目录
二、主域名信息(尽可能多的收集域名信息,避免有遗漏的站点没有被挖掘出来,之后寻找最薄弱的地方)
前言:
信息收集真的是一个非常考验耐心和细心的步骤,我也是在学习当中。
为什么要信息收集?
1.梳理目标暴露在互联网的资产
2.掌握目标所有资产,找软柿子
一、信息收集流程
一、公司信息
获取目标公司的信息是信息收集的第一步,这里推荐几个网站和一个工具:
1.爱企查
爱企查-工商查询_专业企业信息查询平台_公司查询_老板查询_工商信息查询系统
2.企查查
3.天眼查
天眼查、天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统天眼查-商业查询平台_企业信息查询_公司查询_工商查询_企业信用信息系统
这里以爱企查为例,查询华住酒店信息
可以看到很多相关数据,这里我们使用一款工具来导出到excel中
4.工具enscan:
命令:enscan.exe -n 公司名
enscan.exe -n 华住酒店
5、重点关注信息:
在这么多信息当中,我们需要关注的信息有:
1.公司基本信息
主要获取电话和邮箱等基本信息,可以用来制作社工密码,进行whois反查等等。
2.分公司和子公司信息
点击爱企查图谱
点开可以看到子公司信息
3.域名备案
因为其主公司在汉庭星空酒店,所以知识产权中的域名信息需要在汉庭星空酒店进行查询
在爱企查上搜索汉庭星空酒店,点开知识产权——网站备案
4.软件著作信息
可以看到软件著作信息为0,直接忽略
最后使用工具导出excel,进行分析。
二、主域名信息(尽可能多的收集域名信息,避免有遗漏的站点没有被挖掘出来,之后寻找最薄弱的地方)
1、icp备案查询(为的是扩大暴露面)
只要使用域名,并且解析结果为国内ip,那就要备案。
1.工信部备案:
2.公安备案:
3.站长之家:
4.爱站网:
这里以工信部ICP备案查询为例,首先从之前导出的公司基本信息中随机复制一个,进入工信部进行查询
这里发现其www.huazhu.com网站具有2个其它域名
2、SSL证书收集(扩大暴露面)
https的网站一定要通过证书机构的验证,这里提供一个网站可以查询网站的证书信息
在这里还能查看其中哪些子域名可以访问
3、DNS记录查询(扩大暴露面)
常用的dns查询网站:
域名查iP 域名解析 iP查询网站 iP反查域名 iP反查网站 同一iP网站 同iP网站域名iP查询
使用360安全大脑对www.huazhu.com进行dns记录查询
查询DNS记录用处:
发现真实IP地址:如果目标网站使用了CDN(内容分发网络),当前查询到的IP可能是CDN节点的地址,而非真实服务器IP。而历史DNS记录可能包含目标网站在未使用CDN或CDN配置变更之前的IP地址,通过查询这些记录有机会找到真实服务器的IP。
了解网络架构变化:历史DNS记录可以反映出目标网站在不同时期的网络架构调整。例如,从单一服务器到分布式架构的转变过程中,可能会留下不同的IP记录,这有助于攻击者了解目标的网络布局和发展趋势。
子域名收集:DNS记录中包含了域名的相关信息,通过查询DNS记录可以收集到目标域名的子域名信息。这对于渗透测试人员来说非常重要,因为子域名可能指向不同的服务器或服务,扩大了攻击面。
邮件服务器信息:MX(Mail Exchanger)记录是邮件交换记录,它指向一个邮件服务器。通过查询MX记录,可以确定目标组织的邮件服务器地址,这对于进行邮件相关的攻击或信息收集非常有帮助。
域名服务器信息:NS(Name Server)记录是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析。了解目标域名的NS记录,可以帮助攻击者找到目标域名的权威DNS服务器,进而可能发现DNS服务器的漏洞或进行DNS劫持攻击。
社会工程学信息:在一些DNS解析中,可能会收集到目标站点的注册者的相关信息,如注册人的姓名、电话、邮箱、公司地址等。这些信息可以用于社会工程学攻击,例如通过邮件钓鱼等方式获取更多信息。
物理渗透信息:如果收集到目标组织的物理地址等信息,攻击者可能会利用这些信息进行实地考察或物理渗透。
技术架构信息:通过查询DNS记录,可以了解目标网站的技术框架,例如是否使用了特定的服务器软件或技术,这有助于攻击者寻找相关的漏洞或进行针对性的攻击。
C段查询:通过对域名的C段进行查询,可以了解目标域名所在的IP地址段,这对于网络扫描和攻击范围的确定非常重要。
开放端口信息:结合DNS记录和其他工具,可以发现目标IP地址对应的开放端口,这对于进一步的渗透测试非常关键
4、whois反查(为了查其它域名信息)
Whois反查(Whois Reverse Lookup)是一种通过已知域名的Whois信息中的部分信息作为条件,反过来查询与此条件相匹配的一系列其他域名列表的方法。通过这种方式,可以了解到某个注册人拥有哪些域名,或者说拥有哪些站点,以及这些域名的注册信息等相关信息,因此Whois反查也可称之为域名反查。
Whois反查可以通过以下几种方式进行:
1.根据注册邮箱反查:
通过已知域名Whois中的注册邮箱,查询其他域名Whois中注册邮箱与此相同的域名列表。
2.根据注册人反查:
利用已知域名Whois中的注册人信息,反查得出其他域名Whois中注册人与此相同的域名列表。
3.根据联系电话反查:
依据已知域名Whois中的联系电话,反查其他域名Whois中联系电话相同的域名列表。
4.利用其他信息反查:
比如根据注册机构、传真、地址、注册商等方式来进行反查
工信部备案网站:
ICP/IP地址/域名信息备案管理系统
站长之家:
域名Whois查询 - 站长工具
反查邮箱链接
whois反查:
whois反查 - 笨米网 - Whois反查,邮箱反查域名,域名反查,Whois Reverse Lookup,Whois查询
站长工具:
这里以注册人为例,打开站长工具进行whois反查
5、网站指纹识别(寻找薄弱面)
通过在线网站识别目标网站所使用的服务器信息、脚本和开发语言、内容管理系统(CMS)、前端技术来判断网站架构。
6、网站waf识别(寻找薄弱面)
这里推荐使用kali自带的工具wafw00f进行测试
命令格式:
wafw00f <url> <url> .......
检测出来确实有waf(没有检测出来是哪个waf),并且对跨站脚本攻击的响应码为501。
wafw00f能够检测的waf可以使用wafw00f -l进行查看3
7、批量域名存活探测(减少工作量)
这里推荐一个存活域名探测工具Web-SurvivalScan
链接:GitCode - 全球开发者的开源社区,开源代码托管平台
不过这个开发者写的不是很详细,必须要有python3以上版本才能运行,并且可能需要下载urllib3模块。
这里将之前enscan导出的excel域名信息复制(把别处收集到的域名详细也整合到excel中)
保存进1.txt里,并且放入Web-SurvivalScan文件夹
输入
python3 Web-SurvivalScan.py
后面就是上灯塔水泽goby等红队工具了。
8、app、小程序和公众号信息收集(移动端渗透测试)
1.app:
七麦数据 -专业移动产品商业分析平台-关键词优化-ASA优化-七麦科技
2.小程序:
3.公众号:
爱企查里面点开经营状况即可查看。
三、子域名收集
在根据主域名收集了大量相关域名之后,还需要对子域名进行收集。
收集子域名信息分为主动收集和被动收集。(主动收集这里不多讲述)
1、被动收集:
被动收集是指在不与目标系统进行交互的情况下,通过第三方资源进行子域名收集。这种方式不会对目标系统造成任何影响,也不会触发安全产品的告警。
1.信息泄露:
通过搜索公开的信息源收集信息,在主动信息收集中1、2、3、4有举例。
2.搜索引擎:
使用搜索引擎(如 Google、百度)的高级搜索语法(如 site:example.com)来搜索子域名。这种方法可以快速获取已经被搜索引擎收录的子域名。
这里以华住的登录页面举例:
语法为:
intext:"登录" and site:"huazhu.com"
这样可以查找到华住酒店的各种后台登录页面,往往大量漏洞都隐藏在后台登录页面。
具体语法如下图:
3.网络空间测绘引擎:
利用网络空间测绘工具,通过搜索特定的域名或关键词来发现子域名。例如,在 Fofa 中使用 domain=example.com 语法进行搜索。
这里推荐几个常用的空间测绘引擎:
FOFA:
网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统
Shodan:
钟馗之眼:
首页 - 网络空间测绘,网络安全,漏洞分析,动态测绘,钟馗之眼,时空测绘,赛博测绘 - ZoomEye(“钟馗之眼”)网络空间搜索引擎
鹰图:
这个api免费,每天限制500条
360:
用法1:子域名收集
这里以fofa为例,搜索huazhu.com的子域名相关信息
搜索语法:
domain="huazhu.com"这里推荐一篇文章如何使用 FOFA 搜索引擎保姆级教程(附链接)_fofa搜索引擎-优快云博客
但是不推荐进行死记硬背,可以在用的时候搜索语法就行了。
可以将数据进行导出
用法2:通过网页上信息查询同类型网站,判断网站框架
比如js文件名,注释,图片名,特殊的请求路径
这里以刚才扫出的子域名登录-华住商城为例(因为这个页面很可能不是自己开发而是使用了一些开源框架)
查看网页源代码,查找路径关键信息,因为开源框架的文件夹名以及文件名一般不会更改,这样可以通过搜索文件名来快速定位框架
搜索语法:
body="/validcode?vtype=supplierLogin"
并没有搜索到,这里仅提供一种思路。搜索到同类型框架网站可以在网上搜索同框架网站有没有被曝出的框架漏洞,很可能这个网站也会出现同类型漏洞。
用法3:提供app/product语法查询存在该框架的网站
这里以若依管理系统框架为例,搜索语法:
app="若依-管理系统"
这个的用处是如果得知某某框架某某系统爆出漏洞,可以直接搜索对应框架和管理系统。
4.证书透明度查询:
通过查询证书透明度日志(如 crt.sh、Censys),获取与目标域名相关的 SSL/TLS 证书中包含的子域名信息。由于许多网站使用 HTTPS 协议,证书中通常包含域名信息。
不再过多讲述,在主域名信息收集中已经提到。
5.第三方 DNS 服务:
利用第三方 DNS 服务(如 SecurityTrails、IP138、Chinaz)提供的子域名查询功能,输入目标域名获取子域名列表。
主域名信息收集中有提到。
四、IP信息收集
需要使用脚本来进行信息收集,被动收集很难进行。
总结
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
