前言

“收集别人收集不到的资产，测试别人测试不到的漏洞”是一直流传在安全圈的一句名言。如果能获取到目标的脆弱资产那么漏洞挖掘自然事半功倍。这篇文章从实际的角度聊聊我是如何进行信息收集的。我的思路是以网站为核心，如何获取网站资产，再从中筛选脆弱网站，以及如何收集这个网站的相关信息辅助渗透测试尽快出洞。

获取脆弱资产

如果能快速收集到脆弱资产无疑对渗透测试有很大帮助。那么什么才算脆弱资产呢？

测试环境

在项目上线前可能就在网上部署了测试环境也可能测试环境没有及时下线。直接白送攻击面。以下这些子域名都是可能存在的测试环境的子域名

stc.xxx.com 
stm.xxx.com 
cmm..xxx.com 
test.xxx.com

测试环境往往用弱口令（admin/admin、test/123456），
或者直接使用fuzzdict的字典中的测试手机号字典然后进行固定密码爆破即可
https://github.com/TheKingOfDuck/fuzzDicts/blob/master/userNameDict/test-phone.txt

登陆页面

登陆页面其实不算是脆弱资产，可是他太香了，如果成功进入后台还是很容易挖出洞的
domain="example.com"&&title="登陆"
新增资产
老的资产已经被挖烂了？可以试试新上线的业务，通过fofa语法就可以获取新上线的业务
after="2023-01-01" && domain="example.com"

通过ASN区号查询IP段~~~~其他脆弱资产

常规的思路通过ICP备案获取子域名后进行子域名收集，获取真实IP后再进行C段扫描和端口扫描以获取更多资产。但是忽略了有些网站并不是通过域名访问的，且根据经验这些网站往往会部署一些脆弱资产。

原理介绍

ASN（Autonomous System Number）是分配给互联网服务提供商（ISP）或大型组织的唯一编号，用于标识其管理的IP地址块。同一ASN下的IP通常属于同一组织（如企业、云服务商），是资产测绘的关键线索。

完整流程

用fofa证书查询获取IP访问的网站，获取真实IP ，使用IP在这个网站获取ASN号https://tools.ipip.net/as.php

通过ASN区号获取IP段https://bgpview.io/

对获取的IP段使用nmap进行扫描

nmap -sV -p 1-65535 192.168.1.0/24 --script=vuln -oA asn_scan  
masscan -p1-65535 192.168.1.0/24 --rate=10000 | grep "open"

网络空间搜索引擎获取IP资产

cert="company_name"&&is_domain=false

边缘业务

避免直接对主站进行安全测试，主站的安全防护等级往往比较高。如果我们获取了一个子域名，通过子域名的iconhash，在fofa中获取到了一个IP访问的网站，这种比较有深度的信息收集是很有效率的。可以避免很多“硬骨头”