/

Google等搜索引擎确定cms或者服务后，在后面加上exp、poc、漏洞等词汇获取详细漏洞信息。

https://vulners.com/

可通过漏洞相关关键字获取详细漏洞信息。

历史漏洞查询，

确认网站所属单位，可通过查询历史漏洞或者该集团、单位历史漏洞辅助攻击（例如获取内网ip段、历史账号密码）。

seebug：https://www.seebug.org/

CNVD：https://www.cnvd.org.cn/

五、敏感目录文件

Web 应用敏感信息探测:

• 寻找Web 应用的敏感目录、敏感文件、源码泄露。

• 敏感信息探测工具：

• wfuzz可以用在做参数的模糊测试，也可以用来做Web目录扫描等操作。

• 操作指令：wfuzz -w DIR.txt [http://xxx.com/FUZz](http://xxx.com/FUZz)

• 御剑扫描工具直接一顿扫

• Fuzzdb

网页源码

注意观察源代码里面是否会有开发者预留的相关信息，有时候开发者为图方面会将测试账号密码、默认管理员账号密码写在前端。同时查看源代码里面的一些相对路径的文件和绝对路径的文件，可能会存在未授权访问漏洞。

工具

工具：https://github.com/j3ers3/Dirscan

.git泄露

工具：https://github.com/denny0223/scrabble

工具：githacker https://github.com/WangYihang/GitHacker

在git泄露中也可能有其他有用的信息如在文件下.git/config文件下的access_token信息进而访问该用户的其他仓库。

SVN泄露

工具：seay-svn

dvcs-ripper

https://github.com/kost/dvcs-ripper

HG泄露

工具：https://github.com/kost/dvcs-ripper

备份文件

Test404网站备份文件扫描器 v2.0

Google语法是万能的

DirBuster（kali自带的一款扫描工具）

Webdirscan（python编写的简易的扫描工具）

御剑（操作简易方便）

dirmap（一款高级web目录扫描工具，功能比较强大）

这些工具都自带字典，也可以自己手动添加，拥有强大的字典也是很关键的

五、端口扫描

需要知道目标服务器开放了哪些端口，常见的如 135 、137 、138 、139 、445，这几个端口经常爆发漏洞。以下是一些服务端口的漏洞：

22——>ssh弱口令 873——>rsync 未授权访问漏洞 3306——>mysql弱口令 6379——>redis未授权访问漏洞

端口扫描工具有nmap和masscan。nmap扫描的准确性较高，但是扫描的比较慢。masscan扫描的比较快，但是准确性较低。

nmap对ip地址进行扫描

nmap -sV IP

六、APP以及其他资产

#AP提取一键反编译提取

#AP抓数据包进行工具配合

#各种第三方应用相关探针技术

#各种服务接口信思相关探针技术

#APP提取及抓包及后续配合

某APK一键提取反编译

利用burp历史抓更多URL

#某无WEB框架下的第三方测试

各种端口一顿乱扫-思路

各种接口一顿乱扫-思路

接口部分一顿乱扫-思路

六、网络空间引擎搜索(暗黑引擎)

简单用法

三种引擎都能够搜索到很多信息，没有好坏之分。

搜索ip时，可以得到这个ip开放的端口以及具体启动的服务是什么。

比如挖SRC的时候要进行子域名收集，查找真实IP等。如果寻找某电商的子域名，可以根据其证书，header信息，备案号，页面引用的特定文件等找到相关其子域名。对于一些有cdn的，也可以绕过cdn找到真实IP。

搜索域名的时候，可以得出其子域名以及ip端口等等信息。

1、shodan

一些有趣的Shodan搜索：https://www.freebuf.com/fevents/224181.html

2、fofa

fofa既可以搜索到部分子域名，也可以搜索到目标的各种系统，如OA、后台等等，而这些系统很容易成为突破口。

fofa常用语法+新功能-网络空间测绘 :https://www.freebuf.com/sectool/268246.html

FOFA搜索语法

主要分为检索字段以及运算符，所有的查询语句都是由这两种元素组成的。目前支持的检索字段包括：domain，host，ip，title，server，header，body，port，cert，country，city，os，appserver，middleware，language，tags，user_tag等等，支持的逻辑运算符包括：= ，==，!= ，&&，||

常用命令：

1.title

搜索包含“标题”的IP title=“标题”

2.domain

搜索所有子域名

3.host

搜索host内所有带有qq.com的域名

新功能：网络空间测绘

蜜罐：

蜜罐是一种软件应用系统，用来称当入侵诱饵，引诱黑客前来攻击。攻击者入侵后，通过监测与分析，就可以知道他是如何入侵的，随时了解针对组织服务器发动的最新的攻击和漏洞。还可以通过窃听黑客之间的联系，收集黑客所用的种种工具，并且掌握他们的社交网络。 设置蜜罐并不复杂，只要在外部因特网上有一台计算机运行没有打上补丁的微软Windows或者Red Hat Linux即行，然后在计算机和因特网连接之间安置一套网络监控系统，以便悄悄记录下进出计算机的所有流量。然后只要坐下来，等待攻击者自投罗网。

3、zoomeye--钟馗之眼

信息收集利器：ZoomEye:https://www.freebuf.com/sectool/163782.html

ZoomEye是一款针对网络空间的搜索引擎，收录了互联网空间中的设备、网站及其使用的服务或组件等信息。

ZoomEye拥有两大探测引擎：Xmap和 Wmap，分别针对网络空间中的设备及网站，通过 24 小时不间断的探测、识别，标识出互联网设备及网站所使用的服务及组件。研究人员可以通过 ZoomEye 方便的了解组件的普及率及漏洞的危害范围等信息。

虽然被称为 “黑客友好” 的搜索引擎，但ZoomEye 并不会主动对网络设备、网站发起攻击，收录的数据也仅用于安全研究。ZoomEye更像是互联网空间的一张航海图。ZoomEye兼具信息收集的功能与漏洞信息库的资源，对于广大的渗透测试爱好者来说以一件非常不错的利器。

七、其他社工查询

1、法人代表

天眼查 https://www.tianyancha.com/

whois https://www.whois.com/

2、灰色产业

银行卡号归属地 http://cha.yinhangkadata.com/

友商发·票查询 http://fapiao.youshang.com/

TG社工、四件套查询、开户籍

查询dns解析以及子域名

https://securitytrails.com/domain/www.baidu.com/history/a

https://dnsdb.io/

ip GPS定位 https://www.opengps.cn/

证书透明度介绍:

• 授权机构(CA)是一个受信任的第三方组织，负责发布和管理SSL/TLS证书，全球有数百个受信任的CA，他们中任何一个都有权利为你的域名颁发有效的SSL证书。

• 证书透明度(CT)是为了防止证书授权机构(CA)或者其他恶意人员伪造服务器证书而诞生的一个项目。

• CT会要求CA将数字证书(SSL/TLS证书)公开并发布将颁发记录同步到日志服务器中。而日志服务器则会提供给用户一个查找某域名颁发的所有数字证书途径。

• 原理：“要向用户提供加密流量，网站必须先向可信的证书授权中心 (CA) 申请证书。然后，当用户尝试访问相应网站时，此证书即会被提供给浏览器以验证该网站。近年来，由于 HTTPS 证书系统存在结构性缺陷，证书以及签发证书的 CA 很容易遭到入侵和操纵。Google 的证书透明度项目旨在通过提供一个用于监测和审核 HTTPS 证书的开放式框架，来保障证书签发流程安全无虞。”

证书透明度工具:

• Crtsh - 常用 https://crt.sh/

• Censys - 常用

• Google

• Facebook

• Entrust

• Certspotter

• Spyse

八、github监控

便于收集整理最新的exp或poc（GitHub上有这个项目，修改一下api就可以接收短信了）

便于发现相关测试目标的资产

各种子域名查询

DNS，备案，证书

全球节点请求cdn

枚举爆破或解析子域名对应

便于发现管理员相关的注册信息

九、真实IP查询

1、确定有无CDN

CDN简介

CDN 的全称是 Content Delivery Network，即内容分发网络。CDN 是 构建在现有网络基础之上的智能虚拟网络，依靠部署在各地的边缘服务器， 通过中心平台的负载均衡、内容分发、调度等功能模块，使用户就近获取所 需内容，降低网络拥塞，提高用户访问响应速度和命中率。但在安全测试过 程中，若目标存在 CDN 服务，将会影响到后续的安全测试过程。

#如何判断目标存在 CDN 服务？

利用多节点技术进行请求返回判断。

#CDN 对于安全测试有那些影响？

#目前常见的 CDN 绕过技术有哪些？

子域名查询 邮件服务查询 国外地址请求 遗留文件，扫描全网 黑暗引擎搜索特定文件 dns 历史记录，以量打量。

#CDN 真实 IP 地址获取后绑定指向地址 更改本地 HOSTS 解析指向文。

确定有无CDN的方法

1.多地ping

看对应IP地址是否唯一，多地ping（超级ping）在线网站：http://ping.chinaz.com/

2.nslookup

nslookup 同样是看返回的IP地址的数量进行判断

3.ping

2、绕过CDN查找网站真实IP

1.DNS历史解析

查看IP与域名绑定的历史记录，可能会存在使用CDN前的记录，相关网站： https://dnsdb.io/zh-cn/（全球DNS搜索引擎） https://community.riskiq.com/（riskiq） https://x.threatbook.cn/（微步在线情报社区） https://tools.ipip.net/cdn.php（全球CDN服务商查询）。

2.查询子域名

毕竟CDN不便宜，所以很多站都是主站做了CDN，而很多小站没做CDN所以可以，通过上面收集到的子域名查询到真实的IP地址。

3.网络空间引擎搜索法

通过shadan、fofa等搜索引擎，通过对目标网站的特征进行搜索，很多时候可以获取网站的真实IP。

4.利用SSL证书查询

https://censys.io/certificates/

5.邮件订阅

一些网站有发送邮件的功能，如Rss邮件订阅，因为邮件系统一般都在内部，所以就可以通过邮箱获得真实的IP。

6.国外访问

一般的站点在国内可能会有CDN，但是在国外的用户覆盖率比较低，所以通过国外的节点进行请求往往能获取真实IP。

全球CDN服务商查询https://www.ipip.net/

ipip网站（全球CDN服务商查询），寻找其真实ip，因为一个ip不可能做到全世界网络分发，使用国外ip去ping这个域名，可以得到其真实ip。

十、服务器信息搜集

1、操作系统类型判断

Nmap可以检测目标主机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。它是网络管理员必用的软件之一，用以评估网络系统安全。

第一种判断方法：

• 使用Nmap，你可以检测远程主机上运行的操作系统和版本。

• 操作指令：nmap -O 192.168.0.101

• 指令模板：nmap -O IP地址

• 操作指令：nmap -Pn -O 192.168.0.101

• 指令含义：-Pn 不判断主机存货直接进行系统扫描判断

第二种判断方法：

• Windows 系统中不区分大小写，Linux系统中大小写敏感。

• 举个例子：修改URL中的大小写进行判断，修改之后无影响则是 Windows 反之 则是 Linux 系统

端口扫描

端口扫描的时候这些信息都基本上出来了

nmap -sV ip

谷歌信息收集插件

wappalyzer可以得到服务器信息

抓包工具

可以通过Burp Suite （BP）进行抓包分析，能发现暴露的信息：搭建框架、服务器信息等。

# 常用 #

一、Google hacking

Google 、baidu 、bing 等搜索引擎有许多搜索技巧。Google hacking 是利用谷歌搜索引擎来查找黑客们想要找到的信息、例如查找某人信息、网站后台、寻找网站代码中的相关配置和安全漏洞

Google 的语法

• site:site:thief.one将返回所有和这个站有关的URL。

• inurl:搜索我们指定的字符是否存在于URL中。

• intitle:将返回所有网页标题中包含关键词的网页。

• intext:将返回所有在网页正文部分包含关键词的网页。

• cache:搜索google里关于某些内容的缓存。

• define:搜索某个词语的定义。

• filetype:搜索指定的文件类型，如: .bak, .mdb，.inc等。

• info:查找指定站点的一些基本信息。

• Link:link:thief.one可以返回所有和thief.one做了链接的URL。

• index of:找目录遍历会用到

• ＋强制包含某个字符进行查询

• -查询的时候忽略某个字符

• ""查询的时候精确匹配双引号内的字符

• ．匹配某单个字符进行查询

• *匹配任意字符进行查询（通配符）

• |或者, 多个选择, 只要有一个关键字匹配上即可

Discuz 任意文件泄露

首先用google先看这个站点的一些基本情况(一些细节部分就略去了): site:xxxx.com 从返回的信息中，找到几个该校的几个系院的域名： http//a1.xxxx.com http//a2.xxxx.com

顺便ping了一下，应该是在不同的服务器. 先找找网站的管理后台地址： site:xxxx.com intext:管理 site:xxxx.com inurl:login site:xxxx.com intitle:管理。

超过获得2个管理后台地址： http//a2.xxxx.com/sys/admin_login.asp http//a3.xxxx.com:88/_admin/login_in.asp

还算不错，看看服务器上跑的是什么程序： site:a2.xxxx.com filetype:asp site:a2.xxxx.com filetype:php site:a2.xxxx.com filetype:aspx site:a3.xxxx.com filetype:asp

查看某站的域名、子域名。

查看某站跑了那些程序。

寻找基于Think PHP 的开放的web应用。

寻找可能存在SQL注入的目标。

寻找未授权的PHPmyadmin。

搜集互联网中敏感信息。

filetype:.xls XXX XXX

二、Google hacking Database（GHDB）

Google会存储大量信息并不断检索网站。Google hacking，也称 Google dorking，是一种网络搜索黑客技术，它使用Google搜索和其他搜索引擎来查找公·开·信息的搜索查询（又称Hacking Dorks）的索引，旨在供渗透测试者和安全研究人员使用。来查找网站使用的配置和计算机代码中的安全漏洞。

三、网络空间引擎搜索

网络空间搜索引擎是对全球网络空间基础设施或网络设备进行扫描，并可以对指纹特征检索的平台。简单的说可以在上面对网络空间上的在线网络设备(联网设备)进行检索。例如服务器、路由器、交换机、公共IP的打印机、网络摄像头等等。它是通过扫描全网设备并抓取解析各个设备返回的信息,通过这种方式来实现上述功能。

shodan 撒旦

语法：

• hostname:搜索指定的主机或域名，例如hostname:"google"

• port:搜索指定的端口或服务，例如port:"22”

• country:搜索指定的国家，例如country :"CN"

• city:搜索指定的城市，例如city : "Hangzhou”

• org:搜索指定的组织或公司，例如org:”google"

• isp:搜索指定的ISP供应商，例如isp:"china Telecom”

• product:搜索指定的操作系统/软件/平台，例如product:"Apache httpd ftp”

• version:搜索指定的软件版本，例如version:”1.5”

• geo:搜索指定的地理位置，例如geo:”41.8126，114.1142”

• before / after:搜索指定收录时间前后的数据，格式为dd-mm-yy，例如before:"10-10-10”

• net:搜索指定的IP地址或子网，例如net:"100.100.220.0/24”

寻找互联网中的摄像头：

• 我们来检索一下摄像头的关键信息：linux upnp avtech

• upnp :UPnP是英语Universal Plug and Play的首字母缩写，一般翻译成通用即插即用。路由器UPnP功能用于实现局域网计算机和智能移动设备，通过网络自动彼此对等连接，而且连接过程无需用户的参与。

• avtech：是网络摄像机。

可以看到摄像头中暴露的信息，城市，ip和端口，访问进去就是一个后台界面了。可以尝试用弱口令来进行爆破登录一下，或者说去寻找一些监控设备弱口令的后台，只要你去找就一定会发现的。

FOFA - 搜索引擎

介绍

FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。国外也有搜索引擎shodan，对于这类搜索引擎，不同的使用方法获得的资源价值也就不同。

server="nginx"

找Burp Suite代理

body="Welcome to Burp Suite"

海康威视摄像头管理后台未授权：

CVE-2017-7921海康威视摄像头管理后台未授权+FOFA-网络空间测绘

Censys - 搜索引擎

与shodan非常相似，点击进入网站后能查到更多信息。

Zoomeye - 钟馗之眼

搜索域名，时间在2020.8.4之后，标题为湖南警察学院的相关资产信息，

site:hnpolice.com +after:"2020-08-04" +title:"湖南警察学院"。

四、域名搜集

Whois 查询工具

• kali 自带的 whois 查询工具

• 爱站 - whois 查询工具

• 站长之家 - whois 查询工具

• 微步在线 - 情报社区

• whois 365

whois可以得注册人的相关信息。对于中小型站点，域名所有者往往是IT运维人员。那么就可以根据获取的部分信息进行深入挖掘。可以根据这些信息来进行一个深度挖掘，来获取你想要的信息。

注意事项

1、whois 得到的结果是域名托管商（大型网站基本都会有域名托管商）。

2、查询时域名被屏蔽（多换几个接口查询就可以了）。

备案信息搜集

• ICP的英文全称为Internet Content Provider，中文意思为网络内容服务商。

• ICP备案可以说是网站备案或域名备案，具体是指网站在信息产业部提交网站信息进行官方认可。对国内各大小网站(包括企业及个人站点)的严格审查工作，对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站，根据网站性质，将予以罚款，严重的关闭网站，以此规范网络安全，打击一切利用网络资源进行不法活动的犯罪行为。

• 国家法律法规规定网站需备案，可以根据备案信息获得域名的单位信息。在根据单位相关信息，找到更多的网络资产。

备案信息查询工具

• ICP/IP地址/域名信息备案管理系统

• 站长工具 - ICP备案信息查询

• ICP备案查询网

• Alexa - ICP备案查询

• 天眼查

• 企查查

子域名信息搜集

子域名信息搜集的意义：子域名可以让我们发现目标在互联网上更多的资产与服务，扩大攻击面，更容易找到薄弱点。

子域名挖掘机：

子域名枚举：

• 基于字典对子域名进行爆破枚举。

• 子域名枚举工具：subDomainsBrute

• subDomainsBrute可以高并发DNS暴力枚举，对子域名进行爆破，用小字典递归发现三到五级域名。

python subDomainsBrute.py --full hnpolice.com

搜索引擎 - site:

• 搜索引擎：site:site:hnpolice.com

• 指令模板：site：子域名

第三方聚合应用:

• 第三方服务汇聚了大量的DNS数据集，可以检索某个给定域名的子域名信息。

• 常用的第三方聚合平台：

• 在线 - DNSdumpster

• 基于 Python 的 DNSdumpster 工具下载

使用这个的时候 如果报错提示说缺少dns这个模块，请下载dnspython。最终下载了所有缺失的模块，但是最终也没有执行成功。

• VirusTotal

• Netcraft

证书透明度

介绍

• 授权机构(CA)是一个受信任的第三方组织，负责发布和管理SSL/TLS证书，全球有数百个受信任的CA，他们中任何一个都有权利为你的域名颁发有效的SSL证书。

• 证书透明度(CT)是为了防止证书授权机构(CA)或者其他恶意人员伪造服务器证书而诞生的一个项目。

• CT会要求CA将数字证书(SSL/TLS证书)公开并发布将颁发记录同步到日志服务器中。而日志服务器则会提供给用户一个查找某域名颁发的所有数字证书途径。

• 原理：“要向用户提供加密流量，网站必须先向可信的证书授权中心 (CA) 申请证书。然后，当用户尝试访问相应网站时，此证书即会被提供给浏览器以验证该网站。近年来，由于 HTTPS 证书系统存在结构性缺陷，证书以及签发证书的 CA 很容易遭到入侵和操纵。Google 的证书透明度项目旨在通过提供一个用于监测和审核 HTTPS 证书的开放式框架，来保障证书签发流程安全无虞。

证书透明度工具

Crtsh

Censys - 常用

Google

Facebook

Entrust

Certspotter

Spyse

补充：CT日志缺陷

CT日志只能增加，不能减少，所以证书上的子域名可能是过期的状态，可以用过masdns工具对域名可解析的识别。

CSP （功能有限）:

• 网页安全政策(Content Security Policy，缩写CSP) 。CSP的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。

• 我们可以查看HTTP的Content-Security-Policy(内容安全政策）字段来搜集子域名信息。

该字段作用：

1. 使用白名单的方式告诉客户端（浏览器）允许加载和不允许加载的资源。

2. 向服务器举报这种强贴牛皮鲜广告的行为，以便做出更加针对性的措施予以绝杀。

DNS区域传送漏洞

• 一般DNS服务器会存在冗余备份，而主备之间同步域数据库的操作，就是DNS区域传送(DNS zonetransfer)。主服务器对来请求的备用服务器未作访问控制，验证身份就做出响应故而出现这个漏洞。

• Nslookup命令检测:

1. nslookup -type=ns xxx.yyy.cn #查询解析此域名的dns服务器

2. nslookup #进入交互

3. server dns.xxx.yyy.cn # 指定dns服务器

4. Is xxx.yyy.cn #列出域信息

• Dig命令检测:

1. dig NS xx.yyy.cn #查询解析该域名的DNS服务器

2. dig @dns.xxx.yy.cn axfr xxx.yy.cn #@指定域名服务器;axfr为域传送指令; xxx.edu.cn表示要查询的域名

Sublist3r（综合性应用）

Sublist3r使用许多搜索引擎（例如Google,Yahoo，Bing，Baidu和Ask)枚举子域。使用Netcraft,Virustotal，ThreatCrowd，DNSdumpster和ReverseDNS枚举子域。subbrute与Sublist3r集成在一起,以增加使用具有改进的单词表的bruteforce查找更多子域的可能性。

使用方法在github

OneForAll（综合性应用）

1、综合性工具，正在开发使用的话记得常更新。

2、缺少域名监控，每天扫描更新。

其他拓展

• LangSrcCurise

• ESD

• subdomain3

• subbrute

• wydomain

获取真实IP

CDN内容分发网络

CDN是将媒体资源，动静态图片(Flash)，HTML，CSS，JS等等内容缓存到距离你更近的节点，从而让用户进行共享资源，实现缩减站点间的响应时间等等需求，提高用户访问的响应速度和成功率。解决因分布、带宽、服务器性能带来的访问延迟问题，适用于站点加速、点播、直播等场景。

判断是否存在CDN

使用站点工具的 Ping 测试，会从多个节点去 Ping 目标服务器，如果是不同IP地址可能上了CDN。注意对IP归属地址进行解析

站长工具Ping

IPIP 查询

xcdn

如何绕过CDN获取真实IP地址

• 大多数情况下，企业在互联网上的网站资产较多，不会对所有站点都使用CDN进行加速。那么我们可以从子域名入手，获取真实IP。

• 通过子域名来获取C段，从C段中来确定真实IP地址。

• 网站中的注册或找回密码功能中会发送邮件验证，或者RSS订阅、邮件订阅等这些功能就会让服务器主动发起请求，我们可以获得对方服务器的IP地址。但大多数时候获取的是邮件服务器地址。

• 可以通过找回密码、邮箱联系你之类的。简单来说就是你主动联系别人，跟别人主动联系你不是一个态度。

查询SSL证书

• 在censys上搜索一下语句，来查询证书中是否有匹配的域名:

• 搜索语句：443.https.tls.certificate.parsed.extensions.subject_ alt_name.dns_names:www.xXx.com

利用DNS记录:

• 查询域名与IP的历史记录，可能会发现使用CDN之前的目标IP地址。

• DNSDB

• 微步在线-情报威胁社区

• Netcraft

• 17CE

• RISKIQ

• crimeflare

• 利用一些冷门的DNS请求：某些CDN对国外的覆盖不广，那么可以利用这种特性进行探测。使用国外的代理或DNS解析来查看IP.

• 利用站点漏洞：利用某些漏洞，让服务器得到信息泄露，或者主动对我们发起请求，则可以获得域名真实IP例如phpinfo，SSRF漏洞。

案例解析：

• 第一步：判断有没有上CDN，查看IP地址归属地与网站注册地址进行判断。

• 第二步：利用工具来想办法获取子域名的相关情况。得到子域名来分析归纳一下，并尝试进行访问。

• 第三步：根据网站的回显信息来进行判断是否要进行再次Ping来查看一下这个域名是否挂了CDN代理。来判断一下是否是真实IP地址。

• 第四步：修改本地 hosts 文件，将获取到的子域名信息与得到的IP地址进行绑定写入本地 hosts文件 再通过浏览器来尝试进行访问。查看是否还是刚才访问的那个站点。如果一样说明是真实IP地址。

五、服务器信息搜集

Nmap

Nmap可以检测目标主机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。它是网络管理员必用的软件之一，用以评估网络系统安全。

操作系统类型判断

第一种判断方法

• 使用Nmap，你可以检测远程主机上运行的操作系统和版本。

• 操作指令：nmap -O 192.168.0.101

• 指令模板：nmap -O IP地址

• 操作指令：nmap -Pn -O 192.168.0.101

• 指令含义：-Pn 不判断主机存货直接进行系统扫描判断

第二种判断方法：

• Windows 系统中不区分大小写，Linux系统中大小写敏感。

• 举个例子：修改URL中的大小写进行判断，修改之后无影响则是 Windows 反之 则是 Linux 系统

端口扫描

• 使用Nmap探测主机的端口开放情况

• 操作指令：nmap 192.168.0.101

• 指令模板：nmap IP地址

• 查找主机服务版本号

• 操作指令：nmap -sV 192.168.0.101

• 指令模板：nmap -sV IP地址

Web 应用架构

Web 应用架构探测:

• 对于具有Web应用的服务器，我们需要深入探测Web应用架构，包括Web中间件、服务端脚本语言、数据库、Web应用开发框架、Web应用指纹等等。

第一种判断方法：

• 可以通过Burp Suite （俗称 BP）进行抓包分析

• 可以发现暴露的信息：搭建框架、服务器信息等

第二种判断方法：

• 不同应用程序框架的报错信息不同，可以根据这个来进行判断应用的是哪些服务框架。

第三种判断方法：

• 浏览器插件：wappalyzer

• 个人觉得非常好用

Web指纹信息探测:

• 如果要判断网站的一些指纹信息的话，我们可以用工具来进行判断。

• 御剑web指纹识别

• 云悉指纹

Web 应用敏感信息探测:

• 寻找Web 应用的敏感目录、敏感文件、源码泄露。

• 敏感信息探测工具：

• wfuzz可以用在做参数的模糊测试，也可以用来做Web目录扫描等操作。

• 操作指令：wfuzz -w DIR.txt [http://xxx.com/FUZz](http://xxx.com/FUZz)

• 推荐御剑扫描工具

• 各种字典：

• Fuzzdb

• SecLists

• dictionaries

• fuzzDicts

补充：

• Nginx 的虚拟主机

• 什么是CDN（内容分发式网络）？

• 什么是DNS域传送漏洞？DNS域传送漏洞总结

• 举个例子：假如我们去日站，发现这个网站没有任何漏洞啊，那么去看一下这个网站上域名绑定的IP地址。

  • 去查查看这个IP地址上有没有绑定其余的网站，如果我们通过这个IP地址上拿到了其余网站的权限，这个IP的权限是不是这台主机的权限我就等于拿到了你这两个网站的所有权限对吧，我不管从哪个网站拿到了路的权限，那是不是两个网站的权限我都能拿到呢。

  • 这里就涉及到一个Nginx的代理问题（Nginx 虚拟主机）。

漏洞挖掘：

• 探测Web应用指纹- Discuz、 PHPwind、 Dedecms、 Ecshop、Wordpress.....

• XSS、CSRF、XSO、 SQLinjection、权限绕过、任意文件读取、文件包含.....

• 上传漏洞-截断、修改、解析漏洞

• 有无验证码 - 进行暴力破解

• More....

漏洞利用：

思考如下问题：

• 这些服务有没有泄露敏感的信息。有些公司会觉得一些UR或者i是外人不知道的，就对这些服务没有进行认证。比如 fierce可能发现一个gt开头的子域名。而你可以通过git.companyname.come/gitweb/来浏览该公司的源码。

• 有没有严重的配置错误。有时候他们可能会开放一些ftp的匿名登陆。甚至匿名登陆有写权限。一些数据库的管理员账号为空。或者一些嵌入式设备（ oiP boxes， P Cameras， routers etc）保留了制造商使用的默认密码。

• 隐藏，破坏性-根据探测到的应用指纹寻找对应的EXP攻击载荷或者自己编写。

• 开始漏洞攻击，获取相应权限，根据场景不同变化思路拿到 webshell。

针对Web服务：

• 浏览器査看一些特殊子域名;如: fierce（不好用了）。

• 对网站进行扫描;如: nikto（这个也不要好用）、AWVS、 Appscan。

• 识别网站使用的各种软件;如: Whatweb

• 根据网站运行的软件使用更具针对性的工具;如: wpscan，cms- explorer， joomscan。

• 针对自己编码的Web程序进行测试;如:zap

• 针对通用程序的网站，找到网站程序源代码进行分析。

权限提升：

• 根据服务器类型选择不同的攻击载荷进行权限提升

• 无法进行权限提升，结合获取的资料开始密码猜解，回溯信息收集

• Windows提权:pr、 Churrasco、iis6.0提权、数据库（udf、mof）提权、ms15-051

• Linux提权: Linux_Exploit_Suggester和unix- privesc-check

• 数据库提权

• 其他第三方组件提权

• Exp网站推荐: exploit-db、1337day

内网渗透：

• 端口转发

• 获取 SHELL

• 信息收集

• 内网文件传输

• Hash抓取

痕迹清除：

• 伪装性，隐蔽性，通常选择删除指定日志內容。

• 根据时间段，fnd相应日志文件。