渗透测试的第一件事 - 信息收集
目录
信息收集 - 渗透测试的前提
一、资产信息收集
1.1 ICP备案查询(对国内有域名的网站有效)
每一个在中国大陆申请的域名,都需要经过ICP备案才能解析。
通过ICP备案查询,可以明确公司的主体资产或域名当前属于哪个企业下
网站 | 链接 | 说明 |
---|---|---|
工业化信息部 | https://beian.miit.gov.cn/#/Integrated/index | 具有权威性 |
历史备案查询 | https://icplishi.com/ | 能查询到历史备案记录 |
1.2 Whois——查询公司信息与资产,目标人物
查询公司信息时,通常较有权威性的网站有爱企查,企查查,天眼查等,以上为查询公司企业层面的信息
个人更倾向于使用查询公司信息系统和商业信息的网站——小蓝本
注册域名时,会被对应的注册商记录whois信息,通常会记录注册人,注册人邮箱等信息
whois网站 | 网址 | 说明 |
---|---|---|
国外whois | https://www.whois.com/ | 国外数据库 |
站长之家 | https://whois.chinaz.com/ | 可以根据查询到的结果进行反查 |
爱站网 | https://whois.aizhan.com/ | 有反查功能 |
中国互联网信息中心 | https://webwhois.cnnic.cn/WelcomeServlet | 页面简洁 |
腾讯云 | https://whois.cloud.tencent.com/ | 腾讯云数据库 |
阿里云 | https://whois.aliyun.com/ | 阿里云数据库 |
1.3 IP、子域名、旁站查询
旁站是指与某个主站点(通常是主域名)相关的其他网站或子域名。这些网站可能是主站点的辅助站点、镜像站点、测试站点等。在一些情况下,旁站可能与主站点共享相似的IP地址,但它们的内容和用途可能有所不同。
IP与域名间的转换、DNS查询、旁站:
IP域名/DNS查询 | 网址 | 说明 |
---|---|---|
ip查询 | https://ipchaxun.com/ | IP转域名,域名转IP |
WebScan | https://www.webscan.cc/ | 旁站查询 |
爱站网 | https://dns.aizhan.com/ | DNS查询 |
DNS全面查询 | https://viewdns.info/ | 各种查询,很全面 |
子域名查询网站与工具推荐
子域名查询 | 网址 | 说明 |
---|---|---|
在线子域名查询 | https://www.dnsscan.cn/dns.html | 在线DNS查询 |
DNSGrep | https://www.dnsgrep.cn/ | 基于域名解析记录查询 |
layer | layer子域名挖掘机 | 软件爆破DNS服务器 |
网站证书 | https://crt.sh/ | 基于SSL证书查询 |
注:公网C段不建议作为信息收集的部分,公网C段不一定完全是同一个公司或企业的资产
二、网站、系统的信息收集
2.1 端口扫描 —— 识别系统和服务
扫描工具 | 说明 | 下载链接 |
---|---|---|
nmap | 端口扫描必用工具 | https://nmap.org/download.html |
masscan | 扫描速度极快 | kali系统自带 |
fscan | 扫描端口顺便扫描弱口令 | https://github.com/shadow1ng/fscan/releases |
Fofa在线 | fofa端口记录 | https://fofa.info/hosts/(要扫描的IP) |
nmap的使用方法可以参考我的另一篇文章:
Nmap使用方法
**小知识**
> 1、想知道每个端口是什么服务?直接用nmap扫描自己
> 2、想扫描自己端口怎么办?添加-sT参数
> 3、nmap默认使用-sS扫描方式扫描,只发送一个TCP SYN包,当使用-sT参数时,会完成完整的三次握手,但这种方式更容易被防火墙或入侵检测系统检测到。
2.2 目录扫描 —— 查找网站内容信息
进行目录扫描时,会对目标站点产生影响,严重还会被目标站点封堵,其原理都是基于字典进行扫描
常用工具或方法 | 用法说明 | 原理 |
---|---|---|
机器人协议 | 直接在域名或网站的根目录访问/robots.txt | 该文件告诉各搜索引擎,文档里的哪些目录是可以访问的,哪些是不能访问的 |
御剑 | 有多个版本:御剑后台、web、高速扫描等 | 基于字典扫描 |
固定目录 | 下载CMS,直接查看相应的目录 | CMS搭建的网站,源代码中的目录都是固定的,如后台和登录页面 |
burpsuite | 在爆破模块中替换目录字典 | 同御剑 |
7kbs | 可视化页面,可直接使用 | 默认被认为恶意软件,在win10和win11下会自动删除 |
谷歌语法 | 使用Index of 语句 |
/ |
浏览器插件:FindSomething | 打开插件的同时刷新网页即可 | / |
2.3 网站指纹识别 —— 识别网站组件
一般各大漏洞工具都会探测出网站的指纹 网站指纹(Website Fingerprint)是指通过一系列的特征或标识来唯一标识和识别一个特定的网站或网络应用程序。这个过程可以通过分析网站的一些独特属性、配置、响应头、文件结构等来完成。
工具 | 链接 | 说明 |
---|---|---|
潮汐 | http://finger.tidesec.com/ | 现在需要注册登录 |
What CMS | https://whatcms.org/ | 可以直接使用 |
WhatWeb | kali系统自带 | 可以直接使用 |
Wappalyzer | https://www.wappalyzer.com/ | 浏览器插件 |
云悉 | https://www.yunsee.cn/ | 需要注册 |
waf识别页面 | https://github.com/stamparm/identYwaf/tree/master/screenshots | 每个waf都有自己的拦截页面,这个链接里记录了各waf的拦截页面 |
三、 敏感信息的收集
信息系统的敏感信息包括系统端口,网站目录,指纹等,已经在上面介绍,如下介绍一些网络空间搜索引擎的使用方法
3.1 谷歌语法
谷歌语法可以参考我的另一篇文章:谷歌语法——Google Hacking
搜索POC可以结合谷歌语法和github
3.2 Fofa网络空间搜索引擎
FOFA常用语法:Fofa官网中有相应语法
domain: 搜索子域名
city:指定城市,city=”Shanghai”
title: 搜索title包含漏洞的iP
ip: 搜索IP信息 ip=”192.168.1.1/24”
header:搜索header包含的信息
body: 微博的后台 body=”后台” && domain=”weibo”
port:指定端口,匹配不为80的端口 port!=”80”
os:搜索centos所有主机,os=”centos”
host: 搜索host内所有带指定内容的域名
3.3 钟馗之眼 —— ZoomEye(知道创宇)
偏向于web应用层面的搜索,语法类似shodan.io
ip:"8.8.8.8"
org:"北京大学"
service:"ssh"
OS:”CentOS”
…………
3.4 shodan
搜索在线设备为主,例:
查找位于合肥的 Apache 服务器:apache city:"Hefei"
查找位于国内的 Nginx 服务器:nginx country:"CN"
查找 GWS(Google Web Server) 服务器:"Server: gws" hostname:"google"
查找指定网段的华为设备:huawei net:"61.191.146.0/24"
3.5 其他敏感信息收集
直接使用搜索引擎、各种网盘、微信公众号等媒体信息社工搜索
分类:
渗透测试类知识 / 信息收集
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】凌霞软件回馈社区,博客园 & 1Panel & Halo 联合会员上线
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】博客园社区专享云产品让利特惠,阿里云新客6.5折上折
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· DeepSeek “源神”启动!「GitHub 热点速览」
· 微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章
· C# 集成 DeepSeek 模型实现 AI 私有化(本地部署与 API 调用教程)
· DeepSeek R1 简明指南:架构、训练、本地部署及硬件要求
· 2 本地部署DeepSeek模型构建本地知识库+联网搜索详细步骤