1.收集域名信息

??????(1)Whois查詢

??????(2)備案信息查詢

2.收集敏感信息

3.收集子域名信息

4.收集常用端口信息

5.指紋識別

6.查找真實IP

7.收集敏感目錄文件

8.社會工程學

---

1.收集域名信息

(1)Whois查詢

Whois是標準的互聯網協議，可用于收集域名注冊信息（注冊人名，郵箱信息），注冊域名，IP地址等。
示例：

注：

• whois查詢的網址不需要www
• 在線Whois查詢網站：愛站工具網(https://whois.aizhan.com)，站長之家(http://whois.chinaz.com)，VirusTotal(https://www.virustotal.com/gui/home/search)（需翻墻）

(2)備案信息查詢

主要針對國內網站，國外網站不需要備案 常用網站：

• ICP備案查詢網：http://www.beianbeian.com
• 天眼查：http://www.tianyancha.com

2.收集敏感信息

使用搜索引擎(Google)并構造關鍵字語法查找所需信息

• site：指定域名
• inurl：url中存在關鍵字的網頁
• intext：網頁正文中的關鍵字
• filetype：指定文件類型
• intitle：網頁標題中的關鍵字
• link：link:baidu.com，即表示返回所有和baidu.com做了鏈接的url
• info：查找指定站點的一些基本信息
• cache：搜索Google里關于某些內容的緩存

舉例：

• site xxx.com intext:后臺
• inurl:php?id=
  …

注：

• 百度搜索和google差不多，因此，使用搜索引擎我們可以收集數據庫文件、SQL注入、配置信息、源代碼泄露、未授權訪問、robots.txt等敏感信息
• 也可以使用bp的repeater獲取服務器信息
• 使用github獲取數據庫連接信息、郵箱密碼、uc-key、阿里的osskey，源碼…
• 烏云漏洞列表(https://wooyun.shuimugan.com)查詢歷史漏洞信息（需翻墻）

3.收集子域名信息

子域名是二級域名，是頂級域名以下的域名。

1.子域名檢測工具 （綠色為常用）：

• Layer子域名挖掘機
  
• K8
• wydomain
• Sublist3r
• dnsmaper
• subDomainsBrtute（使用小字典遞歸發現三級、四級、五級等域名）
• Maltego CE

2.搜索引擎搜索：site:baidu.com

3.DNS偵察：https://dnsdumpster.com/ （需翻墻）

4.證書透明度公開日志枚舉
每一個SSL/TLS證書通常包含域名、子域名和郵件地址；查找某個域名所屬證書最簡單的方法就是使用搜索引擎搜索一些公開的CT日志
網站：

• https://crt.sh
• https://censys.io

5.在線域名查詢：

• https://phpinfo.me/domain/

4.收集常用端口信息

常用工具：

• Nmap（使用方法：https://blog.csdn.net/qq_41617034/article/details/91129340）
• Masscan（這是最快的Internet端口掃描程序。它可以在6分鐘內掃描整個互聯網，每秒傳輸1000萬個數據包）
  masscan -p80,8000-8100 10.0.0.0/8
• ZMap（Linux下使用，ZMap是一款掃描軟件,由Durumeric領導密歇根大學研究團隊開發。這一工具能在一個小時內掃描整個公共互聯網,顯示近40億在線設備的信息。）
• 御劍高速TCP端口掃描工具
  
  常用端口：

文件共享服務端口：

端口號	端口說明	攻擊方向
21/22/69	FTP/Tftp文件傳輸協議	允許匿名的上傳、下載、爆破和嗅探操作
2049	Nfs服務	配置不當
139	Samba服務	爆破、未授權訪問、遠程代碼執行
389	Ldap目錄訪問協議	注入、允許匿名訪問、弱口令

遠程連接服務端口：

端口號	端口說明	攻擊方向
22	SSH遠程連接	爆破、SSH及內網代理轉發、文件傳輸
23	Telnet遠程連接	爆破、嗅探、弱口令
3389	Rdp遠程桌面連接	Shift后門（需要Windows Server 2003以下的系統）、爆破
5900	VNC	弱口令爆破
5632	PyAnywhere服務	抓密碼、代碼執行

Web應用服務端口：

端口號	端口說明	攻擊方向
80/443/8080	常見的Web服務端口	Web攻擊、爆破、對應服務器版本漏洞
7001/7002	WebLogic控制臺	Java反序列化、弱口令
8080/8089	Jboss/Resin/Jetty/Jenkins	反序列化、控制臺弱口令
9090	WebSphere控制臺	Java反序列化、弱口令
4848	GlassFish控制臺	弱口令
1352	Lotus domino郵件服務	弱口令、信息泄露、爆破
10000	Webmin-Web控制面板	弱口令

數據庫服務端口：

端口號	端口說明	攻擊方向
3306	Mysql	注入、提權、爆破
1433	MSSQL數據庫	注入、提權、SA弱口令、爆破
1521	Oracle數據庫	TNS爆破、注入、反彈Shell
5432	PostgreSQL數據庫	爆破、注入、弱口令
27017/27018	MongoDB	爆破、未授權訪問
6379	Redis數據庫	可嘗試未授權訪問、弱口令爆破
5000	SysBase/DB2數據庫	爆破、注入

郵件服務端口：

端口號	端口說明	攻擊方向
21	SMTP郵件服務	郵件偽造
110	POP3協議	爆破、嗅探
143	IMAP協議	爆破

網絡常見協議端口：

端口號	端口說明	攻擊方向
53	DNS域名服務器	允許區域傳送、DNS劫持、緩存投毒、欺騙
67/68	DHCP服務	劫持、欺騙
161	SNMP協議	爆破、搜集目標內網信息

特殊服務端口：

端口號	端口說明	攻擊方向
2181	Zookeeper	未授權訪問
8069	Zabbix服務	遠程執行、SQl注入
9200/9300	ElasticSearch服務	遠程執行
11211	Memcache服務	未授權訪問
512/513/514	Linux Rexec服務	爆破、Rlogin登陸
873	Rsync服務	匿名訪問、文件上傳
3690	Svn服務	Svn泄露、未授權訪問
50000	SAP Management Console服務	遠程執行

5.指紋識別

對目標服務器進行指紋識別，也就是識別相應的Web容器或者CMS(整站系統或文章系統)

• 常見CMS：Dedecms（織夢）、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝國、Z-Blog、WordPress
• 指紋識別工具：
  1.御劍web指紋識別
  
  2.WHatWeb
  3.WebRobo
  4.椰樹
  5.輕量web指紋識別
• 在線網站查詢CMS指紋識別
  1.BugScaner：http://whatweb.bugscaner.com/look/
  2.云溪指紋：http://www.yunsee.cn/finger.html
  3.WhatWeb：http://whatweb.net

6.查找真實IP

通過目標服務器域名來確定其真實IP，若目標服務器不存在CDN，可以直接通過http://www.ip138.com獲取目標的一些IP及域名信息
下面幾種方法介紹如何繞過CDN尋找目標服務器的真實IP

1.目標服務器存在CDN

• CDN即內容分發網絡，主要解決因傳輸距離和不同運營商節點造成的網路速度性能低下的問題。
• 如果目標購買了CDN服務，可以直接ping目標的域名，但得到的并非真正的目標Web服務器，只是離我們最近的一臺目標節點的CDN服務器，這就導致我們無法獲取目標的真實IP段范圍

2.判斷目標是否使用CDN
通常通過ping目標主域，觀察域名解析情況，以此來判斷是否使用了CDN

還可以利用在線網站17CE（https://www.17ce.com）進行全國多地區的ping服務器操作，然后對比每個地區ping出的ip結果，查看這些ip是否一致，如果一致，極有可能不存在CDN，。如果ip大多不太一樣或者規律性很強，可以嘗試查詢這些ip歸屬地，判斷是否存在CDN

3。繞過CDN尋找真實IP（在確認目標使用CDN后）

• 內部郵箱源。一般郵箱系統都在內部，沒有經過CDN解析，通過目標網站用戶注冊或者RSS訂閱功能，查看郵件、尋找著郵件頭中的郵件服務器域名ip，ping這個郵件服務器的域名，就可以獲得真實ip（注意：必須是目標服務器自己的郵件服務器，第三方或公共郵件服務器無用）
• 掃描網站測試文件，如phpinfo、test
• 分站域名。很多網站主站訪問量較大會掛CDN，但是分站可能并沒有掛CDN，可以通過ping二級域名獲取分站ip，可能會出現分站和主站不是同一IP但在同一C段，從而判斷目標的真實IP段
• 國外訪問。國內的CDN往往只對國內用戶的訪問加速，而國外CDN就不一定。因此，通過國外在線代理網站App Synthetic Monitor：https://asm.ca.com/en/ping.php
• 查詢域名解析記錄。也許目標很久以前并未使用CDN，可以通過網站NETCRAFT：https://www.netcraft.com 來觀察域名IP歷史記錄，也可以大致分析出目標的真實IP段
• 如果目標網站有自己的App，可以嘗試利用Fiddler或Burpsuite抓取App的請求，從中找到目標的真實IP
• 繞過CloudFlare CDN查找真實IP。現在很多網站使用CloudFlare提供的CDN服務，在確定了目標網站使用CDN后，可以先嘗試通過在線網站CloudFlareWatch

4。驗證獲取的IP
找到目標的真實IP后，如何驗證其真實性呢？

-如果是Web，直接嘗試用IP訪問，查看響應頁面和訪問域名返回的是否一樣；或者在目標端比較大的情況下，借助類似Masscan的工具批量掃描對應IP段中所有開了80、443、8080端口的IP，然后逐個嘗試IP訪問，觀察響應結果是否為目標站點

7.收集敏感目錄文件

在滲透測試中，探測Web目錄結構和隱藏的敏感文件是必不可少的一件事，從中我們可以獲得網站的后臺管理頁面、文件上傳頁面、源代碼等

1.網站目錄掃描

• DirBuster
• 御劍后臺掃描
• wwwscan
• Spinder.py（輕量級快速單文件目錄后臺掃描）
• Sensitivefilescan（輕量級快速單文件目錄后臺掃描）
• Weakfilescan（輕量級快速單文件目錄后臺掃描）
  2.在線工具
• WebScan（http://www.webscan.cc）

8.社會工程學

目標郵箱、QQ、電話、姓名、域名服務商等等，知道一個賬號的密碼后進行撞庫

總結

以上是生活随笔為你收集整理的第一章：渗透测试之信息搜集的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。