信息收集思路总结
信息收集思路总结
lololowe1. Google Hacking
Google Hacking Database(GHDB):https://www.exploit-db.com/google-hacking-database
谷歌搜索语法介绍:https://program-think.blogspot.com/2013/03/internet-resource-discovery-2.html
常见案例:
搜索语法 | 作用 |
---|---|
site:edu.cn filetype:xls “身份证” | 查找教育机构的带有“身份证”字段的excel表格 |
inurl:phpmyadmin/index.php?server=1 | 查找phpmyadmin登录页 |
inurl:info.php intext:”PHP Version” intitle:”phpinfo() | 查找展示phpinfo()的站点 |
inurl:”.php?id=” “You have an error in your SQL syntax” | 查找可能存在SQL注入的站点 |
intitle:后台登陆 inurl:http: | 查找登录页为http的站点 |
intitle:”index of” intext:”Last modified” | 查找存在目录遍历的站点 |
注意:频繁进行Google Hacking会被谷歌识别为异常流量而进行人机验证
2. 网络空间资产测绘平台
2.1 Shodan(/ˈʃoʊ.dæn/)
官网(需登录使用):https://www.shodan.io/
浏览器扩展:https://chromewebstore.google.com/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap
CLI使用:python -m pip install shodan -i https://pypi.tuna.tsinghua.edu.cn/simple
常见案例:
搜索语法 | 作用 |
---|---|
Hikvision-Webs country:cn city:changsha | 搜索长沙的海康威视摄像头后台页 |
port:3389 country:cn city:beijing | 搜索北京的开启了RDP的服务器 |
vuln:CVE-2017-0144 country:cn | 搜索存在永恒之蓝漏洞的中国设备(漏洞搜索需要付费) |
country:cn city:changsha nginx | 搜索长沙的Nginx服务器 |
isp:huawei country:cn | 搜索华为的基础设施设备 |
2.2 FOFA
官网:https://fofa.info/
浏览器扩展(非官方):https://chromewebstore.google.com/detail/fofa-pro-view/dobbfkjhgbkmmcooahlnllfopfmhcoln
常见案例:
2.3 微步在线
官网(需登录使用): https://x.threatbook.com/v5/mapping
2.4 钟馗之眼(ZoomEye)
不用学他的搜索语法,可以直接用它自带的搜索工具组合不同条件进行搜索:
2.5 更多
需了解更多网络空间资产测绘平台以及威胁情报平台,可参考下面两篇文章:
3. whois和ICP备案
3.1 whois
3.1.1 CLI
Windows:https://learn.microsoft.com/zh-cn/sysinternals/downloads/whois
Debian/Linux:sudo apt install whois
3.1.2 Web
Bugscaner:http://whois.bugscaner.com/
爱站网:https://whois.aizhan.com/
站长之家:https://whois.chinaz.com/
流氓CNNIC(推荐查.cn
域名):https://webwhois.cnnic.cn/WhoisServlet
Web搜索whois信息相比较于命令行搜索的优势在于关键信息优化排版且汉化显示,有的还可以反查ICP备案、解析地址等信息;部分站点查询到的whois信息为缓存信息,最新信息可以通过其提供的更新按钮获取。
3.2 ICP备案
工信部服务平台:https://beian.miit.gov.cn/#/Integrated/recordQuery
爱站网:https://icp.aizhan.com/
站长之家:https://icp.chinaz.com/
.cn域名没有whois隐私保护(whois protection),会泄露注册人的真实姓名以及邮箱地址,如果是企业注册的,则会泄露企业名称,可以结合天眼查查他的法定代表人姓名,最后再根据已知信息使用社工库进行猎魔查找。社工库不会找?用前面教的Google Hacking啊:
inurl:t.me intitle:社工库
4 子域名收集
4.1 Google Hacking
site:domain
查找QQ的子域名:
4.2 微步在线
4.3 命令行手动搜集
- Windows:
nslookup [Domain] [DNS]
- Linux:
dig [Domain] [@DNS]
- 验证连接:
curl -I -L -k [Domain]
4.4 Sublist3r
项目地址:https://github.com/aboul3la/Sublist3r
下载使用:
1 | python -m pip install -r requirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple # 安装依赖 |
sublist3r 如果不加
-b
选项的话,则不会进行域名枚举爆破,只会从多个搜索引擎中收集子域信息。
4.5 subDomainsBrute
项目地址:https://github.com/lijiejie/subDomainsBrute
下载使用:
1 | python -m pip install dnspython==2.2.1 async_timeout -i https://pypi.tuna.tsinghua.edu.cn/simple # 安装依赖 |
注意:subDomainsBrute默认从
dict/dns_servers.txt
文件中随机选择DNS服务器,该文件中包含了阿里云的公共DNS,而阿里云将在2024-9-30开始进行请求限速(20QPS),为了不影响爆破,建议注释掉阿里云的DNS服务器223.5.5.5和223.6.6.6
4.6 Layer子域名挖掘机
项目地址:https://github.com/euphrat1ca/LayerDomainFinder
4.7 证书透明度日志查询
crt.sh:https://crt.sh/
Censys(功能表更全,但需登录使用):https://search.censys.io/search?resource=certificates
注意:并非所有的https域名都会被证书透明度日志记录,有的子域名使用的是根域名的通配符证书,那么子域名就不会显示在日志中,还有自签的证书也不会显示。crt.sh 可能会显示很多重复的域名(可能是CA机构以及证书有效期不同导致的),会导致收集效率过低,可以使用前面提到的的Sublist3r进行搜索:
python sublist3r.py -d example.com -e ssl
4.8 页内超链接收集
4.8.1 Link Grabber
浏览器扩展: https://chromewebstore.google.com/detail/link-grabber/caodelkhipncidmoebgbbeemedohcdma
4.8.2 Hakrawler
项目地址:https://github.com/hakluke/hakrawler
1 | git clone https://github.com/hakluke/hakrawler |
4.9 其他Kali内置子域名收集工具
使用以下示例中的各个工具对我的lololowe.com
进行子域名爆破:
1 | nmap --script dns-brute lololowe.com |
5. Web指纹信息收集
5.1 Wappalyzer
扩展链接:https://chromewebstore.google.com/detail/gppongmhjkpfnbhagpmjfkannfbllamg
5.2 WhatRuns
5.3 TideFinger
项目地址:https://github.com/TideSec/TideFinger
官网在线使用(需登录):http://finger.tidesec.com/
安装使用:
1 | git clone git@github.com:TideSec/TideFinger.git |
5.4 Web Check
项目地址: https://github.com/lissy93/web-check
5.5 BuiltWith
5.6 WhatWeb
在线使用:https://whatweb.net/
安装使用:
1 | sudo apt install -y whatweb |
6. Web目录扫描
主动信息收集请自行衡量后果再进行!
6.1 CLI
6.1.1 dirsearch
项目地址:https://github.com/maurosoria/dirsearch
1 | python -m pip install dirsearch -i https://mirrors.aliyun.com/pypi/simple/ |
6.1.2 wfuzz
项目地址:https://github.com/xmendez/wfuzz
1 | python -m pip install wfuzz -i https://mirrors.aliyun.com/pypi/simple/ |
6.2 GUI
6.2.1 Burp Suite
使用 Intruder 模块进行扫描:
6.2.2 7kbscan-WebPathBrute
项目地址:https://github.com/7kbstorm/7kbscan-WebPathBrute
7. CDN绕过
7.1 CDN判断
使用 CDN Finder 网站测试:https://www.cdnplanet.com/tools/cdnfinder/
使用nslookup
命令能解析出2个IP则很有可能套了CDN:
7.2 多地DNS拨测
大部分CDN服务都是收费的,因此有些企业为了节约成本会对网站做国内外用户做分流,即国内用户访问的是国内CDN节点,国外用户直连源服务器。这种情况下就可以使用多地DNS拨测工具进行全球不同地理位置的DNS解析,从而找到真实源服务器IP。
ITDOG: https://www.itdog.cn/dns/
DNSChecker:https://dnschecker.org/
WhatsMyDNS:https://www.whatsmydns.net/
7.3 子域名
通常来说,CDN只会用在主域名以及一些重要业务的子域名上,而有一些子域名就不会上CDN,因此可以通过收集子域名的IP来绕过CDN。子域名的收集方法上文已介绍过,此处不再赘述。
7.4 DNS历史解析记录
网站刚上线的时候可能没有使用CDN,因此可以通过DNS历史解析记录来找到真实IP。
ViewDNS:https://viewdns.info/iphistory/
微步在线(需登录使用):https://x.threatbook.com/
IP138: https://site.ip138.com/
7.5 邮件头信息
企业为了提高自身专业性通常会自建邮件服务器,而邮件服务是用不了CDN的,因此可以尝试让企业的邮件服务器给自己发送邮件(注册他的服务而获取注册验证码,或者直接发邮件给网站预留的邮箱然后等待回复),然后查看邮件头的Received
字段来获取真实IP:
7.6 站点主动请求
有些网站为了提升用户的访问体验,会给用户分享的第三方链接生成标题和预览图,并且这些链接的请求是从网站服务器发起的,而不是用户自己的机器发起的,因此我们可以使用IP记录器(IP logger)生成一个短链接,然后将这个链接分享到目标网站,使目标网站主动请求这个链接,从而获得服务器的真实IP。
以Grabify记录器和酷安APP为例:
使用Grabify生成一个短链接:https://grabify.link/
将链接分享到酷安的动态草稿中,使其主动请求并生成标题:
回到Grabify,查看结果:
以下是个人推荐的IP记录器:
- Grabify:https://grabify.link/
- IP Tracker:https://tracker.iplocation.net/
- IP Logger(只对国外服务器有效):https://iplogger.org/
- ps3CFW(默认重定向到谷歌且无法自定义): https://www.ps3cfw.com/iplog.php
7.7 搜索引擎快照
在信息收集中,搜索引擎快照通常不用来获取源服务器真实IP,而是用于绕过站点的防火墙拦截。但搜索引擎的爬虫通常不会被防火墙拦截,因此可以尝试在搜索引擎快照中搜索目标网站,从而绕过防火墙的拦截获取站点信息。
谷歌快照的使用方式是在地址栏中输入cache:URL
进行搜索,比如搜索这篇博客就用cache:https://blog.lololowe.com/posts/3393/
,之后会重定向到 https://webcache.googleusercontent.com/search?q=cache:https://blog.lololowe.com/posts/3393/
如果需要获取更多的历史快照,可以用互联网档案馆:https://web.archive.org
8. 端口扫描
8.1 CLI
8.1.1 Nmap
项目地址:https://github.com/nmap/nmap
特点:最有名的端扫工具,综合能力强,且支持脚本引擎扩展(NSE)功能。
Nmap的具体介绍可以看我以前写的一篇博客:https://blog.lololowe.com/posts/e650/
8.1.2 Masscan
项目地址:https://github.com/robertdavidgraham/masscan
Windows预编译版:https://github.com/Arryboom/MasscanForWindows
特点:速度极快,号称5分钟可以扫完整个互联网,默认使用SYN半开扫描。适合扫描目标的B段、C段IP。
部分命令语法和Nmap兼容,可以参考Nmap的命令语法。
1 | masscan -sL 103.21.244.0/22 > 扫描资产.txt # 将IP段写入文件 |
8.1.3 RustScan
项目地址:https://github.com/RustScan/RustScan
特点:号称3秒扫描完65535个端口,默认调用Nmap进行服务识别,支持脚本引擎。
自行到releases中下载不同平台的预编译二进制文件:https://github.com/RustScan/RustScan/releases
1 | rustscan -V |
8.2 GUI
8.2.1 Goby
8.2.2 Advanced Port Scanner
官网:https://www.advanced-port-scanner.com/cn/
8.2.3 PortScan
官网:https://the-sz.com/products/portscan/
8.2.4 Railgun
项目地址:https://github.com/lz520520/railgun
9. 旁站和C段的信息收集
当主站无法入手时,可以考虑收集旁站(在同一服务器上搭建的其他网站)以及C段(同网段的另外253台主机)上的其他服务器的信息。尝试寻找旁站上的Web漏洞,或者利用C段内其他服务器作为跳板,对目标服务器发起攻击。
9.1 旁站
获取旁站需要通过主站的IP地址去反查解析到该IP的域名,因此需要先获取主站的IP地址。获取主站IP地址以及绕过CDN的方法上文已经介绍过,此处不再赘述。
常用的获取旁站的方法有下面几个:
使用爱站网的IP反查域名功能:https://dns.aizhan.com/
使用Fofa的IP关联子域名搜索语法:ip="45.33.32.156" && type="subdomain"
使用钟馗之眼的域名/IP关联工具(需登录):
使用微步在线获取域名解析到该IP的记录:
9.2 C段
内网C段信息收集需要先判断C段中存活的主机,然后再从存活主机中筛选出运行了http服务的主机,可以用Nmap、RustScan等工具实现:
1 | nmap -p 80,443,8080,8443 --script http-title,http-server-header 192.168.31.0/24 |
外网的C段信息可以利用前面介绍的网络空间资产测绘平台进行收集:
Fofa: protocol="http" && ip="1.1.1.1/24"
钟馗之眼:service:"http" && cidr:1.1.1.1/24
微步在线:ip="1.1.1.1/24" && protocol="http"
Shodan: ip:1.1.1.1/24
10. 社工信息
10.1 IMEI查询
https://imeicheck.com/cn/imei-check
10.2 MAC地址查询
https://itool.co/mac
https://toolwa.com/mac/
https://mac.bmcx.com/
10.3 IP归属地查询
IPIP(定位精准):https://www.ipip.net/ip.html
纯真网络:https://cz88.net/
埃文科技:https://www.ipplus360.com/
iplark(聚合搜索): https://iplark.com/
Sukka(聚合搜索):https://ip.skk.moe/query
PING0: https://ping0.cc/ip/
10.4 Exif元数据
改图宝(前端分析):https://www.gaitubao.com/exif
21zui(前端分析):https://www.21zui.com/exif.html
exif.top(后端分析):https://exif.top/
Windows文件属性:右键文件 -> 属性 -> 详细信息
主要关注拍摄时间、相机型号、GPS坐标等信息。
10.5 从图片推理位置
GeoSpy:https://geospy.ai/
10.6 TG_Bot
10.7 泄露数据查询
qq8e: 自行寻找
REG007(查对方注册过哪些网站): https://www.reg007.com/
被黑过的网站查询:https://haveibeenpwned.com/PwnedWebsites
卡巴斯基密码泄露查询:https://password.kaspersky.com/ch/
邮件地址泄露查询:https://www.hotsheet.com/inoitsu/
Mozilla Monitor:https://monitor.mozilla.org/
PasswordSecurity.info泄露密码查询:https://passwordsecurity.info/
10.8 企业信息查询
企查查:https://www.qcc.com/
天眼查:https://www.tianyancha.com/
百度爱企查:https://aiqicha.baidu.com/
阿里云企业信息查询:https://market.aliyun.com/qidian/home
以上站点的主要数据来源:国家企业信用信息公示系统、信用中国、中国裁判文书网、中国执行信息公开网、国家知识产权局、商标局、版权局、民政部
10.9 身份证校验
包头市公安局综合服务平台:https://gaj.baotou.gov.cn/query/idcard
支付宝转账:
12306添加乘车人:
10.10 经纬坐标查询
便民查询网https://map.yanue.net/
批量经纬度查询:https://jingweidu.bmcx.com/
百度经纬度查询:https://lbsyun.baidu.com/jsdemo/demo/yLngLatLocation.htm
高德坐标拾取器:https://lbs.amap.com/tools/picker