從零開始的信息搜集（一）

 

滲透的本質是信息搜集，這句話相信每個人都聽說過

做得好到處有資產（大佬），做不好撿漏都困難（我）

有很多大佬有自己新奇的技巧，但本咸魚作為一個24K純菜雞，只能沿用大佬們現成的方法去搜集整理現有的知識點，形成本文

畢竟

我們不生產新方法，我們只是方法的搬運工

 

 

 

 

（實際上是批量腳本寫煩了，換個思路，內網整理什么的往后推了......由於這塊內容過於龐大，因此采用分篇整理。但即使是這樣，也肯定有落下的，歡迎各位表哥補充）

 注：

（1）同類型的方法僅列舉一些常見的，不追求一一列舉，個人能力有限，也無法一一列舉出來

（2）工具的話，僅列舉一些已公開的、流行的工具，不包括自己開發的未公開的工具、腳本、框架（求分享）

 

 

前置問題：假如從XXX手中獲得了一個域名，只有這一個域名，通過這個域名，從零開始，你能獲取哪些信息？

 

 

0x01企業備案信息搜集

1.天眼查 

https://www.tianyancha.com/

在天眼妹這里可以按公司名、可以按域名甚至人名對注冊過的公司進行信息查詢（換言之沒注冊過的，你弄個國外的站，是無濟於事的）

天眼查號稱“實現了企業背景、企業發展、司法風險、經營風險、經營狀況、知識產權方面等多種數據維度的檢索”

可以着重關注一下網站備案、微信公眾號、企業業務

 

與天眼查同類型的網站有很多，一搜一大把，不一一介紹了，有些功能的查看需要付費

比如：企查查　　https://www.qcc.com/

啟信寶　　https://www.qixin.com/

 

 

2.站長工具

http://icp.chinaz.com/

可以看一些網站備案信息（啊，當然不只是可以看備案信息，其他的后面再說）

 

 

愛站  https://icp.aizhan.com/

同理

 

 

 

 

0x02 whois

whois主要是用來查詢域名的IP以及所有者等信息的傳輸協議，叫域名查詢協議

1.站長工具

http://whois.chinaz.com/

還是站長工具

 

 有一個whois反查功能，能看到更多信息

 

2.微步

https://x.threatbook.cn/

 要登錄才能看到更多信息

 

 

 

 微步平台除了可查網站信息之外還有文件檢測、URL檢測、威脅情報等功能

 3.who.is

通過這個網站也可以查：https://who.is/

 

 

 但是結果不太友好，主要是查國外的

 

還有一大堆類似的網站

https://whois.cloud.tencent.com/

https://whois.aliyun.com/

https://whois.cndns.com/

https://whois.west.cn/

......

不一一列舉

 

另外，把涉及whois也涉及DNS查詢信息的三款工具歸到這了dnswalk、 dnstracer、dnsenum

均為Kali自帶

 

0x03 CDN

 

傳統的解析是通過域名直接解析IP訪問目標主機，而有CDN的會在解析流程中間加一道CDN節點，不僅起到了降低網絡擁塞、提升訪問速度的作用，還有雲WAF，相當於多了一層保護

對此我只能說很頂

如何判斷一個網站有無CDN？

去網站上超級ping

http://ping.chinaz.com/

全球ping

https://wepcc.com/

 

或者nslookup、dig、ping

 

 

 （事先說明，如果按照IP訪問目標，404 403 GG了，可以改hosts 域名ip綁定，然后訪問域名再次嘗試，涉及到DNS解析原理hosts優先）

繞過（都是猜測方法，並不絕對，多少都有限制）：

1.DNS歷史解析記錄

查詢DNS解析的歷史記錄，可能會找到網站使用CDN前的解析記錄

如：

微步--域名解析

https://x.threatbook.cn/ 　　查詢需要積分

iphistory

https://viewdns.info/iphistory/

查詢網

https://site.ip138.com/

 

2.查找子域名

如果有一些站沒有把它的子域名也做CDN，可以通過排查子域名，找沒用CDN的子域名

改hosts文件，把目標域名和子域名IP綁定，如果能訪問證明二者在一個服務器上（當然希望不大，呵呵）

還可以大膽懷疑子域名ip和目標域名ip在一個C段，掃描C段ip的80端口看看有沒有搞頭

找子域名方法有很多，如：搜索引擎查詢、在線網站查詢、子域名爆破工具、集成框架......

大致提一下，具體內容留在子域名搜集環節細說

 

3.網站郵件頭信息

如果目標站點存在郵箱注冊、郵箱找回密碼、RSS郵件訂閱等功能場景，可能通過發送郵件在郵件頭中暴露真實IP

 

 比如QQ郵箱中點擊“顯示郵件原文”，可以查看from信息

類似這種地方，找找文中有沒有from目標站點的，並且顯示IP的

或者有沒有SSRF可以利用？

 

4.網絡空間搜索引擎

三大引擎

鍾馗之眼：https://www.zoomeye.org

Shodan：https://www.shodan.io

Fofa：https://fofa.so

 

還有360的QUAKE：https://quake.360.cn/quake/#/index

用搜索語法嘗試搜索目標站點，可能有意外發現

部分語法參考：https://blog.csdn.net/qq_38265674/article/details/111034934

 

 

5.國外主機解析域名

如果有CDN廠商只做了針對國內的線路，沒做國外的線路

可以嘗試用國外的多ping平台測試

有條件的可以試試以下平台

https://asm.ca.com/zh_cn/ping.php

http://host-tracker.com/

http://www.webpagetest.org/

https://dnscheck.pingdom.com/

 

6.SSL證書

證書頒發機構(CA)必須將他們發布的每個SSL/TLS證書發布到公共日志中，SSL/TLS證書通常包含域名、子域名和電子郵件地址

SSL證書搜索引擎，以github.com為例：https://censys.io/ipv4?q=github.com

 

 

7.全網掃描

用工具對目標站點進行全網掃描，針對掃描結果進行關鍵字查找

兩款掃描工具ZMap與masscan

https://github.com/zmap/zmap

https://github.com/robertdavidgraham/masscan

掃全國的IP某端口，進行banner抓取，再數據過濾，篩選結果

過程參考：http://bobao.360.cn/learning/detail/211.html

 

或者方便一些的有fuckcdn和其他繞CDN掃描腳本：

https://github.com/boy-hack/w8fuckcdn

https://github.com/Tai7sy/fuckcdn

https://github.com/3xp10it/xcdn

可以都試試

 

 

8.文件泄露

是否可以通過漏洞找到一些服務器日志文件、web探針文件，如phpinfo中的SERVER_ADDR，可見真實IP

 

 

9.icon hash+shodan

可以半手工，當然也可以用腳本

這有一個師傅寫好的腳本:

https://github.com/Ridter/get_ip_by_ico/blob/master/get_ip_by_ico.py

 

思路是借助WEB特有文件如xxxx.ico （type='image/x-icon'） 進行文件hash獲取，再利用shodan進行全網追蹤

查看網站源代碼找ico，用URL訪問完整ico文件

用python寫：將get請求回來的內容base64編碼，再用mmh3編碼得到hash（要安裝mmh3庫，這是shodan的要求）

在shodan中搜http.favicon.hash:hash值，可以找真實IP

 

還有老哥說找源碼中title標簽+fofa的，我姿勢使用失敗，並沒有成功，歡迎嘗試

 

10.配置不當

是不是存在lcx.com與www.lcx.com解析到同一個地址，但只做了www.lcx.com而沒做lcx.com的CDN？

或者只配了HTTPS的CDN而沒有配置HTTP的CDN？

雖然可能性不大，但是可以試試

 

 

11.F5 LTM解密

同時使用F5 LTM做負載均衡與CDN好像並不沖突，但我並沒有嘗試過，就先放這里了

如何操作請參考以下文章：

https://www.secpulse.com/archives/58730.html

https://www.sohu.com/a/162154485_610486

https://www.dazhuanlan.com/2019/10/22/5dae40a11442c/

 

 12.其他

非高防的CDN可以流量攻擊沖一波，em......

 

 

 

 

0x04 子域名

工具類：

1.oneforall

一款強大的子域名搜集工具，仍在更新，歡迎加群 824414244

下載鏈接：https://github.com/shmilylty/OneForAll.git

收集模塊說明：https://github.com/shmilylty/OneForAll/blob/master/docs/collection_modules.md

 

 相當於一個大合集，功能很全，使用感受還是可以的，有誤報但量大

2.FuzzDomain

一款子域名爆破工具

使用方法和探測原理參考：

 https://www.freebuf.com/sectool/127400.html

3.Layer子域名挖掘機

也是款windows平台下的老工具了，目前有5.x更新版和4.x紀念版

　　5.0版本鏈接：https://pan.baidu.com/s/1YFu9V0WtdG905eaVFNFa0A 　　提取碼：zkaq

其他版本請自行搜集資源下載，安全性自測

4.subDomainsBrute

下載鏈接：https://github.com/lijiejie/subDomainsBrute

使用方法請參考：https://www.freebuf.com/sectool/106625.html

5.ESD

下載鏈接：https://github.com/FeeiCN/ESD

6.subfinder

下載鏈接：https://github.com/projectdiscovery/subfinder

還有很多不一一列舉了

 

非工具類（其實這么划分也不准確。。。）查找子域名，比如利用證書透明度、DNS記錄查詢、威脅情報數據網站、搜索引擎、域傳送、敏感信息泄露......

請仔細參考這幾篇文章：

https://blog.csdn.net/Tencent_SRC/article/details/107873543

https://blog.csdn.net/w1590191166/article/details/104160404

https://blog.csdn.net/qq_38265674/article/details/111011121

總結得很詳細（補充了一些我沒有說到的工具和姿勢）

 

 

 

----------------------------------------------------------------------------------------------------------------------------

后續還有很多內容在下一篇

從零開始的信息搜集（二）指路鏈接：https://www.cnblogs.com/lcxblogs/p/14303742.html

中繼續補充

 

未經允許，禁止轉載