Web 安全攻防渗透测试实战指南笔记之信息收集

收集域名信息

whois 查询

whois 是一个互联网协议，可用来查询域名是否已经被注册，以及注册人的姓名邮箱等敏感信息。

备案信息查询

主要针对国内网站

收集敏感信息

google 语法

常用语法：
site:域名 指定域名，查询与此相关的信息
inurl:关键字 查询url中含有关键字的信息
intext:关键字 查询正文中含有关键字的信息
intitle:关键字 查询标题中含有关键字的信息
filetype:类型 查询相关文件类型的网页
link:baidu.com 查询所有与baidu.com做了链接的网站
info:baidu.com 查询baidu.com的相关信息
cache:baidu.com 查询baicu.com的缓存信息

repeater 返回信息

利用burpsuite 的请求响应包可以得到相关服务器的信息

收集子域名信息

子域名也就是二级域名，顶级域名下的域名
常用工具：
layer
sublist3r
subDomainsBrute

搜索引擎枚举

site:baidu.com

第三方聚合应用枚举

在线DNS侦查

证书透明度公开日志枚举

证书透明度是指证书授权机构会将每个SSL/TLS证书发布到公共日志中，而这些证书包含域名，子域名和邮件地址等敏感信息。
crt.sh
censys

在线网站枚举

子域名爆破网站
IP反查域名

收集端口信息

常用端口及攻击方向

文件共享服务

远程连接服务

web应用服务

数据库服务

邮件服务

网络协议服务

特殊服务

指纹识别

主要识别网站cms，计算机操作系统和web容器的指纹
常用工具
御剑指纹识别
whatweb

在线网站识别

bugscaner
云悉指纹
whatweb

绕过CDN查找真实IP

CDN 就是内容分发网络，在不同运营商节点上的高速缓存服务器，缓存静态资源

判断是否存在CDN

• ping 域名看是否存在CDN服务商信息
• 在线网站超级ping 看在不同的地区返回的IP信息是否相同

绕过CDN查找真实IP

• 通过网站注册和RSS订阅功能，获取内部邮件的头信息，ping邮件服务器的域名得到网站的真实IP信息
• 扫描网站的测试文件，如phpinfo,test，从中获取真实IP信息
• ping 网站的子域名得到网站的真实IP信息
• 通过国外的服务器访问目标网站，得到网站的真实IP信息
• 查看域名的解析记录
• 抓包网站对应的APP的IP信息
• 通过cloud flare watch查询cloudflare 的CDN

验证IP信息

直接通过IP访问与通过域名访问的结果看是否一样
或者先扫描IP端口再访问对比

敏感文件目录收集

网站目录和敏感文件可以借助相关工具进行收集，推荐dirbuster

社会工程学

YYDS