一文搞定信息打點——超詳細

web信息打點

0x01 信息架構(gòu)

語編程言：搜所引擎、文件后綴、搭建組合推算

中間件：端口掃描、看返回數(shù)據(jù)包

域名資產(chǎn)：收集、分析

操作系統(tǒng)：大小寫、ttl值、指紋識別

WINDOWS NT/2000   TTL：128
WINDOWS 95/98     TTL：32
UNIX              TTL：255
LINUX             TTL：64
WIN7          	  TTL：64

社會工程學(xué)：釣魚郵件、社會工程學(xué)攻擊

資產(chǎn)監(jiān)控：git資產(chǎn)監(jiān)控

web應(yīng)用：插件、應(yīng)用、環(huán)境

0x02 域名

2.1 真實ip獲取

2.1.1 真實ip介紹

在部分網(wǎng)站中部署有cdn加速當(dāng)我們直接ping包或者訪問的時候我們的ip 是cdn主機IP不是真實IP

2.1.2 cdn

2.1.2.1 什么是cdn

內(nèi)容分發(fā)網(wǎng)絡(luò)（CDN）：是指企業(yè)利用分布在不同區(qū)域的節(jié)點服務(wù)器群組成流量分配管理平臺，為用戶提供內(nèi)容分散存儲和高速緩存服務(wù)
在滲透測試過程中，經(jīng)常會碰到網(wǎng)站有CDN的情況。CDN即內(nèi)容分發(fā)網(wǎng)絡(luò)，主要解決因傳輸距離和不同運營商節(jié)點造成的網(wǎng)絡(luò)速度性能低下的問題。說的簡單點，就是一組在不同運營商之間的對接點上的高速緩存服務(wù)器，把用戶經(jīng)常訪問的靜態(tài)數(shù)據(jù)資源直接緩存到節(jié)點服務(wù)器上，當(dāng)用戶再次請求時，會直接分發(fā)到離用戶近的節(jié)點服務(wù)器上響應(yīng)給用戶，當(dāng)用戶有實際數(shù)據(jù)交互時才會從遠程Web服務(wù)器上響應(yīng)，這樣可以大大提高網(wǎng)站的響應(yīng)速度及用戶體驗。

2.1.2.2 cdn識別

超級ping

出現(xiàn)多個ip不一樣的證明有cdn

ITDOG:https://www.itdog.cn/ping/https://www.itdog.cn/ping/
nodecook:https://www.nodecook.com/zh/ping
站長工具：http://ping.chinaz.com/
愛戰(zhàn)網(wǎng)：https://ping.aizhan.com/
ITDOG:https://www.itdog.cn/ping/

nslookup域名解析
```
nslookup <url地址>
```

2.2 子域名

2.2.1 挖掘

頁面識別

通過網(wǎng)頁頁面包含的鏈接精準(zhǔn)收集子域名

測繪工具

通過測繪功工具來收集

微步：https://x.threatbook.com/3
360kuake:https://quake.360.cn
fofa:https://fofa.info/
鐘馗之眼：https://fofa.info/
鷹圖：https://hunter.qianxin.com/

域名挖掘工具

oneforall
Subfinder
lauer
DNSRecon
......

反查
```
ip138:https://site.ip138.com/
......
```
域名解析
```
ip138:https://site.ip138.com/
```

2.2.2子域名綜合查詢工具

http://tool.chinaz.com/subdomain/
http://i.links.cn/subdomain/
http://subdomain.chaxun.la/
http://searchdns.netcraft.com/
https://www.virustotal.com/
https://x.threatbook.com/v5/mapping
https://ip138.com

2.3 網(wǎng)站其他信息收集

2.3.1 whois查詢

在線工具

站長之家域名；http://whois.chinaz.com/

愛站網(wǎng)域名；https://whois.aizhan.com/

騰訊云域名；https://whois.cloud.tencent.com/

美橙互聯(lián)域名；https://whois.cndns.com/

愛名網(wǎng)域名；https://www.22.cn/domain/

易名網(wǎng)域名；https://whois.ename.net/

中國萬網(wǎng)域名；https://whois.aliyun.com/

西部數(shù)碼域名；https://whois.west.cn/

新網(wǎng)域名WHOIS；http://whois.xinnet.com/domain/whois/index.jsp

納網(wǎng)域名W；http://whois.nawang.cn/

中資源域名：https://www.zzy.cn/domain/whois.html

三五互聯(lián)域名：https://cp.35.com/chinese/whois.php

新網(wǎng)互聯(lián)域名：http://www.dns.com.cn/show/domain/whois/index.do

國外WHOIS信息查詢：https://who.is/

域名反查：
https://mwhois.chinaz.com/
https://whois.chinaz.com/

icp備案查詢：
https://beian.mlit.gov.cn/
https://icp.chinaz.com/
https://beian88.com/

2.3.2 站點信息

2.3.2.1 堆棧建站

MERN Stack (MongoDB, Express.js, React, Node.js)

MERN 堆棧是一個全棧 JavaScript 解決方案，適合構(gòu)建現(xiàn)代化的 Web 應(yīng)用程序。

MongoDB: NoSQL 數(shù)據(jù)庫，適合存儲非結(jié)構(gòu)化數(shù)據(jù)。

Express.js: 基于 Node.js 的輕量級 Web 應(yīng)用框架。
React: Facebook 開發(fā)的用于構(gòu)建用戶界面的 JavaScript 庫。
Node.js: 服務(wù)器端運行 JavaScript 的環(huán)境。

MEAN Stack (MongoDB, Express.js, Angular, Node.js)

MEAN 堆棧與 MERN 類似，但使用 Angular 代替 React
Angular: Google 開發(fā)的用于構(gòu)建動態(tài) Web 應(yīng)用的框架。

LEMP Stack (Linux, Nginx, MySQL, PHP)

LEMP 堆棧與 LAMP 類似，只是使用了 Nginx 作為 Web 服務(wù)器。
Nginx: 一個高性能的HTTP和反向代理服務(wù)器，適合處理高并發(fā)請求。

MEVN Stack (MongoDB, Express.js, Vue.js, Node.js)

 MEVN 堆棧也是全棧 JavaScript 解決方案，使用 Vue.js 替代 React 或 Angular。
Vue.js: 一種用于構(gòu)建用戶界面的漸進式框架。

.NET Stack (Windows, IIS, SQL Server, ASP.NET)
```
.NET 棧主要面向 Windows 平臺。
```

Windows: 操作系統(tǒng)。

IIS: Internet Information Services，是 Windows 上的 Web 服務(wù)器組件。
SQL Server: 微軟的關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。
ASP.NET: 微軟的 Web 應(yīng)用框架，支持多種編程語言。

Ruby on Rails with PostgreSQL

Ruby on Rails: 一個用于快速開發(fā) Web 應(yīng)用的 MVC 框架。
PostgreSQL: 一個功能強大的開源對象關(guān)系數(shù)據(jù)庫系統(tǒng)。

Django with PostgreSQL or MySQL

Django: 一個高級的 Python Web 框架，鼓勵快速開發(fā)并干凈、務(wù)實的設(shè)計。
PostgreSQL/MySQL: 數(shù)據(jù)庫管理系統(tǒng)。

Java EE Stack (Apache Tomcat, MySQL, Java)

Apache Tomcat: Java Servlet 容器。
MySQL: 關(guān)系型數(shù)據(jù)庫管理系統(tǒng)。
Java: 編程語言，Java EE 規(guī)范提供了企業(yè)級應(yīng)用開發(fā)的標(biāo)準(zhǔn)。

Flask or Django with SQLite or PostgreSQL (Python)

使用 Python 的輕量級框架 Flask 或者 Django，配合 SQLite 或 PostgreSQL 數(shù)據(jù)庫。

Flask: 輕量級 Web 應(yīng)用框架。

SQLite: 輕量級嵌入式數(shù)據(jù)庫引擎。

ASP.NET Core (Cross-Platform)

ASP.NET Core: 微軟的跨平臺 Web 框架，支持 Windows、Linux 和 macOS。
SQL Server/MySQL/PostgreSQL: 數(shù)據(jù)庫選項。

2.3.2.2 軟件建站

比如phpstudy、寶塔等搭建軟件搭建的站點，各有其特征。

如何判斷是否是軟件建站
抓包，看server行，一般比較詳細的就是使用搭建軟件搭建，下面就是一個對比
判斷建站軟件
最好就是親手用最新的改款搭建軟件去搭一個，一般同版本的搭建軟件給的中間件都是相同的，并且各有其特征。
例如寶塔搭建的網(wǎng)站，其8888端口一般就是其管理網(wǎng)站，可以使用8888端口去嘗試訪問
又例如phpstudy搭建的網(wǎng)站，一般會有一個phpmyadmin目錄，嘗試訪問這種目錄，如果正常跳轉(zhuǎn)回顯，那么基本上就是Phpstudy

服務(wù)器操作系統(tǒng)

通過ping包字段識別
指紋識別工具

2.3.2.3 瀏覽器語法搜索

谷歌瀏覽器常見語法

基本搜索語法
intitle: 查找頁面標(biāo)題中含有特定關(guān)鍵詞的網(wǎng)頁。
例：intitle:"index of"

inurl: 查找URL中含有特定關(guān)鍵詞的網(wǎng)頁。
例：inurl:"admin"

filetype: 查找特定類型的文件。
例：filetype:pdf "security report"
site: 限制搜索結(jié)果來自于指定的網(wǎng)站。
例：site:example.com

related: 找出與指定網(wǎng)站相關(guān)的其他網(wǎng)站。
例：related:example.com

cache: 查看谷歌緩存的頁面版本。
例：cache:example.com

define: 查找詞語的定義。
例：define:information

高級搜索語法
intext: 查找頁面正文中包含特定文本的網(wǎng)頁。
例：intext:"confidential"

link: 查找鏈接指向特定URL的網(wǎng)頁。
例：link:example.com

info: 顯示關(guān)于URL的一些基本信息。
例：info:example.com

allintitle: 頁面標(biāo)題中包含所有給定詞組。
例：allintitle:"index of"

allinurl: URL中包含所有給定詞組。
例：allinurl:"login"

allintext: 正文文本中包含所有給定詞組。
例：allintext:"secret document"

組合使用
你可以組合使用上述語法來進一步細化搜索結(jié)果。例如：

intitle:"index of" filetype:pdf site:example.com
這條搜索語句將會尋找在example.com上標(biāo)題包含index of并且是PDF格式的文件。

baidu瀏覽器常見語法

通用搜索語法
intitle: 搜索網(wǎng)頁標(biāo)題中包含的特定關(guān)鍵詞。
例如：intitle:后臺管理 可以找到標(biāo)題中含有“后臺管理”的網(wǎng)頁。

inurl: 搜索URL中包含的特定關(guān)鍵詞。
例如：inurl:/wp-admin/ 可以找到URL中含有“/wp-admin/”的頁面。

filetype: 搜索特定類型的文件。
例如：filetype:pdf 安全報告 可以找到PDF格式的安全報告文件。

site: 限定搜索范圍在特定的網(wǎng)站內(nèi)。
例如：site:example.com 僅在example.com網(wǎng)站內(nèi)搜索。

雙引號 ("..."): 搜索完全匹配的短語。
例如："默認密碼" 只會返回包含完整短語“默認密碼”的網(wǎng)頁。

減號 (-): 排除含有特定關(guān)鍵詞的網(wǎng)頁。
例如：登錄頁面 -test 排除含有“test”的登錄頁面。

常見的應(yīng)用
尋找登錄頁面
inurl:/login
intitle:"登錄頁面"

查找配置文件或敏感文檔
filetype:txt config
filetype:xml password

查找子域名
site:.example.com
結(jié)合子域名枚舉工具，可以更加高效地查找未公開的子域名。
尋找開發(fā)環(huán)境或測試環(huán)境

intitle:"開發(fā)環(huán)境"

intitle:"測試服務(wù)器"

2.4 端口及其對應(yīng)服務(wù)信息

2.4.1使用端口掃描工具

Nmap 是一個強大的網(wǎng)絡(luò)探索工具，也是端口掃描工具，可以用來發(fā)現(xiàn)主機和服務(wù)。例如：

TCP SYN 掃描：nmap -sS -p- <target>，掃描所有 TCP 端口。
TCP 連接掃描：nmap -sT -p 80,443 <target>，掃描指定端口（如 HTTP 和 HTTPS）。
UDP 掃描：nmap -sU -p 161 <target>，掃描 UDP 端口（如 SNMP）。
服務(wù)版本探測：nmap -sV -p 80,443 <target>，探測服務(wù)版本。
操作系統(tǒng)探測：nmap -O <target>，探測操作系統(tǒng)類型。

2.4.2 使用 Whois 查詢

通過 Whois 查詢可以獲取目標(biāo)域名的注冊信息，包括 IP 地址等，從而進一步進行端口掃描。例如：

whois <domain>

2.4.3 DNS 枚舉

使用工具如 DNSRecon 或 Layer 子域名挖掘機來發(fā)現(xiàn)與目標(biāo)域名相關(guān)的其他域名或子域名。

DNSRecon: dnsrecon -d <domain> -r <resolver>
Layer 子域名挖掘機: layer_subdomain_brute <options>

2.4.4 使用在線端口掃描工具

有許多在線端口掃描服務(wù)可以直接在瀏覽器中使用，例如：

TooL.cc: https://tool.lu/port/
Postjson: https://tool.postjson.com/online-port-scanner.html

2.4.5 手動使用命令行工具

Netcat: 可以用來測試單個端口是否開放。

nc -zv <target> <port>

Telnet: 也可以用來測試端口。

telnet <target> <port>

2.4.6 使用自動化工具

Metasploit: 包含了許多用于端口掃描和服務(wù)探測的模塊

msfconsole
use auxiliary/scanner/portscan/tcp
set RHOSTS <target>
run

2.5 目錄掃描

2.5.1 常見敏感目錄

reboot.txt
sitemap.xml
網(wǎng)站備份文件/數(shù)據(jù)：在線壓縮(文件)/帝國備份王(數(shù)據(jù))
后臺登錄目錄：/admin /.manage
安裝包（源碼）：非開源，商用/zip文件/install
文件上傳的目錄：/upload /upload.php
文件上傳的目錄-webshell
mysql的管理界面：web頁面去管理/phpadmin
程序安裝路徑：/install
php探針：phpinfo/雅針探黑
文本編輯器
linux：用戶—cat /etc/passwd 密碼—cat/etc/shadow 執(zhí)行sudo—cat /etc/sudoers
MacOS ：.DS_Store 文件夾自定義屬性的隱藏文件（一定要刪掉）
編輯器的臨時文件：.swp
目錄穿越 tomcat WEB-INF
其他非常規(guī)文件：secret.txtp / assword.txt

2.5.2 工具掃描

御劍
dirb
Burp Suite
DirBrute
Dirsearch
Dirmap
wfuzz
鑄劍

2.6 抓包分析

2.6.1 目的

理解通信行為：通過分析數(shù)據(jù)包，可以了解Web應(yīng)用與外部系統(tǒng)的交互細節(jié)。
檢測安全漏洞：識別數(shù)據(jù)包中的敏感信息泄露、認證機制薄弱等問題。
模擬攻擊：基于捕獲的數(shù)據(jù)包模擬攻擊，驗證系統(tǒng)的安全性。
問題診斷：幫助網(wǎng)絡(luò)管理員和開發(fā)者診斷網(wǎng)絡(luò)問題或應(yīng)用故障。

2.6.2 常見工具：

Wireshark
Fiddle
Burp Suite
tcpdump
cURL

2.6.3 分析數(shù)據(jù)包

使用顯示過濾器：在捕獲到的數(shù)據(jù)包中使用顯示過濾器來查找感興趣的特定數(shù)據(jù)包。
檢查協(xié)議字段：仔細查看數(shù)據(jù)包中的協(xié)議字段，如HTTP請求頭、響應(yīng)頭、Cookie等。
分析敏感信息：檢查是否存在明文密碼、API密鑰等敏感信息。
查看異常行為：留意是否有異常的響應(yīng)代碼或不尋常的請求模式

0x03 源碼

分類：CMS開源、閉源

3.1 CMS識別

3.1.1 識別方法

3.1.1.1 手動識別

通過頁面特征和頁腳信息識別

在頁腳聲明中部分會留下cms的名字
檢查網(wǎng)站源代碼

CMS通常會在網(wǎng)頁的源代碼中留下一些特定的標(biāo)記，如HTML <meta> 標(biāo)簽中包含的generator屬性此外，還可以檢查特定的文件名或路徑，例如/wp-admin/（WordPress）或/admin/（Joomla）等
文件和目錄特征

不同的CMS會有各自獨特的文件和目錄結(jié)構(gòu)。例如，WordPress可能會有wp-content目錄，而Joomla可能會有administrator目錄通過查找這些特定的文件或目錄，可以識別出CMS的類型。
JavaScript和CSS文件

CMS通常會在頁面中加載特定的JavaScript和CSS文件。通過分析這些文件的名稱和內(nèi)容，也可以幫助識別CMS
HTTP響應(yīng)頭信息

一些CMS會在HTTP響應(yīng)頭中包含特定的信息，比如X-Powered-By字段，這可以用來識別CMS類型2.1.1.2

3.1.1.2 工具識別

云悉指紋識別
潮汐指紋識別
工具識別tidefinger
在線指紋識別
wappalyzer 瀏覽器插件
whatweb（本地）

3.2 能識別CMS的

3.2.1 CMS開源

如果目標(biāo)網(wǎng)站是使用開源的CMS（內(nèi)容管理系統(tǒng)）構(gòu)建的，可以通過訪問官方網(wǎng)站下載最新版本的源碼。例如，WordPress、Drupal等都有官方發(fā)布的版本

3.2.2 利用搜索引擎

通過搜索引擎使用特定的查詢語句，有時候可以找到一些未受保護的源代碼文件。例如，使用Google Hacking技巧，通過如filetype:zip intext:source code這樣的搜索條件，有可能找到存放源碼的壓縮包文件。

3.2.3 利用公開的代碼倉庫

開發(fā)人員有時會在公開的代碼倉庫如GitHub、Gitee 等平臺上無意間上傳了項目的源代碼，這些源代碼可能包含了敏感信息。通過搜索相關(guān)的關(guān)鍵字或者開發(fā)者的用戶名，有可能找到有關(guān)的項目倉庫。

3.3不能識別CMS

composer.json(PHP特性)
git源碼泄露：
svn源碼泄露：
hg源碼泄露：
網(wǎng)站備份壓縮文件泄露：
web-INF/web.xml泄露:
DS_store文件泄露：
SWP文件泄露：
CVS泄露：
bzr泄露：
github源碼泄露：

3.4 黑源碼：

互站

0x04 工商信息收集

4.1 關(guān)注的基本信息

企業(yè)基本信息：包括公司名稱、注冊地址、法定代表人、注冊資本、經(jīng)營范圍等。
股東信息：了解公司的所有權(quán)結(jié)構(gòu)，識別主要股東及其持股比例。
財務(wù)信息：雖然財務(wù)信息通常較為敏感，通過公開渠道獲取部分財務(wù)報告。
法律狀態(tài)：包括公司的法律訴訟記錄、行政處罰記錄等。
技術(shù)信息：使用的軟件、硬件和服務(wù)提供商等，這些信息有助于識別可能的技術(shù)漏洞。
域名信息：包括主域名、子域名、旁站等信息。
網(wǎng)絡(luò)信息：包括IP地址、開放端口、網(wǎng)絡(luò)設(shè)備等。
系統(tǒng)信息：操作系統(tǒng)版本、中間件信息、服務(wù)器配置等。
聯(lián)系電話/電子郵箱：聯(lián)系信息可用于社會工程學(xué)攻擊或釣魚測試。

4.2 信息收集的方法

4.2.1 被動信息收集

被動信息收集是在不與目標(biāo)系統(tǒng)直接交互的情況下，通過公開渠道獲取目標(biāo)系統(tǒng)的相關(guān)信息。

常用的方法包括：搜索引擎：使用Google、Bing等搜索引擎查找與目標(biāo)企業(yè)相關(guān)的信息。
網(wǎng)絡(luò)空間搜索引擎：使用FOFA、Shodan、ZoomEye等工具搜索互聯(lián)網(wǎng)上的設(shè)備和服務(wù)。
Whois查詢：通過Whois查詢獲取域名注冊信息。
備案信息查詢：通過ICP備案查詢網(wǎng)站獲取目標(biāo)網(wǎng)站的備案信息。
社交媒體和專業(yè)網(wǎng)絡(luò)：在LinkedIn、微博等平臺上搜索目標(biāo)公司的員工信息
企查查、天眼查、啟信寶：這些平臺提供全面的企業(yè)信息查詢服務(wù)
國家企業(yè)信用信息公示系統(tǒng)：查詢相關(guān)信息
地方工商局網(wǎng)站：部分地區(qū)工商局網(wǎng)站提供更詳細的企業(yè)信息。
證券交易所網(wǎng)站：上市公司會在證券交易所網(wǎng)站發(fā)布年報、公告等信息。
內(nèi)部群：姓名、職位、聯(lián)系方式、地址、郵箱、合作企業(yè)（包括社工）

4.3 收集的信息整理

4.3.1 基本信息整理

企業(yè)基本信息：名稱、地址、聯(lián)系方式等。
網(wǎng)絡(luò)基礎(chǔ)設(shè)施：IP地址、子網(wǎng)掩碼、域名、開放端口、服務(wù)等。
技術(shù)信息：使用的軟件、硬件、框架、版本號等。
員工信息：關(guān)鍵人員的名字、職位、聯(lián)系信息等。
社會工程學(xué)信息：員工的習(xí)慣、社交賬號、可能的社會工程學(xué)入口點等。
財務(wù)及法律信息：財務(wù)狀況、法律糾紛等。
公開文檔：報告、手冊、白皮書等。

4.3.2 詳細標(biāo)注

標(biāo)簽：為每條信息加上標(biāo)簽。
注釋：對信息來源、收集時間和可信度等進行標(biāo)注。

0x05 從軟件收集web信息

5.1 app信息收集

5.1.2 反編譯

先反編譯查看源代碼或者其他信息

5.1.3AppInfoScanner使用

運行(基礎(chǔ)版)

掃描Android應(yīng)用的APK文件、DEX文件、需要下載的APK文件下載地址、保存需要掃描的文件的目錄

    python app.py android -i 文件地址（包括網(wǎng)絡(luò)地址 ）

掃描iOS應(yīng)用的IPA文件、Mach-o文件、需要下載的IPA文件下載地址、保存需要掃描的文件目錄

    python app.py ios -i 文件地址（包括網(wǎng)絡(luò)地址 ）

掃描Web站點的文件、目錄、需要緩存的站點URl

    python app.py web -i 文件地址（包括網(wǎng)絡(luò)地址 ）

參數(shù)說明：

python app.py android -i :

對本地apk進行掃描
對url中包含的apk文件進行掃描
對本地url站點包括本地web和url包含站點進行掃描
-r
添加臨時規(guī)則（關(guān)鍵字）
-s
關(guān)閉網(wǎng)絡(luò)嗅探
-n
忽略所有的資源文件
-t
設(shè)置并發(fā)數(shù)量
-o
指定結(jié)果集或者文件輸出目錄
-p
對指定包名下的文件內(nèi)容進行掃描只能是Android

5.2 exe收集web信息

5.2.1 應(yīng)用基本信息收集

軟件官網(wǎng)：訪問軟件官方網(wǎng)站，獲取軟件的版本信息、更新日志、用戶手冊等。
開發(fā)者信息：查找開發(fā)者或發(fā)行商的相關(guān)信息，了解他們是否有其他的軟件產(chǎn)品或Web服務(wù)。
許可證和注冊信息：如果軟件需要許可證密鑰，嘗試獲取相關(guān)信息。

5.2.1 逆向工程與代碼分析

反編譯：使用 IDA Pro、Ghidra 或 OllyDbg 等工具反編譯 .exe 文件，分析其內(nèi)部邏輯。
字符串提取：使用 strings.exe 或類似工具從 .exe 文件中提取字符串，尋找可能指向 Web 服務(wù)的 URL 或 IP 地址。
依賴庫：檢查 .exe 文件所依賴的庫文件，如 DLLs，分析它們的功能。

5.2.3 網(wǎng)絡(luò)通信分析

抓包工具：使用諸如 Wireshark、Fiddler、Burp Suite 或 Charles Proxy 這樣的工具來攔截并分析應(yīng)用程序與 Web 服務(wù)之間的通信。
HTTPS 流量：確認應(yīng)用程序是否使用了 HTTPS 協(xié)議，以及 SSL/TLS 版本和加密套件。
API 端點：識別應(yīng)用程序調(diào)用的 API 端點，分析請求方法、參數(shù)、響應(yīng)格式等

0x06 工具信息收集

6.1 finger

python finger.py -參數(shù)

finger追求極簡命令參數(shù)只有以下幾個:

-u 對單個URL進行指紋識別
-f 對指定文件中的url進行批量指紋識別
-i 對ip進行fofa數(shù)據(jù)查詢采集其web資產(chǎn)
-if 對指定文件中的ip批量調(diào)用fofa進行數(shù)據(jù)查詢采集其web資產(chǎn)
-fofa 調(diào)用fofa api進行資產(chǎn)收集
-quake 調(diào)用360 quake進行資產(chǎn)收集
-o 指定輸出方式默認不選擇的話是xlsx格式，支持json，xls。

6.2 shuize(水澤)

語法	功能
python3 ShuiZe.py -d domain.com	收集單一的根域名資產(chǎn)
python3 ShuiZe.py --domainFile domain.txt	批量跑根域名列表
python3 ShuiZe.py -c 192.168.1.0,192.168.2.0,192.168.3.0	收集C段資產(chǎn)
python3 ShuiZe.py -f url.txt	對url里的網(wǎng)站漏洞檢測
python3 ShuiZe.py --fofaTitle XXX大學(xué)	從fofa里收集標(biāo)題為XXX大學(xué)的資產(chǎn)，然后漏洞檢測
python3 ShuiZe.py -d domain.com --justInfoGather 1	僅信息收集，不檢測漏洞
python3 ShuiZe.py -d domain.com --ksubdomain 0	不調(diào)用ksubdomain爆破子域名

6.3 kunyu

命令

-info 查詢用戶信息
-searchhost <IP地址> 搜所host資產(chǎn)
-searchweb <url> 搜索web資產(chǎn)
-seerchlcon <本地文件/遠程文件地址>
-Seebug Thinkphp 查看thinkphp的漏洞歷史

6.4 燈塔（ARL）

域名資產(chǎn)發(fā)現(xiàn)和整理
IP/IP 段資產(chǎn)整理
端口掃描和服務(wù)識別
WEB 站點指紋識別
資產(chǎn)分組管理和搜索
任務(wù)策略配置
計劃任務(wù)和周期任務(wù)
Github 關(guān)鍵字監(jiān)控
域名/IP 資產(chǎn)監(jiān)控
站點變化監(jiān)控
文件泄漏等風(fēng)險檢測
nuclei PoC 調(diào)用
WebInfoHunter 調(diào)用和監(jiān)控

0x07 信息識別

7.1 障礙

7.1.1 常見阻礙

超級ping
WAF:看圖識別、wafw00f、waf在線識別
負載均衡：cdn
防火墻：系統(tǒng)自帶、且還有外部物理防火墻，部分nmap可以識別

7.1.2 CDN

7.1.2.1 cdn判斷

超級ping 判斷有無CDN
看網(wǎng)速響應(yīng)：視頻、圖片文件
還可以使用Windows命令查詢：nslookup，若目標(biāo)存在多個IP的話，就很有可能有CDN服務(wù)
使用工具查詢，工具地址如下
CDN Planet：https://www.cdnplanet.com/tools/cdnfinder/

7.1.2.2 CDN配置

騰訊云：內(nèi)容分發(fā)網(wǎng)絡(luò) CDN 從零開始配置 CDN-快速入門-文檔中心-騰訊云 (tencent.com)
阿里云：新手指引_CDN(CDN)-阿里云幫助中心 (aliyun.com)

7.1.2.3 CDN繞過

子域名

子域名查詢：

在一些網(wǎng)站中有可能只加速了主站，而一些其它子域名和主站在同一個C段或者同服務(wù)器

利用子域名查詢工具：

http://tool.chinaz.com/subdomain/
http://i.links.cn/subdomain/    
http://subdomain.chaxun.la/
http://searchdns.netcraft.com/
https://www.virustotal.com/
https://x.threatbook.com/v5/mapping
https://ip138.com

國外訪問

一些CDN只加速了部分地區(qū)，那么在為加速地區(qū)的訪問就是真實的主機ip

可以利用在線工具進行超級ping來查看ip，如：
```
ipip在線工具
itdog在線工具
https://www.webpagetest.org/
https://dnscheck.pingdom.com/
```
郵件訪問

在進行郵件發(fā)送時郵件的內(nèi)容源碼里面包含了主機的真實IP
主動連接漏洞：xss ssrf

通過漏洞來主動連接時，
遺留文件

在網(wǎng)站搭建時候的測試網(wǎng)站在許多時候會有測試文件，比如說phpinfo.php文件
查看DNS歷史

在CDN服務(wù)啟動以前他的真實ip可能被DNS服務(wù)記錄到，那么此時它的DNS歷史中可能存在主機真實ip
```
https://www.itdog.cn/dns/
https://x.threatbook.com/
https://site.ip138.com/
```
工具

篩選：當(dāng)查找出來有相似ip時可以用工具來篩選

工具查找：

在線工具：
```
https://get-site-ip.com/
```

本地工具：

zmap

下載：https://github.com/zmap/zmap
教程：https://linux.cn/article-5860-1.html

fuckcdn

w8Fuckcd

后續(xù)操作：
更改 host文件綁定IP 指定訪問

7.1.3 waf

7.1.3.1 waf分類

云waf
硬件waf
軟件waf
其他waf

7.1.3.2 namp識別WAF

nmap -p 80,443 --script=http-waf-detect <目標(biāo)網(wǎng)址或IP>
nmap -p 80,443 --script=http-waf-fingerprint <目標(biāo)網(wǎng)址或IP>

7.1.3.3 wafwoof識別waf

nmap默認有19個指紋，sqlmap默認有94個指紋，wafw00f默認有155個指紋

wafw00f [url]
-h, --help 顯示此幫助消息并退出
-v, --verbose 啟用詳細程度-多個-v選項可增加詳細程度
-a, --findall 檢測所有的Waf，不會在檢測到第一個Waf的時候停止
-r, --disableredirect 不要遵循3xx響應(yīng)給出的重定向
-t TEST, --test=TEST 測試一個特定的WAF
-l, --list 列出我們能夠檢測到的所有WAF
-p PROXY, --proxy=PROXY
使用HTTP代理執(zhí)行請求，例如：http://hostname:8080, socks5://hostname:1080
-V, --version 輸出版本信息
-H HEADERSFILE, --headersfile=HEADERSFILE
傳遞自定義標(biāo)頭，例如覆蓋默認的User-Agent字符串

7.1.4.4 看圖識別

攔截頁面來識別waf

7.2 綜合信息

7.2.2 基礎(chǔ)信息

域名信息：包括主域名和所有相關(guān)的子域名。
IP 地址：目標(biāo)系統(tǒng)的公網(wǎng) IP 地址。
物理位置：了解目標(biāo)的地理位置可以幫助識別潛在的物理安全風(fēng)險。

7.2.2 網(wǎng)絡(luò)基礎(chǔ)設(shè)施

網(wǎng)絡(luò)架構(gòu)：了解目標(biāo)網(wǎng)絡(luò)的整體布局，包括內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、防火墻配置等。
開放端口：掃描目標(biāo)系統(tǒng)上開放的所有端口。
服務(wù)版本：識別目標(biāo)系統(tǒng)提供的服務(wù)及其版本號，這有助于發(fā)現(xiàn)已知漏洞。
操作系統(tǒng)：確定目標(biāo)系統(tǒng)使用的操作系統(tǒng)類型和版本。
中間件：識別使用中的 Web 服務(wù)器、數(shù)據(jù)庫服務(wù)器等中間件。

7.2.3 應(yīng)用程序信息

Web 應(yīng)用程序：收集目標(biāo)網(wǎng)站的 URL、使用的編程語言、框架等信息。
CMS 指紋：識別目標(biāo)是否使用了 CMS（如 WordPress、Drupal 等）及其版本。
Web 框架：識別使用的 Web 開發(fā)框架（如 Django、Ruby on Rails 等）。
API 端點：發(fā)現(xiàn) API 端點并嘗試?yán)斫馄涔δ堋?/p>

7.1.4 敏感信息

數(shù)據(jù)庫信息：嘗試發(fā)現(xiàn)數(shù)據(jù)庫文件或配置文件的位置，如 database.ini 或 .env 文件。
備份文件：查找可能存在的備份文件或目錄。
配置文件：尋找可能暴露的配置文件，這些文件可能包含用戶名、密碼等敏感信息。
敏感文件：如 .gitignore 文件，可能透露項目的結(jié)構(gòu)或其他敏感信息。

7.2.5 目錄和服務(wù)信息

目錄列表：嘗試列出網(wǎng)站的目錄結(jié)構(gòu)。
敏感目錄：尋找可能包含敏感信息的目錄，如 /admin、/login 等。
未授權(quán)訪問：查找可能存在未授權(quán)訪問的 URL 或文件。

7.2.6 社會工程

員工信息：通過社交媒體（如 LinkedIn）了解員工的角色和責(zé)任。
組織結(jié)構(gòu)：了解公司的組織結(jié)構(gòu)，包括部門設(shè)置、員工分工等。
供應(yīng)鏈信息：識別目標(biāo)企業(yè)的合作伙伴、供應(yīng)商等。

7.2.7 其他信息

歷史漏洞：檢查 CVE 數(shù)據(jù)庫，了解目標(biāo)系統(tǒng)是否有已知的安全漏洞。
證書信息：收集 SSL/TLS 證書信息，了解證書的有效期、頒發(fā)機構(gòu)等。
電子郵件信息：通過郵件頭信息來獲取郵件服務(wù)器的 IP 地址等。
社交媒體賬戶：了解目標(biāo)組織的官方社交媒體賬戶。

posted @ 2024-10-21 23:15 有一大盒閱讀(552) 評論(0) 收藏舉報

刷新頁面返回頂部

凌冬的雪終會飄落

和光同塵，與時倦舒