信息收集总结

信息收集总结

目录

• 信息收集总结
  • 资产架构
    • 搜索引擎
      • Google hacking
      • Shodan
      • Zoomeye（钟馗之眼）
      • fofa
    • 企业信息查询
      • 天眼查
      • 企业信用信息公示系统
      • 工业和信息化部ICP/IP地址/域名信息备案管理系统
      • 操作系统、语言、数据库、中间件
    • 源码信息收集
      • 开源源码站
      • 黑源码
      • CMS识别
      • 源码泄露工具
  • WEB方向信息收集
    • 域名信息收集（真实IP获取）-----包含CDN绕过
      • whois
      • nslookup
      • ip138
      • 多地ping
      • 二级域名法
      • ping法
      • 国外服务器访问法
      • 邮箱服务器法
      • 查询Https证书
    • 子域名收集
      • 工具
      • 在线
    • 反查域名
      • 工具
    • 敏感目录
      • 工具
    • 端口
      • nmap
      • masscan（kali自带）
    • 旁站C段
      • 在线
      • 工具
    • 网络架构
      • 服务厂商
      • 网络架构
    • 指纹识别
      • Ehole
      • webwhat（kali自带）
      • dismap
    • CDN
      • fuckcdn
    • WAF
    • 综合自动化工具
    • 相关资源

资产架构信息收集

源码信息收集

WEB方向信息收集

系统方向信息收集

CDN

资产架构

搜索引擎

Google hacking

常用搜索语法

intitle: //搜索网页标题中含有关键词的网页
intext: //搜索站点正文中含有关键词的网页
inurl: //搜索URL中包含有指定字符串的网址
inurl:php?id= //搜索PHP网页
site:DOMAIN //在指定站点内查找相关的内容
filetype:FILE //搜索指定类型的文件

可以同时附加多条条件进行筛选
两个筛选条件可以用空格隔开

Shodan

Shodan是用来搜索网络空间中在线设备

Shodan Search Engine

Zoomeye（钟馗之眼）

ZoomEye是一款针对网络空间的搜索引擎，收录了互联网空间中的设备、网站及其使用的服务或组件等信息

https://www.zoomeye.org/

fofa

网络空间安全搜索引擎

网络空间测绘，网络空间安全搜索引擎，网络空间搜索引擎，安全态势感知 - FOFA网络空间测绘系统

企业信息查询

天眼查

天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统 (tianyancha.com)

企业信用信息公示系统

国家企业信用信息公示系统 (gsxt.gov.cn)

工业和信息化部ICP/IP地址/域名信息备案管理系统

ICP/IP地址/域名信息备案管理系统 (miit.gov.cn)

操作系统、语言、数据库、中间件

Wappalyzer插件

抓包查看

查看端口

组合猜测

Access、sqlserver、mysql、oracle、postgresql等

Asp+access/sqlserver

Aspx+sqlserver/access

Php+mysql

Php+postgresql

Php+oracle

Jsp+sqlserver/mysql/oracle

Linux jsp+mysql

Windows jsp+sqlserver

源码信息收集

开源源码站

源码_网站源码_源码下载_源码之家 - 站长源码 (chinaz.com)

你的兴趣交流社区 - 662P.COM

黑源码

直接搜索（菠菜源码等）

qmcloud/chess: 耗时多年收集整理几十套棋牌源码(带小白搭建教程)，严禁商用，否则后果自负！！！ (github.com)

菲博源码网 - 棋牌源码_免费搭建平台_菠菜彩票源码_商业程序一条龙 (00fb.com)

利用----直接搜索对应CMS漏洞 代码审计

CMS识别

云悉互联网WEB资产在线梳理|在线CMS指纹识别平台 - 云悉安全平台 (yunsee.cn)

源码泄露工具

CVS：https://github.com/kost/dvcs-ripper

GIT：https://github.com/lijiejie/GitHack

SVN：https://github.com/callmefeifei/SvnHack

DS Store：https://github.com/lijiejie/ds_store_exp

WEB方向信息收集

现在大多数网站都开启CDN加速，导致获取到IP地址不是真实IP

绕过CDN获取真实IP

域名信息收集（真实IP获取）-----包含CDN绕过

whois

域名Whois查询 - 站长工具 (chinaz.com)

nslookup

https://zhuanlan.zhihu.com/p/563558918

https://www.nslookup.io/

ip138

iP地址查询 - iP38查询网

多地ping

由CDN的原理，不同的地方去Ping服务器，如果IP不一样，则目标网站肯定使用了CDN

多个地点Ping服务器,网站测速 - 站长工具 (chinaz.com)

二级域名法

目标站点一般不会把所有的二级域名放cdn上。通过在线工具如站长帮手，收集子域名，确定了没使用CDN的二级域名后。本地将目标域名绑定到同IP（修改host文件），如果能访问就说明目标站与此二级域名在同一个服务器上；如果两者不在同一服务器也可能在同C段，扫描C段所有开80端口的IP，然后挨个尝试。

ping法

直接ping example.com而不是www.example.com，因为现有很多CDN厂商基本只要求把www.example.com cname到CDN主服务器上去，那么直接ping example.com有可能直接获得真实IP。

国外服务器访问法

有很多网站不会对国外的地址访问做CDN，这时候通过国外地址进行访问可能得到真实IP地址

邮箱服务器法

可以通过服务器发送的邮件查看原文，在这里可能没做CDN，可能得到真实IP

超级ping： 网站测速|网站速度测试|网速测试|电信|联通|网通|全国|监控|CDN|PING|DNS 一起测试|17CE.COM

接口查询： Get Site IP - Find IP Address and location from any URL (get-site-ip.com)

国外请求： 全球 CDN 服务商查询_专业精准的IP库服务商_IPIP

全网扫描： Tai7sy/fuckcdn: CDN真实IP扫描，易语言开发 (github.com)

IP查询：https://www.ipip.net/ip.html

查询Https证书

证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中，SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。

SSL证书搜索引擎：

https://censys.io/ipv4?q=github.com

子域名收集

工具

Layer

https://github.com/euphrat1ca/LayerDomainFinder

OneForAll

https://github.com/shmilylty/OneForAll

在线

ip.ip子域名大全 ip.ip二级域名 ip.ip域名解析查询 (ip138.com)

在线子域名扫描 (xiaoshanseo.com)

在线子域名扫描-YoungxjTools (yum6.cn)

反查域名

工具

域名查iP 域名解析 iP查询网站 iP反查域名 iP反查网站 同一iP网站 同iP网站域名iP查询 (ip138.com)

微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区 (threatbook.com)

Search Web by Domain | Netcraft

敏感目录

工具

dirsearch

https://github.com/maurosoria/dirsearch

御剑

御剑后台扫描珍藏版.zip_免费高速下载|百度网盘-分享无限制 (baidu.com)

7kbscan

https://github.com/7kbstorm/7kbscan-WebPathBrute

dirb（kali自带）

robots.txt

crossdomin.xml

sitemap.xml

后台目录

网站安装包

网站上传目录

mysql管理页面

phpinfo

网站文本编辑器

测试文件

网站备份文件(.rar、zip、.7z、.tar.gz、.bak)

DS_Store 文件

vim编辑器备份文件(.swp)

WEB—INF/web.xml文件

.git

.svn

端口

nmap

Nmap: the Network Mapper - Free Security Scanner

nmap hostname/ip或者多个ip或者子网192.168.123.*

-iL ip.txt 扫描ip.txt的所有ip

-A 包含了-sV，-O，探测操作系统信息和路由跟踪。一般不用，是激烈扫描 -O 探测操作系统信息

-sV 查找主机服务版本号

-sA 探测该主机是否使用了包过滤器或防火墙

-sS 半开扫描，一般不会root

-sT TCP connect()扫描，这种方式会在目标主机的日志中记录大批的链接请求以及错误信 息。

-sP ping扫描，加上这个参数会使用ping扫描，只有主机存活，nmap才会继续扫描，一般 最好不加，因为有的主机会禁止ping，却实际存在。

-sN TCP空扫描

-F 快速扫描

-Pn 扫描之前不使用ping，适用于防火墙禁止ping，比较有用。

-p 指定端口/端口范围

-oN 将报告写入文件

-v 详细信息

-T<0-5> 设定速度

使用脚本：

--script all 使用所有脚本

--script=sql.injection.nse sql注入

--script="smb*" 扫smb系列

一、4 大功能：分别为主机发现（参数-sn）、端口扫描(-sS -sU)、版本侦测(–sV)、OS 侦测(-O)

二、扫描方式有：tcp connect()、TCP SYN scanning、TCP FIN scanning、Null scan等，

三、绕过 ping 扫描参数为：nmap -Pn XXX.XXX.XXX.XXX

四、漏洞检测可直接 nmap 目标 --script=auth,vuln

masscan（kali自带）

tcp 20,21 FTP 允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp 2.3.4)

tcp 22 SSH 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等

tcp 23 Telnet 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令

tcp 25 SMTP 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑

tcp/udp 53 DNS 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dns隧道的远控

tcp/udp 69 TFTP 尝试下载目标及其的各类重要配置文件

tcp 80-89,443,8440-8450,8080-8089 各种常用的Web服务端口 可尝试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……

tcp 110 POP3 可尝试爆破,嗅探

tcp 111,2049 NFS 权限配置不当

tcp 137,139,445 Samba 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探等……

tcp 143 IMAP 可尝试爆破

udp 161 SNMP 爆破默认团队字符串,搜集目标内网信息

tcp 389 LDAP ldap注入,允许匿名访问,弱口令

tcp 512,513,514 Linux rexec 可爆破,rlogin登陆

tcp 873 Rsync 匿名访问,文件上传

tcp 1194 OpenVPN 想办法钓VPN账号,进内网

tcp 1352 Lotus 弱口令,信息泄漏,爆破

tcp 1433 SQL Server 注入,提权,sa弱口令,爆破

tcp 1521 Oracle tns爆破,注入,弹shell…

tcp 1500 ISPmanager 弱口令

tcp 1723 PPTP 爆破,想办法钓VPN账号,进内网

tcp 2082,2083 cPanel 弱口令

tcp 2181 ZooKeeper 未授权访问

tcp 2601,2604 Zebra 默认密码zerbra

tcp 3128 Squid 弱口令

tcp 3312,3311 kangle 弱口令

tcp 3306 MySQL 注入,提权,爆破

tcp 3389 Windows rdp shift后门[需要03以下的系统],爆破,ms12-020

tcp 3690 SVN svn泄露,未授权访问

tcp 4848 GlassFish 弱口令

tcp 5000 Sybase/DB2 爆破,注入

tcp 5432 PostgreSQL 爆破,注入,弱口令

tcp 5900,5901,5902 VNC 弱口令爆破

tcp 5984 CouchDB 未授权导致的任意指令执行

tcp 6379 Redis 可尝试未授权访问,弱口令爆破

tcp 7001,7002 WebLogic Java反序列化,弱口令

tcp 7778 Kloxo 主机面板登录

tcp 8000 Ajenti 弱口令

tcp 8443 Plesk 弱口令

tcp 8069 Zabbix 远程执行,SQL注入

tcp 8080-8089 Jenkins,JBoss 反序列化,控制台弱口令

tcp 9080-9081,9090 WebSphere Java反序列化/弱口令

tcp 9200,9300 ElasticSearch 远程执行

tcp 11211 Memcached 未授权访问

tcp 27017,27018 MongoDB 爆破,未授权访问

tcp 50070,50030 Hadoop 默认端口未授权访问

8888端口也比较容易出现管理后台，可以尝试弱口令爆破一波

旁站C段

旁站概念

旁站是和目标网站在同一台服务器上的其它的网站；如果从目标站本身找不到好的入手点，这时候，如果想快速拿下目标的话，一般都会先找个目标站点所在服务器上其他的比较好搞的站下手，然后再想办法跨到真正目标的站点目录中。

C段概念

C段是和目标机器ip处在同一个C段的其它机器；通过目标所在C段的其他任一台机器，想办法跨到我们的目标机器上。常用的工具有webscancc，Nmap，Zenmap。

在线

同IP网站查询,C段查询,IP反查域名,在线C段,旁站工具 - WebScan

网站IP查询_IP反查域名_同IP网站查询 - 站长工具 (chinaz.com)

工具

k8旁站

https://github.com/k8gege/K8CScan

最新版Ladon https://github.com/k8gege/Ladon

网络架构

服务厂商

内部服务器交换机搭建：学校、大型网络公司

云服务器交换机：大部分公司采用（在这里主要搜索使用什么云服务器【阿里云】【腾讯云】等）

可以通过服务厂商对应的独特配置进行测试

https://www.ip138.com/

网络架构

eg：

外网：171.40.78.83

内网：192.168.1.100 （WEB服务器）

外网出口（交换机）做一个映射反向代理

主动给192.168.1.100web流量给到171.40.78.83

在这里如果进行安全测试，扫描探针的信息只能得到171.40.78.83，无法得到存在web服务器的内网地址

可能服务器存在8080端口开放，在进行扫描的时候8080端口并没有开放，在这里可能做了端口映射

指纹识别

Ehole

EHole旨在帮助红队人员在信息收集期间能够快速从C段、大量杂乱的资产中精准定位到易被攻击的系统，从而实施进一步攻击。

https://github.com/EdgeSecurityTeam/Ehole

webwhat（kali自带）

dismap

https://github.com/zhzyker/dismap/

CDN

fuckcdn

https://github.com/boy-hack/w8fuckcdn

WAF

Masscan：https://github.com/robertdavidgraham/masscan

Wafw00f：https://github.com/EnableSecurity/wafw00f

Kali上自带Nmap，Masscan，lbd等项目，超级ping：ping.chinaz.com

超级ping：CDN服务识别

Masscan：端口扫描，应用协议

Wafw00f：Web应用防护防火墙识别

Nmap：端口扫描，应用协议，防火墙识别

lbd（kali自带）：负载均衡，广域网负载均衡，应用层负载均衡

端口协议安全： 端口渗透总结 - Se7en's Blog|专注渗透测试。 (se7ensec.cn)

看图识别：https://www.cnblogs.com/AdairHpn/p/13985760.html

综合自动化工具

https://github.com/knownsec/Kunyu

https://github.com/0x727/Shuize_0x727

https://github.com/TophantTechnology/ARL

相关资源

[~]#棱角 ::Edge.Forum* (ywhack.com)