信息收集*

域名信息收集

DNS记录查询

whois查询

备案信息查询

子域名信息收集

常用工具

查询网站

网络信息收集

c段查询

nmap扫描

获取真实IP

敏感信息收集

目录后台扫描

指纹信息识别

系统指纹识别

中间件指纹识别

Web程序指纹识别

DNS查询记录

dig工具（kali）

A记录       IP地址记录,记录一个域名对应的IP地址
AAAA记录    IPv6地址记录，记录一个域名对应的IPv6地址
CNAME记录   别名记录，记录一个主机的别名
MX记录      电子邮件交换记录，记录一个邮件域名对应的IP地址
NS记录      域名服务器记录 ,记录该域名由哪台域名服务器解析
PTR记录     反向记录，也即从IP地址到域名的一条记录
TXT记录     记录域名的相关文本信息

whois查询

Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期、DNS等）。通过域名Whois服务器查询，可以查询域名归属者联系方式，以及注册和到期时间。

可以使用kali中的whois命令： 比如：whois www.qq.com

在线Whois查询网站有：爱站（https://whois.aizhan.com）,站长之家（https://whois.chinaz.com）

备案信息查询

若是网站搭建在国内，按照法律法规需要对网站进行备案
天眼查：http://www.tianyancha.com
ICP备案查询网：http://www.beianbeian.com

常用工具

dnsmap工具（kali）

dnsenum(kali)

dnsenum xxx.com -f /usr/share/dnsenum/dns.txt -dnsserver 223.5.5.5
#dnsenum参数说明：
–dnsserver 指定域名服务器
–enum 快捷选项，相当于"–threads 5 -s 15 -w"
–noreverse 跳过反向查询操作
–nocolor 无彩色输出
–private 显示并在"domain_ips.txt"文件结尾保存私有的ips
–subfile 写入所有有效的子域名到指定文件
-t tcp或者udp的连接超时时间，默认为10s（时间单位：秒）
–threads 查询线程数
-v 显示所有的进度和错误消息
-o  输出选项，将输出信息保存到指定文件
-e 反向查询选项，从反向查询结果中排除与正则表达式相符的PTR记录，在排查无效主机上非常有用
-w 在一个C段网络地址范围提供whois查询
-f dns.txt 指定字典文件，可以换成 dns-big.txt 也可以自定义字典

Layer(windows)

查询网站

站长之家：http://tool.chinaz.com/subdomain/

c段查询

c段是指某一网段下所有的ip地址，通过c段查询可以探测主机目标的资产

c端查询主要使用namp扫描工具

nmap扫描

namp 192.168.0.1/24

常用参数

-sP		         Ping Scan 只进行主机发现，不进行端口扫描。
-sS/sT/sA/sW/sM		 指定使用 TCP SYN/Connect()/ACK/Window/Maimon scans的方式来对目标主机进行扫
-sU                      指定使用UDP扫描方式确定目标主机的UDP端口状况。
-O                       指定Nmap进行OS侦测。探测运行的什么系统
-sV		         指定让Nmap进行版本侦测

获取真实IP

大多数的网站都开启了CDN加速，导致我们获取到的IP地址不一定是真实的IP地址。
CDN的全称是Content Delivery Network，即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度。
如果想获取真实IP，我们可以使用以下几种方法
1.多地Ping法：由CDN的原理，不同的地方去Ping服务器，如果IP不一样，则目标网站肯定使用了CDN。
多个地点ping服务器工具：https://ping.chinaz.com/，或者使用也可以直接使用站长工具查询网站是否采用CDN：站长工具https://cdn.chinaz.com/

2.二级域名法：目标站点一般不会把所有的二级域名放cdn上。通过在线工具如站长帮手，收集子域名，确定了没使用CDN的二级域名后。本地将目标域名绑定到同IP（修改host文件），如果能访问就说明目标站与此二级域名在同一个服务器上；如果两者不在同一服务器也可能在同C段，扫描C段所有开80端口的IP，然后挨个尝试。

3.nslookup法：找国外的比较偏僻的DNS解析服务器进行DNS查询，因为大部分CDN提供商只针对国内市场，而对国外市场几乎是不做CDN，所以有很大的几率会直接解析到真实IP。

4.Ping法：直接ping example.com而不是www.example.com，因为现有很多CDN厂商基本只要求把www.example.com cname到CDN主服务器上去，那么直接ping example.com有可能直接获得真实IP。

目录与后台扫描

dirsearch工具（kali）

-w    可指定字典
-u    指定扫描url

御剑工具（windows）

系统指纹识别

通过TCP/IP数据包发到目标主机，由于每个操作系统类型对于处理TCP/IP数据包都不相同，所以可以通过之间的差别判定操作系统类型

识别方法：nmap -sS -Pn -O ip

nmap识别操作系统是通过端口识别的，也就是说在识别操作系统的时候不能使用-sn（不识别端口）。

中间件指纹识别

方法：

1. 通过http返回消息中提取server字段（可以抓包获取）
2. 通过端口服务探测中间件
3. 通过构造错误界面返回信息查看中间件（感觉只有nginx和Tomcat能爆出中间件的版本信息）

命令：

nmap -sS -sV -p 80 10.60.17.19/24

可以扫描出所有开放80端口的主机下所开启的中间件。

可以根据中间件所开发的端口来定向IP扫描。

• Tomcat开放端口：8080 
• Jboss开放端口：8080
• weblogic开放端口：7001
• apache开放端口：80
• nginx开放端口：80

Web程序指纹识别

识别目标

• 开发语言
• 开发框架
• 第三方组件
• CMS程序
• 常见cms系统
• 数据库

nmap扫描waf指纹支持大厂，小厂的waf指纹识别不是很好

命令：

nmap -p 80 --script http-waf-detect.nse www.baidu.com

开发语言：

后缀名识别：.asp、.php、.jsp

如果无法通过后缀名识别，可以通过抓包查看与后台交互点，如：登录，查询

http返回消息头x-Powered-By

cookie:PHPSESSIONID->php、JSPSESSIONID->jsp 、ASPSESSIONIDAASTCACQ->asp

开发框架：

• php的thinkphp框架识别方法特定ico图标
• Action后缀90%几率struts2或者webwork
• do后缀50%几率spring mvc
• url路径/action/xxx70%几率struts2
• form后缀60%几率spring mvc
• Vm后缀90%几率VelocityViewServlet
• jsf后缀99%几率Java Server Faces

第三方组件：

一般包括流量统计、文件编辑器、模板引擎

识别方法：一般目录扫描

• FCKeditor
• CKEditor

CMS程序特定文件夹：

• dede/
• admin/
• admin_Login.aspx

常见cms系统

• 常用CMS介绍
• CMS（Content Management System）内容管理系统，CMS系统是网站建设走向成功的重要组成部分，国内外的CMS种类比较多，下面介绍常用的CMS。
• 1.企业建站系统：MetInfo(米拓)、蝉知、SiteServer CMS（.net平台）等;
• 2.B2C商城系统：商派shopex、ecshop、hishop、xpshop等;
• 3.门户建站系统：DedeCMS(织梦，PHP+MYSQL)、帝国CMS（PHP+mysql）、PHPCMS、动易、cmstop，dianCMS（易点CMS，.net平台）等;
• 4.博客系统：wordpress、Z-Blog等;
• 5.论坛社区：discuz、phpwind、wecenter等;
• 6.问答系统：Tipask、whatsns等;
• 7.知识百科系统：HDwiki;
• 8.B2B门户系统：destoon、B2Bbuilder、友邻B2B等;
• 9.人才招聘网站系统：骑士CMS、PHP云人才管理系统;
• 10.房产网站系统：FangCms等;
• 11.在线教育建站系统：kesion(科汛，ASP)、EduSoho网校;
• 12.电影网站系统：苹果cms、ctcms、movcms等;
• 13.小说文学建站系统：JIEQI CMS;

Powered by ***

例如：powered by discuz 意思就是说：”此论坛是使用Discuz制作的“，这是一种版权声明。

通过google搜索可以找到Discuz制作的网站

数据库

• 常规判断：asp->sql server，php->mysql，jsp-oracle
• 网站错误信息
• 端口服务：1443->sql server，3306->mysql，oracal->1521

云悉：yunsee.cn-2.0

在线自动探测目标网站的数据库，开发语言，操作系统，web容器，CMS，开发框架