一、信息收集簡介

滲透的本質(zhì)是信息收集
信息收集也叫做資產(chǎn)收集
信息收集是滲透測試的前期主要工作，是非常重要的環(huán)節(jié)，收集足夠多的信息才能方便接下來的測試，信息收集主要是收集網(wǎng)站的域名信息、子域名信息、目標網(wǎng)站信息、目標網(wǎng)站真實IP、敏感/目錄文件、開放端口和中間件信息等等。通過各種渠道和手段盡可能收集到多的關于這個站點的信息，有助于我們更多的去找到滲透點，突破口。

二、信息收集的分類

1. 服務器的相關信息（真實ip，系統(tǒng)類型，版本，開放端口，WAF等）
2. 網(wǎng)站指紋識別（包括，cms，cdn，證書等） dns記錄
3. whois信息，姓名，備案，郵箱，電話反查（郵箱丟社工庫，社工準備等）
4. 子域名收集，旁站，C段等
5. google hacking針對化搜索，word/電子表格/pdf文件，中間件版本，弱口令掃描等
6. 掃描網(wǎng)站目錄結(jié)構(gòu)，爆后臺，網(wǎng)站banner，測試文件，備份等敏感文件泄漏等
7. 傳輸協(xié)議，通用漏洞，exp，github源碼等

三、常見的方法

1. whois查詢
   域名在注冊的時候 需要填入個人或者企業(yè)信息 如果沒有設置隱藏屬性可以查詢出來 通過備案號 查詢個人或者企業(yè)信息 也可以whois反查注冊人 郵箱 電話 機構(gòu) 反查更多得域名和需要得信息。
2. 收集子域名
   域名分為根域名和子域名
   baidu.com 根域名 頂級域名
   www.baidu.com子域名 也叫二級域名
   www.1.baidu.com 子域名 也叫三級域名 四級如此類推
3. 端口掃描
   服務器需要開放服務，就必須開啟端口，常見的端口是tcp 和udp兩種類型
   范圍 0-65535 通過掃得到的端口，訪問服務 規(guī)劃下一步滲透。
4. 查找真實ip
   企業(yè)的網(wǎng)站，為了提高訪問速度，或者避免黑客攻擊，用了cdn服務，用了cdn之后真實服務器ip會被隱藏。
5. 探測旁站及C段
   旁站:一個服務器上有多個網(wǎng)站 通過ip查詢服務器上的網(wǎng)站
   c段:查找同一個段 服務器上的網(wǎng)站?？梢哉业酵瑯泳W(wǎng)站的類型和服務器，也可以獲取同段服務器進行下一步滲透。
6. 網(wǎng)絡空間搜索引擎
   通過這些引擎查找網(wǎng)站或者服務器的信息，進行下一步滲透。
7. 掃描敏感目錄/文件
   通過掃描目錄和文件，大致了解網(wǎng)站的結(jié)構(gòu)，獲取突破點，比如后臺，文件備份，上傳點。
8. 指紋識別
   獲取網(wǎng)站的版本，屬于那些cms管理系統(tǒng)，查找漏洞exp，下載cms進行代碼審計。

四、在線whois查詢

通過whois來對域名信息進行查詢，可以查到注冊商、注冊人、郵箱、DNS解析服務器、注冊人聯(lián)系電話等，因為有些網(wǎng)站信息查得到，有些網(wǎng)站信息查不到，所以推薦以下信息比較全的查詢網(wǎng)站，直接輸入目標站點即可查詢到相關信息。

• 站長之家域名WHOIS信息查詢地址 http://whois.chinaz.com/
• 愛站網(wǎng)域名WHOIS信息查詢地址 https://whois.aizhan.com/
• 騰訊云域名WHOIS信息查詢地址 https://whois.cloud.tencent.com/
• 美橙互聯(lián)域名WHOIS信息查詢地址 https://whois.cndns.com/
• 愛名網(wǎng)域名WHOIS信息查詢地址 https://www.22.cn/domain/
• 易名網(wǎng)域名WHOIS信息查詢地址 https://whois.ename.net/
• 中國萬網(wǎng)域名WHOIS信息查詢地址 https://whois.aliyun.com/
• 西部數(shù)碼域名WHOIS信息查詢地址 https://whois.west.cn/
• 新網(wǎng)域名WHOIS信息查詢地址 http://whois.xinnet.com/domain/whois/index.jsp
• 納網(wǎng)域名WHOIS信息查詢地址 http://whois.nawang.cn/
• 中資源域名WHOIS信息查詢地址 https://www.zzy.cn/domain/whois.html
• 三五互聯(lián)域名WHOIS信息查詢地址 https://cp.35.com/chinese/whois.php
• 新網(wǎng)互聯(lián)域名WHOIS信息查詢地址 http://www.dns.com.cn/show/domain/whois/index.do
• 國外WHOIS信息查詢地址 https://who.is/
  

在線網(wǎng)站備案查詢

網(wǎng)站備案信息是根據(jù)國家法律法規(guī)規(guī)定，由網(wǎng)站所有者向國家有關部門申請的備案，如果需要查詢企業(yè)備案信息（單位名稱、備案編號、網(wǎng)站負責人、電子郵箱、聯(lián)系電話、法人等），推薦以下網(wǎng)站查詢

1. 天眼查 https://www.tianyancha.com/
2. ICP備案查詢網(wǎng)http://www.beianbeian.com/
   
3. 愛站備案查詢https://icp.aizhan.com/
4. 域名助手備案信息查詢 http://cha.fute.com/index

五、查詢綠盟的whois信息

Whois查詢nsfocus.com.cn
通過反查注冊人和郵箱得多更多得域名

六、收集子域名

1、子域名作用

收集子域名可以擴大測試范圍，同一域名下的二級域名都屬于目標范圍。

2、常用方式

子域名中的常見資產(chǎn)類型一般包括辦公系統(tǒng)，郵箱系統(tǒng)，論壇，商城，其他管理系統(tǒng)，網(wǎng)站管理后臺也有可能出現(xiàn)子域名中。

首先找到目標站點，在官網(wǎng)中可能會找到相關資產(chǎn)（多為辦公系統(tǒng)，郵箱系統(tǒng)等），關注一下頁面底部，也許有管理后臺等收獲。

查找目標域名信息的方法有：

1. FOFA title=“公司名稱”
   
2. 百度 intitle=公司名稱
3. Google intitle=公司名稱
4. 站長之家，直接搜索名稱或者網(wǎng)站域名即可查看相關信息：
   http://tool.chinaz.com/
5. 鐘馗之眼 site=域名即可
   https://www.zoomeye.org/

找到官網(wǎng)后，再收集子域名，下面推薦幾種子域名收集的方法，直接輸入domain即可查詢

3、域名的類型

A記錄、別名記錄(CNAME)、MX記錄、TXT記錄、NS記錄：

3.1 A (Address) 記錄：

是用來指定主機名（或域名）對應的IP地址記錄。用戶可以將該域名下的網(wǎng)站服務器指向到自己的web server上。同時也可以設置您域名的二級域名。

3.2 別名(CNAME)記錄：

也被稱為規(guī)范名字。這種記錄允許您將多個名字映射到同一臺計算機。通常用于同時提供WWW和MAIL服務的計算機。例如，有一臺計算機名為“host.mydomain.com”（A記錄）。它同時提供WWW和MAIL服務，為了便于用戶訪問服務。可以為該計算機設置兩個別名（CNAME）：WWW和MAIL。這兩個別名的全稱就是“www.mydomain.com”和“mail.mydomain.com”。實際上他們都指向“host.mydomain.com”。同樣的方法可以用于當您擁有多個域名需要指向同一服務器IP，此時您就可以將一個域名做A記錄指向服務器IP然后將其他的域名做別名到之前做A記錄的域名上，那么當您的服務器IP地址變更時您就可以不必麻煩的一個一個域名更改指向了 只需要更改做A記錄的那個域名其他做別名的那些域名的指向也將自動更改到新的IP地址上了。

3.3 如何檢測CNAME記錄？

1、進入命令狀態(tài)；（開始菜單 - 運行 - CMD[回車]）；
2、輸入命令" nslookup -q=cname 這里填寫對應的域名或二級域名"，查看返回的結(jié)果與設置的是否一致即可。

3.4 MX（Mail Exchanger）記錄：

是郵件交換記錄，它指向一個郵件服務器，用于電子郵件系統(tǒng)發(fā)郵件時根據(jù) 收信人的地址后綴來定位郵件服務器。例如，當Internet上的某用戶要發(fā)一封信給 user@mydomain.com 時，該用戶的郵件系統(tǒng)通過DNS查找mydomain.com這個域名的MX記錄，如果MX記錄存在， 用戶計算機就將郵件發(fā)送到MX記錄所指定的郵件服務器上。

3.5 什么是TXT記錄？

TXT記錄一般指為某個主機名或域名設置的說明，如：

1）admin IN TXT "jack, mobile:13800138000"；
2）mail IN TXT "郵件主機, 存放在xxx ,管理人：AAA"，Jim IN TXT "contact: abc@mailserver.com"

也就是您可以設置 TXT ，以便使別人聯(lián)系到您。

如何檢測TXT記錄？
1、進入命令狀態(tài)；（開始菜單 - 運行 - CMD[回車]）；
2、輸入命令" nslookup -q=txt 這里填寫對應的域名或二級域名"，查看返回的結(jié)果與設置的是否一致即可。

3.6 什么是NS記錄？

ns記錄全稱為Name Server 是一種域名服務器記錄，用來明確當前你的域名是由哪個DNS服務器來進行解析的。

3.7 子域名在線查詢1

https://phpinfo.me/domain/

3.8 子域名在線查詢2

https://www.t1h2ua.cn/tools/

3.9 dns偵測

https://dnsdumpster.com/

3.10 IP138查詢子域名

https://site.ip138.com/moonsec.com/domain.html

3.11 FOFA搜索子域名

https://fofa.so/

語法：domain="baidu.com"

提示：以上兩種方法無需爆破，查詢速度快，需要快速收集資產(chǎn)時可以優(yōu)先使用，后面再用其他方法補充。

3.12 Hackertarget查詢子域名

https://hackertarget.com/find-dns-host-records/
注意：通過該方法查詢子域名可以得到一個目標大概的ip段，接下來可以通過ip來收集信息。

4、360測繪空間

https://quake.#/

domain:"*.freebuf.com"

4.1 Layer子域名挖掘機

4.2 SubDomainBrute

pip install aiodns

運行命令subDomainsBrute.py freebuf.com

subDomainsBrute.py  freebuf.com --full -o freebuf2.txt

4.3 Sublist3r

https://github.com/aboul3la/Sublist3r

pip install -r requirements.txt

提示：以上方法為爆破子域名，由于字典比較強大，所以效率較高。
幫助文檔

usage: sublist3r.py [-h] -d DOMAIN [-b [BRUTEFORCE]] [-p PORTS] [-v [VERBOSE]]
                    [-t THREADS] [-e ENGINES] [-o OUTPUT] [-n]

OPTIONS:
  -h, --help            show this help message and exit
  -d DOMAIN, --domain DOMAIN
                        Domain name to enumerate it's subdomains
  -b [BRUTEFORCE], --bruteforce [BRUTEFORCE]
                        Enable the subbrute bruteforce module
  -p PORTS, --ports PORTS
                        Scan the found subdomains against specified tcp ports
  -v [VERBOSE], --verbose [VERBOSE]
                        Enable Verbosity and display results in realtime
  -t THREADS, --threads THREADS
                        Number of threads to use for subbrute bruteforce
  -e ENGINES, --engines ENGINES
                        Specify a comma-separated list of search engines
  -o OUTPUT, --output OUTPUT
                        Save the results to text file
  -n, --no-color        Output without color

Example: python sublist3r.py -d google.com

中文翻譯

-h ：幫助
-d ：指定主域名枚舉子域名
-b ：調(diào)用subbrute暴力枚舉子域名
-p ：指定tpc端口掃描子域名
-v ：顯示實時詳細信息結(jié)果
-t ：指定線程
-e ：指定搜索引擎
-o ：將結(jié)果保存到文本
-n ：輸出不帶顏色 

默認參數(shù)掃描子域名

python sublist3r.py -d baidu.com 

使用暴力枚舉子域名

python sublist3r -b -d baidu.com 

4.4 python2.7.14 環(huán)境

;C:\Python27;C:\Python27\Scripts

4.5 OneForALL

pip3 install --user -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/

python3 oneforall.py --target baidu.com run /*收集*/

爆破子域名

Example：
brute.py --target domain.com --word True run
brute.py --targets ./domains.txt --word True run
brute.py --target domain.com --word True --concurrent 2000 run
brute.py --target domain.com --word True --wordlist subnames.txt run
brute.py --target domain.com --word True --recursive True --depth 2 run
brute.py --target d.com --fuzz True --place m.*.d.com --rule '[a-z]' run
brute.py --target d.com --fuzz True --place m.*.d.com --fuzzlist subnames.txt run

4.6 Wydomain

dnsburte.py -d aliyun.com -f dnspod.csv -o aliyun.log
wydomain.py -d aliyun.com 

4.7 FuzzDomain

4.8 隱藏域名hosts碰撞

隱藏資產(chǎn)探測-hosts碰撞
https://mp.weixin.qq.com/s/fuASZODw1rLvgT7GySMC8Q
很多時候訪問目標資產(chǎn)IP響應多為：401、403、404、500，但是用域名請求卻能返回正常的業(yè)務系統(tǒng)（禁止IP直接訪問），因為這大多數(shù)都是需要綁定host才能正常請求訪問的 （目前互聯(lián)網(wǎng)公司基本的做法）（域名刪除了A記錄，但是反代的配置未更新），那么我們就可以通過收集到的目標的 域名 和 目標資產(chǎn) 的IP段組合起來，以 IP段+域名 的形式進行捆綁碰撞，就能發(fā)現(xiàn)很多有意思的東西。

在發(fā)送http請求的時候，對域名和IP列表進行配對，然后遍歷發(fā)送請求 （就相當于修改了本地的hosts文件一樣），并把相應的title和響應包大小拿回 來做對比，即可快速發(fā)現(xiàn)一些隱蔽的資產(chǎn)。

進行hosts碰撞需要目標的域名和目標的相關IP作為字典
域名就不說了
相關IP來源有：

目標域名歷史解析IP

https://site.ip138.com/
https://ipchaxun.com/

ip正則

https://www.aicesu.cn/reg/

七、端口掃描

當確定了目標大概的ip段后，可以先對ip的開放端口進行探測，一些特定服務可能開起在默認端口上，探測開放端口有利于快速收集目標資產(chǎn)，找到目標網(wǎng)站的其他功能站點。

1、msscan端口掃描

msscan -p 1-65535 ip --rate=1000
https://gitee.com/youshusoft/GoScanner/

2、御劍端口掃描工具

3、nmap掃描端口和探測端口信息

常用參數(shù)，如：

nmap -sV 192.168.0.2
nmap -sT 92.168.0.2
nmap -Pn -A -sC 192.168.0.2
nmap -sU -sT -p0-65535 192.168.122.1

用于掃描目標主機服務版本號與開放的端口

如果需要掃描多個ip或ip段，可以將他們保存到一個txt文件中

nmap -iL ip.txt

來掃描列表中所有的ip。
Nmap為端口探測最常用的方法，操作方便，輸出結(jié)果非常直觀。

4、在線端口檢測

http://coolaf.com/tool/port

5、端口掃描器

御劍，msscan，zmap等

御劍高速端口掃描器：

填入想要掃描的ip段（如果只掃描一個ip，則開始IP和結(jié)束IP填一個即可），可以選擇不改默認端口列表，也可以選擇自己指定端口。

6、滲透端口

21,22,23,1433,152,3306,3389,5432,5900,50070,50030,50000,27017,27018,11211,9200,9300,7001,7002,6379,5984,873,443,8000-9090,80-89,80,10000,8888,8649,8083,8080,8089,9090,7778,7001,7002,6082,5984,4440,3312,3311,3128,2601,2604,2222,2082,2083,389,88,512,513,514,1025,111,1521,445,135,139,53

7、滲透常見端口及對應服務

• 1.web類(web漏洞/敏感目錄)
  第三方通用組件漏洞struts thinkphp jboss ganglia zabbix

80 web 
80-89 web 
8000-9090 web

• 2.數(shù)據(jù)庫類(掃描弱口令)

1433 MSSQL 
1521 Oracle 
3306 MySQL 
5432 PostgreSQL 

• 3.特殊服務類(未授權/命令執(zhí)行類/漏洞)

443 SSL心臟滴血 
873 Rsync未授權 
5984 CouchDB http://xxx:5984/_utils/ 
6379 redis未授權 
7001,7002 WebLogic默認弱口令，反序列 
9200,9300 elasticsearch 參考WooYun: 多玩某服務器ElasticSearch命令執(zhí)行漏洞 
11211 memcache未授權訪問 
27017,27018 Mongodb未授權訪問 
50000 SAP命令執(zhí)行 
50070,50030 hadoop默認端口未授權訪問

• 4.常用端口類(掃描弱口令/端口爆破)

21 ftp 
22 SSH 
23 Telnet 
2601,2604 zebra路由，默認密碼zebra
3389 遠程桌面

• 5.端口合計詳情

21 ftp 
22 SSH 
23 Telnet 
80 web 
80-89 web 
161 SNMP 
389 LDAP 
443 SSL心臟滴血以及一些web漏洞測試 
445 SMB 

512,513,514 Rexec 
873 Rsync未授權 
1025,111 NFS 
1433 MSSQL 
1521 Oracle:(iSqlPlus Port:5560,7778) 
2082/2083 cpanel主機管理系統(tǒng)登陸 （國外用較多）
2222 DA虛擬主機管理系統(tǒng)登陸 （國外用較多） 
2601,2604 zebra路由，默認密碼zebra
3128 squid代理默認端口，如果沒設置口令很可能就直接漫游內(nèi)網(wǎng)了 
3306 MySQL 
3312/3311 kangle主機管理系統(tǒng)登陸 
3389 遠程桌面 
4440 rundeck 參考WooYun: 借用新浪某服務成功漫游新浪內(nèi)網(wǎng) 
5432 PostgreSQL 
5900 vnc 
5984 CouchDB http://xxx:5984/_utils/ 
6082 varnish 參考WooYun: Varnish HTTP accelerator CLI 未授權訪問易導致網(wǎng)站被直接篡改或者作為代理進入內(nèi)網(wǎng) 
6379 redis未授權 
7001,7002 WebLogic默認弱口令，反序列 
7778 Kloxo主機控制面板登錄 
8000-9090 都是一些常見的web端口，有些運維喜歡把管理后臺開在這些非80的端口上 
8080 tomcat/WDCP主機管理系統(tǒng)，默認弱口令 
8080,8089,9090 JBOSS 
8083 Vestacp主機管理系統(tǒng) （國外用較多） 
8649 ganglia 
8888 amh/LuManager 主機管理系統(tǒng)默認端口 
9200,9300 elasticsearch 參考WooYun: 多玩某服務器ElasticSearch命令執(zhí)行漏洞 
10000 Virtualmin/Webmin 服務器虛擬主機管理系統(tǒng) 
11211 memcache未授權訪問 
27017,27018 Mongodb未授權訪問 
28017 mongodb統(tǒng)計頁面 
50000 SAP命令執(zhí)行 
50070,50030 hadoop默認端口未授權訪問

8、常見的端口和攻擊方法

八、查找真實ip

如果目標網(wǎng)站使用了CDN，使用了cdn真實的ip會被隱藏，如果要查找真實的服務器就必須獲取真實的ip，根據(jù)這個ip繼續(xù)查詢旁站。
注意：很多時候，主站雖然是用了CDN，但子域名可能沒有使用CDN，如果主站和子域名在一個ip段中，那么找到子域名的真實ip也是一種途徑。

1、多地ping確認是否使用CDN

http://ping.chinaz.com/
http://ping.aizhan.com/

2、查詢歷史DNS解析記錄

在查詢到的歷史解析記錄中，最早的歷史解析ip很有可能記錄的就是真實ip，快速查找真實IP推薦此方法，但并不是所有網(wǎng)站都能查到。

2.1 DNSDB

https://dnsdb.io/zh-cn/

2.2 微步在線

https://x.threatbook.cn/

2.3 Ipip.net

https://tools.ipip.net/cdn.php

2.4 viewdns

https://viewdns.info/

3、phpinfo

如果目標網(wǎng)站存在phpinfo泄露等，可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR"]找到真實ip

4、繞過CDN

繞過CDN的多種方法具體可以參考 https://www.cnblogs.com/qiudabai/p/9763739.html

九、旁站和C段

旁站往往存在業(yè)務功能站點，建議先收集已有IP的旁站，再探測C段，確認C段目標后，再在C段的基礎上再收集一次旁站。
旁站是和已知目標站點在同一服務器但不同端口的站點，通過以下方法搜索到旁站后，先訪問一下確定是不是自己需要的站點信息。

1、站長之家

同ip網(wǎng)站查詢http://stool.chinaz.com/same
https://chapangzhan.com/

2、google hacking

https://blog.csdn.net/qq_36119192/article/details/84029809

2.1 網(wǎng)絡空間搜索引擎

如FOFA搜索旁站和C段
該方法效率較高，并能夠直觀地看到站點標題，但也有不常見端口未收錄的情況，雖然這種情況很少，但之后補充資產(chǎn)的時候可以用下面的方法nmap掃描再收集一遍。

2.2 在線c段 webscan.cc

webscan.cc
https://c.webscan.cc/

c段利用腳本

pip install requests
#coding:utf-8
import requests
import json

def get_c(ip):
    print("正在收集{}".format(ip))
    url="http://api.webscan.cc/?action=query&ip={}".format(ip)
    req=requests.get(url=url)
    html=req.text
    data=req.json()
    if 'null' not in html:
        with open("resulit.txt", 'a', encoding='utf-8') as f:
            f.write(ip + '\n')
            f.close()
        for i in data:
            with open("resulit.txt", 'a',encoding='utf-8') as f:
                f.write("\t{} {}\n".format(i['domain'],i['title']))
                print("     [+] {} {}[+]".format(i['domain'],i['title']))
                f.close()

def get_ips(ip):
    iplist=[]
    ips_str = ip[:ip.rfind('.')]
    for ips in range(1, 256):
        ipadd=ips_str + '.' + str(ips)
        iplist.append(ipadd)
    return iplist


ip=input("請你輸入要查詢的ip:")

ips=get_ips(ip)
for p in ips:
    get_c(p)

2.3 Nmap,Msscan掃描等

例如：nmap -p 80,443,8000,8080 -Pn 192.168.0.0/24

2.4 常見端口表

21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060,135,139,445,53,88

注意：探測C段時一定要確認ip是否歸屬于目標，因為一個C段中的所有ip不一定全部屬于目標。文章來源地址http://www.zghlxwxcb.cn/news/detail-685575.html

到了這里，關于Web安全——信息收集上篇的文章就介紹完了。如果您還想了解更多內(nèi)容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！