1. 基础信息收集
● ICP备案查询:收集公司备案号, ⽹站信息,APP ,⼩程序等。
1 icp备案⽀持由公司名查询其备案号, ⽹站等,是查询根域名, ⽹站, app,⼩程序的⼿段之—
● 企业资产查询:收集法定代表⼈, ⽹站信息, 资产信息, ⼦公司等等
1 可以查到代表⼈邮箱联系⽅式, ⼦公司,扩⼤攻击⾯
● Whois查询:收集域名注册信息, 包括所有者 、联系⽅式 、注册商等。
1 拿到根域名进⾏whois查询,得到注册信息,注册⼈, 邮箱等,根据注册⼈, 邮箱反查更多的注册域名
● 域名信息收集:包括根域名和⼦域名,使⽤在线⼯具或⼯具如Layer⼦域名挖掘机 、SubDomainsBrute 。或 者爱站,站⻓之家,企查查,天眼查等, 还可以使⽤IP反查⼿段。
1 ping现有域名或者nslookup得到IP,站⻓ ,微步IP反查查询⼦域名解析;
2 站⻓, 爱站查询⼦域名, SSL查询
3 搜索引擎domain:"", site:"",inurl:""
4 hunter、FOFA、shodan
5 爆破⼯具: Layer, oneforall,mitan
6 相关⽹站的友链
● 个⼈信息收集:邮箱, 电话,qq ,微信,⼿机号,⼯号, 学号, 身份证号,部⻔
1 ⽹站信息泄露:通知公告, 附件⽂件,前端⻚⾯,
2 JS⽂件泄露:可⽤findsomething插件
3 社交媒体泄露:抖⾳ ,快⼿ ,视频号
4 社⼯收集
5 可⽤于社⼯钓鱼,可⽤于制作账号密码字典
2. ⽹络资产发现
● 端⼝扫描:使⽤Nmap 、Masscan等⼯具识别⽬标系统开放的端⼝和服务。
● 查找真实IP:通过各种技术如超级ping, nslookup绕过CDN ,查找⽬标服务器的真实IP地址。
● 探测旁站及C段:发现同⼀服务器或IP段上的其他⽹站,使⽤在线⼯具或⽹络空间搜索引擎如FOFA、 Shodan。
● 搜索引擎:使⽤inurl 、site 、domain等查找更多资产
● 威胁情报平台:可以做基础信息收集也可以做⽹络资产发现及⽹站应⽤信息
3. ⽹站和应⽤信息
● DNS信息收集:查询DNS记录, 了解域名解析细节。
● 敏感⽬录探测:使⽤御剑 、Dirbuster等⼯具尝试发现敏感⽬录和⽂件。
● ⽂件泄露搜索:查找可能泄露的敏感⽂件,如 .htaccess 、 php.ini 、源代码等。
● API接⼝探测:识别并分析⽹站和应⽤程序的API接⼝ 。
4. 技术栈识别
● 指纹识别:使⽤Whatweb ,Wallyper等⼯具识别⽹站的CMS 、框架 、服务器 、数据库等技术栈。
● Waf探测:探测⽹站是否有WAF保护,使⽤Wafw00f等⼯具。
5. 安全漏洞和配置
● 漏洞信息收集:查询CVE 、Exploit Database等数据库, 收集⽬标系统可能存在的已知漏洞。
● 服务版本识别:通过服务的banner信息识别服务版本, 寻找已知漏洞。
6. 移动应⽤分析
● 移动应⽤分析:分析⽬标组织的移动应⽤, 寻找后端服务和API的敏感信息。
● ⼩程序分析: 同上, 还可以测试逻辑漏洞,信息泄露等
Google语法
Google 语法 ⽤途说明 示例
site: 限制搜索结果在特定⽹站或域名 下 site:example.com
intitle: 搜索⻚⾯标题中包含特定关键词 的⽹⻚ intitle:登录 site:examp
inurl: 搜索 URL 中包含特定关键词的 ⽹⻚ inurl:admin
filetype: 搜索特定类型的⽂件, 如 pdf、 doc 、xls 等 filetype:pdf site:exam
ple.com
"关键词" 精确匹配搜索关键词
-关键词 排除包含特定关键词的搜索结果 site:example.com -logi
n
cache: 查看 Google 缓存的⽹⻚ cache:example.com
related: 搜索与某站点类似的站点 related:example.com
allintitle: 搜索⻚⾯标题包含多个关键词的 ⽹⻚
allintitle:admin
login
allinurl: 搜索 URL 中包含多个关键词的 ⽹⻚ allinurl:admin login
info: 查看某个⽹站的相关信息 info:example.com
define: 查询特定术语的定义 define:sql injection
site: + inurl: 在特定⽹站中查找 URL 中包含 指定关键词的⻚⾯ site:example.com inur
l:login
site: + intitle: 在特定⽹站中查找标题中包含指 定关键词的⻚⾯ site:example.com intit
AROUND(X) 搜索相隔不超过 X 个词的关键 词 "username" AROUND(5)
"password"
* ⽤作通配符, 匹配任意数量的单 词 "admin * panel"
link: 搜索链接到指定⽹址的⽹⻚ link:example.com
intext: 搜索⽹⻚内容中包含特定关键词 的⻚⾯ intext:"confidential"
location: 限制搜索结果在特定地理位置 location:China
"关键词1" OR "关键词2" 关键词逻辑 OR 搜索, 搜索包 含关键词1或关键词2 的⽹⻚ "admin" OR "login"
intitle:index.of 搜索⽹站⽬录结构, 可⽤于查找 开放⽬录 intitle:"index of /"
site: + filetype: 搜索特定站点下的指定⽂件类 型, 如 pdf 、xls 、docx 等 site:example.com filet
ype:pdf
site: + ext: 搜索特定站点下的指定⽂件扩展 名(与 filetype 类似) site:example.com ext:x
常见Google使⽤场景
1. 查找开放的管理员登录页⾯: site:example.com inurl:admin
2. 查找⽹站中的⽂件或敏感信息: site:example.com filetype:pdf "confidential"
3. 探测公开⽬录: intitle:"index of /" "backup"
4. 查找特定技术版本的站点: intitle:"powered by WordPress" "version 4.9"
5. 查找含特定敏感关键词的页⾯: intext:"password" site:example.com
6. 寻找同类⽹站: related:example.com
FOFA 语法
FOFA 语法 说明 示例
domain="example.com" 查找指定域名的所有相关资产 domain="example.com"
ip="192.168.0.1" 查找指定 IP 的相关资产 ip="192.168.0.1"
host="example.com" 查找指定主机名的资产 host="example.com"
title="关键词" 搜索页⾯标题中包含关键词的资 产 title="login"
header="关键词" 搜索 HTTP 头部包含指定关键 词的资产 header="nginx"
body="关键词" 搜索⽹页内容包含指定关键词的 资产 body="admin"
protocol="协议" 搜索特定协议的资产 protocol="ftp"
port="端⼝号" 搜索开放特定端⼝的资产 port="22"
os="操作系统" 搜索运⾏特定操作系统的资产
banner="关键词" 搜索服务返回的 banner 包含关 键词的资产 banner="OpenSSH"
status_code=状态码 搜索返回特定 HTTP 状态码的 资产
country="国家代码" 搜索特定国家的资产 country="CN"
city="城市名" 搜索特定城市的资产 city="Beijing"
cert="证书关键词" 搜索包含指定证书信息的资产
after=" ⽇期" 搜索指定⽇期后的资产 (YYYY-MM-DD 格式) after="2023-01-01"
before=" ⽇期" 搜索指定⽇期前的资产 (YYYY-MM-DD 格式) before="2023-12-31"
is_domain=true 搜索包含域名的资产 is_domain=true
app="应⽤名" 搜索特定应⽤的资产 app="Apache"
asn="ASN号" 搜索属于特定 ASN 的资产 asn="AS15169"
常见 FOFA 使⽤场景
1. 查找开放的 RDP 服务: protocol="rdp" port="3389"
2. 查找某企业的所有⼦域名: domain="example.com"
3. 查找运⾏特定操作系统的服务器: os="linux" port="22"
4. 查找特定证书签发的 HTTPS 资产: cert="DigiCert"
5. 查找特定标题的 Web 应⽤: title="admin panel"
Hunter 语法
Hunter 语法 说明 示例
domain="example.com" 查找指定域名的相关资产 domain="example.com"
ip="192.168.0.1" 查找指定 IP 的资产 ip="192.168.0.1"
title="关键词" 搜索页⾯标题中包含指定关键词 的资产 title="登录"
status_code=状态码 搜索返回指定 HTTP 状态码的 资产
port="端⼝号" 搜索开放特定端⼝的资产 port="80"
country="国家代码" 搜索位于指定国家的资产 country="US"
city="城市名" 搜索位于指定城市的资产
protocol="协议" 搜索特定协议的资产 protocol="https"
app="应⽤名" 搜索使⽤特定应⽤的资产 app="nginx"
after=" ⽇期" 搜索指定⽇期后的资产 after="2024-01-01"
before=" ⽇期" 搜索指定⽇期前的资产 before="2024-12-31"
product="产品名" 搜索使⽤指定产品的资产 product="WordPress"
web_title=" ⽹页标题" 搜索⽹页标题中包含指定关键词 的资产 web_title="控制台"
company="公司名" 搜索特定公司相关的资产
isp="运营商名" 搜索特定运营商的资产
常见 Hunter 使⽤场景
1. 查找企业的所有资产: domain="example.com"
2. 查找开放的 MySQL 服务: port="3306" app="mysql"
3. 查找指定标题的登录页⾯: title="use r login"
4. 查找特定协议的资产: protocol="ftp" status_code=220
5. 查询特定城市的服务器: city="New York" port="80"
常见端⼝ 、服务及其渗透⽤途
端⼝ 服务 渗透⽤途
tcp 20, 21 FTP 允许匿名上传下载,暴⼒破解, 嗅 探,Windows 提权, 远程执⾏
(ProFTPD 1.3.5),后⻔ (ProFTPD 、vsFTP 2.3.4)
tcp 22 SSH 尝试暴⼒破解,v1 版本可中间⼈ 攻击,SSH 隧道 、内⽹代理转 发 、⽂件传输等
tcp 23 Telnet 暴⼒破解, 嗅探,路由器或交换机 登录,可尝试弱⼝令
tcp 25 SMTP 邮件伪造,VRFY/EXPN 查询邮 件⽤户信息,使⽤ smtp-user- enum ⼯具批量查询
tcp/udp 53 DNS 允许区域传送, DNS 劫持,缓存 投毒,欺骗, DNS 隧道远控
tcp/udp 69 TFTP 尝试下载⽬标重要配置⽂件
tcp 80, 89, 443, 8440-8450, 8080, 8089 各类 Web 服务端⼝ 尝试经典漏洞( 如 TopN 、VPN、 OWA 、WebMail 、⽬标 OA) 、
Web 中间件漏洞 、Web 框架漏洞 等
tcp 110 POP3 暴⼒破解, 嗅探
tcp 111, 2049 NFS 权限配置不当
tcp 137, 139, 445 Samba 爆破,SMB 远程执⾏漏洞( 如
MS08-067 、MS17-010), 嗅探
tcp 143 IMAP 暴⼒破解
udp 161 SNMP 爆破默认社区字符串, 收集内⽹信 息
tcp 389 LDAP LDAP 注⼊ ,允许匿名访问,弱⼝ 令
tcp 512, 513, 514 Linux rexec 暴⼒破解, rlogin 登录
tcp 873 Rsync 匿名访问,⽂件上传
tcp 1194 OpenVPN 钓取 VPN 账号, 进⼊内⽹
tcp 1352 Lotus 弱⼝令,信息泄露,暴⼒破解
tcp 1433 SQL Server SQL 注⼊ ,提权,SA 弱⼝令,暴 ⼒破解
tcp 1521 Oracle TNS 爆破,SQL 注⼊ ,弹 Shell
tcp 1500 ISPmanager 弱⼝令
tcp 1723 PPTP 暴⼒破解,钓取 VPN 账号, 进⼊ 内⽹
tcp 2082, 2083 cPanel 弱⼝令
tcp 2181 ZooKeeper 未授权访问
tcp 2601, 2604 Zebra 默认密码
tcp 3128 Squid 弱⼝令
tcp 3312, 3311 Kangle 弱⼝令
tcp 3306 MySQL SQL 注⼊ ,提权,暴⼒破解
tcp 3389 Windows RDP SHIFT 后⻔ ( 03 系统以下),暴 ⼒破解, MS12-020 漏洞
tcp 3690 SVN SVN 泄露,未授权访问
tcp 4848 GlassFish 弱⼝令
tcp 5000 Sybase/DB2 暴⼒破解,SQL 注⼊
tcp 5432 PostgreSQL 暴⼒破解,SQL 注⼊ ,弱⼝令
tcp 5900, 5901, 5902 VNC 弱⼝令暴⼒破解
tcp 5984 CouchDB 未授权访问导致任意指令执⾏
tcp 6379 Redis 未授权访问,弱⼝令暴⼒破解
tcp 7001, 7002 WebLogic Java 反序列化,弱⼝令
tcp 7778 Kloxo 主机⾯板登录
tcp 8000 Ajenti 弱⼝令
tcp 8009 Tomcat AJP Tomcat-AJP 协议漏洞
tcp 8443 Plesk 弱⼝令
tcp 8069 Zabbix 远程执⾏ ,SQL 注⼊
tcp 8080, 8089 Jenkins, JBoss 反序列化,控制台弱⼝令
tcp 9080, 9081, 9090 WebSphere Java 反序列化,弱⼝令
tcp 9200, 9300 ElasticSearch 远程执⾏
tcp 11211 Memcached 未授权访问
tcp 27017, 27018 MongoDB 暴⼒破解,未授权访问
tcp 50070, 50030 Hadoop 默认端⼝未授权访问
⼯具⽹址
标签 名称 地址
企业信息 天眼查 https://www.tianyancha.com/
企业信息 ⼩蓝本 https://www.xiaolanben.com/
企业信息 爱企查 https://aiqicha.baidu.com/
企业信息 企查查 https://www.qcc.com/
企业信息 国外企查 https://opencorporates.com/
企业信息 启信宝 https://www.qixin.com/
备案信息 备案信息查询 http://www.beianx.cn/
备案信息 备案管理系统 https://beian.miit.gov.cn/
Whois查询 站⻓之家 http://whois.chinaz.com/
Whois查询 爱站 https://whois.aizhan.com/
Whois查询 国外Whois https://who.is/
Whois查询 阿⾥云 https://whois.aliyun.com
Whois查询 腾讯 https://whois.cloud.tencent.co m/
Whois查询 中国互联⽹信息中⼼ https://webwhois.cnnic.cn/Wel comeServlet
公众号信息 搜狗微信搜索 https://weixin.sogou.com/
APP信息 七麦数据 https://www.qimai.cn/
APP信息 APPStore
⼩程序信息 阿拉丁
注册域名 域名注册查询 https://buy.cloud.tencent.com/ domain
IP反查 IP反查域名 https://x.threatbook.com/
DNS 数据 dnsdumpster https://dnsdumpster.com/
DNS数据 VirusTotal https://www.virustotal.com/#/h ome/search
DNS数据 dnsdb https://www.dnsdb.io/zh-cn/
证书查询 CertificateSearch https://crt.sh/
证书查询 Censys https://censys.io/
⽹络空间 FOFA https://fofa.info/
⽹络空间 全球鹰 http://hunter.qianxin.com/
⽹络空间 360 https://quake.360.cn/quake/
威胁情报 微步在线 情报社区 https://x.threatbook.cn/
威胁情报 奇安信 威胁情报中⼼ https://ti.qianxin.com/
威胁情报 360 威胁情报中⼼ https://ti.360.cn/#/homepage
枚举解析 在线⼦域名查询 http://tools.bugscaner.com/sub domain/
枚举解析 DNSGrep ⼦域名查询 https://www.dnsgrep.cn/subdo main
枚举解析 在线⼦域名查询 http://sbd.ximcx.cn/
枚举解析 ⼯具强⼤的⼦域名收集器 https://github.com/shmilylty/O neForAll
指纹识别 在线 cms 指纹识别 http://whatweb.bugscaner.com /look/
指纹识别 Wappalyzer https://github.com/AliasIO/wap palyzer
指纹识别 TideFinger 潮汐 http://finger.tidesec.net/
指纹识别 云悉指纹 https://www.yunsee.cn/
指纹识别 WhatWeb https://github.com/urbanadven turer/WhatWeb
指纹识别 数字观星 Finger-P https://fp.shuziguanxing.com/# /