学习总结篇—信息收集

0x00 前言

目标资产信息搜集的程度,决定渗透过程的复杂程度。
目标主机信息搜集的深度,决定后渗透权限持续把控。

渗透的本质是信息搜集,而信息搜集整理为后续的情报跟进提供了强有力的保证。

0x01 分类

被动信息收集

被动信息收集:利用第三方的服务对目标进行访问了解,
比如whois查询、Google搜索、Shodan搜索等等

主动信息收集

主动信息收集:通过直接访问、扫描网站,这种流量将流经网站

0x02 收集方向

一、whois查询

可用信息:邮箱地址,注册人,作者信息

二、备案查询

注册人姓名

三、端口

在线工具

本地工具

nmap -A -v -T4   192.168.1.1  //查看开放端口
masscan -p80 192.168.1.1/24 --rate=10000    //测试目标指定端口
netstat -pantu    //测试kalikali本身开放端口

三、子域名

国外组织统计的最受欢迎子域名列表:
https://github.com/bitquark/dnspop/tree/master/results

搜索引擎

  • site:baidu.com

有许多第三方服务聚合了大量的DNS数据集,并通过它们来检索给定域名的子域名。

基于SSL证书查询

在线爆破

工具

四、旁站C段

搜索引擎

利用google搜索C段服务器信息
site:218.87.21.*

网站

五、指纹识别

在线识别

本地工具

  • 御剑cms
  • 大禹cms

kali

cms漏洞利用

六、敏感目录

工具:

  • 御剑后台扫描
  • wwwscan

kali

  • dirb http://www.baidu.com //命令工具
  • dirbuster //界面化工具
  • wpscan -u http://www.baidu.comcom //kali扫描WordPress漏洞

七、敏感信息

网络返回包

  • F12查看系统,php版本

Github

  • site:Github password //github上查找敏感信息

搜索引擎

Google

基本语法
  • site
  • inurl
  • intext
  • filetype
  • intitle
  • link //与www.xxx.com做了外链的网站
  • info //搜索网页信息
  • +  把google可能忽略的字列如查询范围。
  • -  把某个字忽略,例子:新加 -坡。
  • ~  同意词。
  • .  单一的通配符。
  • *  通配符,可代表多个字母。
  • “”  精确查询。
后台
site:xx.com intext:管理|后台|登录|用户名|密码|系统|账号
site:xx.com inurl:login/
admin/manage/manager/admin_login/system
site:xx.com intitle:管理|后台|登录
搜索不同国家网站
  • inurl:tw  台湾
  • inurl:jp  日本
暴库
inurl:editor/db/ 
inurl:eWebEditor/db/ 
inurl:bbs/data/ 
inurl:databackup/ 
inurl:blog/data/ 
inurl:\boke\data 
inurl:bbs/database/ 
inurl:conn.asp 
inc/conn.asp
Server.mapPath(“.mdb”)
allinurl:bbs data
filetype:mdb inurl:database
filetype:inc conn
inurl:data filetype:mdb
intitle:"index of" data
搜索敏感信息
intitle:"index of" etc
intitle:"Index of" .sh_history
intitle:"Index of" .bash_history
intitle:"index of" passwd
intitle:"index of" people.lst
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" spwd
intitle:"index of" master.passwd
intitle:"index of" htpasswd
inurl:service.pwd

shodan

shodan网络搜索引擎偏向网络设备以及服务器的搜索,具体内容可上网查阅,这里给出它的高级搜索语法。
地址:https://www.shodan.io/

基本语法

详见:
Shodan 新手入坑指南

hostname:  搜索指定的主机或域名,例如 hostname:”google”
port:  搜索指定的端口或服务,例如 port:”21”
country:  搜索指定的国家,例如 country:”CN”
city:  搜索指定的城市,例如 city:”Hefei”
org:  搜索指定的组织或公司,例如 org:”google”
isp:  搜索指定的ISP供应商,例如 isp:”China Telecom”
product:  搜索指定的操作系统/软件/平台,例如 product:”Apache httpd”
version:  搜索指定的软件版本,例如 version:”1.6.2”
geo:  搜索指定的地理位置,例如 geo:”31.8639, 117.2808”
before/after:  搜索指定收录时间前后的数据,格式为dd-mm-yy,例如 before:”11-11-15”
net:  搜索指定的IP地址或子网,例如 net:”210.45.240.0/24”

钟馗之眼(ZoomEye)

钟馗之眼(ZoomEye)搜索引擎偏向web应用层面的搜索。
地址:https://www.zoomeye.org/

app:nginx  组件名
ver:1.0  版本
os:windows  操作系统
country:”China”  国家
city:”hangzhou”  城市
port:80  端口
hostname:google  主机名
site:thief.one  网站域名
desc:nmask  描述
keywords:nmask’blog  关键词
service:ftp  服务类型
ip:8.8.8.8  ip地址
cidr:8.8.8.8/24  ip地址段

FoFa搜索引擎

FoFa搜索引擎偏向资产搜索。
地址:https://fofa.so

基本语法
title=”abc” 从标题中搜索abc。例:标题中有北京的网站。
header=”abc” 从http头中搜索abc。例:jboss服务器。
body=”abc” 从html正文中搜索abc。例:正文包含Hacked by。
domain=”qq.com” 搜索根域名带有qq.com的网站。例: 根域名是qq.com的网站。
host=”.gov.cn” 从url中搜索.gov.cn,注意搜索要用host作为名称。
port=”443” 查找对应443端口的资产。例: 查找对应443端口的资产。
ip=”1.1.1.1” 从ip中搜索包含1.1.1.1的网站,注意搜索要用ip作为名称。
protocol=”https” 搜索制定协议类型(在开启端口扫描的情况下有效)。例: 查询https协议资产。
city=”Beijing” 搜索指定城市的资产。例: 搜索指定城市的资产。
region=”Zhejiang” 搜索指定行政区的资产。例: 搜索指定行政区的资产。
country=”CN” 搜索指定国家(编码)的资产。例: 搜索指定国家(编码)的资产。
cert=”google.com” 搜索证书(https或者imaps等)中带有google.com的资产。
高级搜索
title=”powered by” && title!=discuz
title!=”powered by” && body=discuz
( body=”content=\”WordPress” || (header=”X-Pingback” && header=”/xmlrpc.php” && body=”/wp-includes/“) ) && host=”gov.cn”

censys

censys搜索引擎功能与shodan类似,以下几个文档信息。
地址:https://www.censys.io/

https://www.censys.io/certificates/help 帮助文档
https://www.censys.io/ipv4?q=  ip查询
https://www.censys.io/domain?q=  域名查询
https://www.censys.io/certificates?q= 证书查询
基本语法
23.0.0.0/8 or 8.8.8.0/24  可以使用and or not
80.http.get.status_code: 200  指定状态
80.http.get.status_code:[200 TO 300]  200-300之间的状态码
location.country_code: DE  国家
protocols: (“23/telnet” or “21/ftp”)  协议
tags: scada  标签
80.http.get.headers.server:nginx  服务器类型版本
autonomous_system.description: University  系统描述
正则

Dnsdb搜索引擎

dnsdb搜索引擎是一款针对dbs解析的查询平台。
地址:https://www.dnsdb.io/

查询语法
  • 搜索语法
    DnsDB查询语法结构为条件1 条件2 条件3 …., 每个条件以空格间隔, DnsDB 会把满足所有查询条件的结果返回给用户.

  • 域名查询条件
    域名查询是指查询顶级私有域名所有的DNS记录, 查询语法为domain:.
    例如查询google.com 的所有DNS记录: domain:google.com.
    域名查询可以省略domain:.

  • 主机查询条件
    查询语法:host:
    例如查询主机地址为mp3.example.com的DNS记录: host:map3.example.com
    主机查询条件与域名查询查询条件的区别在于, 主机查询匹配的是DNS记录的Host值

  • 按DNS记录类型查询
    查询语法: type:.
    例如只查询A记录: type:a
    使用条件:必须存在domain:或者host:条件,才可以使用type:查询语法

  • 按IP限制
    查询语法: ip:
    查询指定IP: ip:8.8.8.8, 该查询与直接输入8.8.8.8进行查询等效
    查询指定IP范围: ip:8.8.8.8-8.8.255.255
    CIDR: ip:8.8.0.0/24
    IP最大范围限制65536个

  • 条件组合查询的例子
    查询google.com的所有A记录: google.com type:a

八、真实IP

详见:
绕过 CDN 寻找真实 IP 地址的各种姿势

判断CDN

ping 如果网站前有cdn标识,则为cdn服务器
站长之家 看返回值

绕过CDN

  • 内部邮箱源
  • 网站phpinfo文件
  • SSL证书探测
  • 分站ip,CDN很贵
  • 多地Ping

https://asm.ca.com/en/ping.php
https://tools.ipip.net/ping.php
http://ping.chinaz.com/

  • 查询域名解析记录

https://viewdns.info/
http://www.ip138.com/
https://www.17ce.com/
https://dnsdb.io/zh-cn/
https://viewdns.info/
https://x.threatbook.cn/en

真实ip

搜索出来的ip直接访问,看是否正常访问。
返回错误则不是。

参考文章

【渗透神器系列】搜索引擎 | nmask’s Blog
Shodan 新手入坑指南
信息收集——初篇
绕过 CDN 寻找真实 IP 地址的各种姿势


   转载规则


《学习总结篇—信息收集》 dylan 采用 知识共享署名 4.0 国际许可协议 进行许可。
  目录