从零开始的信息搜集（一）

 

渗透的本质是信息搜集，这句话相信每个人都听说过

做得好到处有资产（大佬），做不好捡漏都困难（我）

有很多大佬有自己新奇的技巧，但本咸鱼作为一个24K纯菜鸡，只能沿用大佬们现成的方法去搜集整理现有的知识点，形成本文

毕竟

我们不生产新方法，我们只是方法的搬运工

 

 

 

 

（实际上是批量脚本写烦了，换个思路，内网整理什么的往后推了......由于这块内容过于庞大，因此采用分篇整理。但即使是这样，也肯定有落下的，欢迎各位表哥补充）

 注：

（1）同类型的方法仅列举一些常见的，不追求一一列举，个人能力有限，也无法一一列举出来

（2）工具的话，仅列举一些已公开的、流行的工具，不包括自己开发的未公开的工具、脚本、框架（求分享）

 

 

前置问题：假如从XXX手中获得了一个域名，只有这一个域名，通过这个域名，从零开始，你能获取哪些信息？

 

 

0x01企业备案信息搜集

1.天眼查 

https://www.tianyancha.com/

在天眼妹这里可以按公司名、可以按域名甚至人名对注册过的公司进行信息查询（换言之没注册过的，你弄个国外的站，是无济于事的）

天眼查号称“实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权方面等多种数据维度的检索”

可以着重关注一下网站备案、微信公众号、企业业务

 

与天眼查同类型的网站有很多，一搜一大把，不一一介绍了，有些功能的查看需要付费

比如：企查查　　https://www.qcc.com/

启信宝　　https://www.qixin.com/

 

 

2.站长工具

http://icp.chinaz.com/

可以看一些网站备案信息（啊，当然不只是可以看备案信息，其他的后面再说）

 

 

爱站  https://icp.aizhan.com/

同理

 

 

 

 

0x02 whois

whois主要是用来查询域名的IP以及所有者等信息的传输协议，叫域名查询协议

1.站长工具

http://whois.chinaz.com/

还是站长工具

 

 有一个whois反查功能，能看到更多信息

 

2.微步

https://x.threatbook.cn/

 要登录才能看到更多信息

 

 

 

 微步平台除了可查网站信息之外还有文件检测、URL检测、威胁情报等功能

 3.who.is

通过这个网站也可以查：https://who.is/

 

 

 但是结果不太友好，主要是查国外的

 

还有一大堆类似的网站

https://whois.cloud.tencent.com/

https://whois.aliyun.com/

https://whois.cndns.com/

https://whois.west.cn/

......

不一一列举

 

另外，把涉及whois也涉及DNS查询信息的三款工具归到这了dnswalk、 dnstracer、dnsenum

均为Kali自带

 

0x03 CDN

 

传统的解析是通过域名直接解析IP访问目标主机，而有CDN的会在解析流程中间加一道CDN节点，不仅起到了降低网络拥塞、提升访问速度的作用，还有云WAF，相当于多了一层保护

对此我只能说很顶

如何判断一个网站有无CDN？

去网站上超级ping

http://ping.chinaz.com/

全球ping

https://wepcc.com/

 

或者nslookup、dig、ping

 

 

 （事先说明，如果按照IP访问目标，404 403 GG了，可以改hosts 域名ip绑定，然后访问域名再次尝试，涉及到DNS解析原理hosts优先）

绕过（都是猜测方法，并不绝对，多少都有限制）：

1.DNS历史解析记录

查询DNS解析的历史记录，可能会找到网站使用CDN前的解析记录

如：

微步--域名解析

https://x.threatbook.cn/ 　　查询需要积分

iphistory

https://viewdns.info/iphistory/

查询网

https://site.ip138.com/

 

2.查找子域名

如果有一些站没有把它的子域名也做CDN，可以通过排查子域名，找没用CDN的子域名

改hosts文件，把目标域名和子域名IP绑定，如果能访问证明二者在一个服务器上（当然希望不大，呵呵）

还可以大胆怀疑子域名ip和目标域名ip在一个C段，扫描C段ip的80端口看看有没有搞头

找子域名方法有很多，如：搜索引擎查询、在线网站查询、子域名爆破工具、集成框架......

大致提一下，具体内容留在子域名搜集环节细说

 

3.网站邮件头信息

如果目标站点存在邮箱注册、邮箱找回密码、RSS邮件订阅等功能场景，可能通过发送邮件在邮件头中暴露真实IP

 

 比如QQ邮箱中点击“显示邮件原文”，可以查看from信息

类似这种地方，找找文中有没有from目标站点的，并且显示IP的

或者有没有SSRF可以利用？

 

4.网络空间搜索引擎

三大引擎

钟馗之眼：https://www.zoomeye.org

Shodan：https://www.shodan.io

Fofa：https://fofa.so

 

还有360的QUAKE：https://quake.360.cn/quake/#/index

用搜索语法尝试搜索目标站点，可能有意外发现

部分语法参考：https://blog.csdn.net/qq_38265674/article/details/111034934

 

 

5.国外主机解析域名

如果有CDN厂商只做了针对国内的线路，没做国外的线路

可以尝试用国外的多ping平台测试

有条件的可以试试以下平台

https://asm.ca.com/zh_cn/ping.php

http://host-tracker.com/

http://www.webpagetest.org/

https://dnscheck.pingdom.com/

 

6.SSL证书

证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中，SSL/TLS证书通常包含域名、子域名和电子邮件地址

SSL证书搜索引擎，以github.com为例：https://censys.io/ipv4?q=github.com

 

 

7.全网扫描

用工具对目标站点进行全网扫描，针对扫描结果进行关键字查找

两款扫描工具ZMap与masscan

https://github.com/zmap/zmap

https://github.com/robertdavidgraham/masscan

扫全国的IP某端口，进行banner抓取，再数据过滤，筛选结果

过程参考：http://bobao.360.cn/learning/detail/211.html

 

或者方便一些的有fuckcdn和其他绕CDN扫描脚本：

https://github.com/boy-hack/w8fuckcdn

https://github.com/Tai7sy/fuckcdn

https://github.com/3xp10it/xcdn

可以都试试

 

 

8.文件泄露

是否可以通过漏洞找到一些服务器日志文件、web探针文件，如phpinfo中的SERVER_ADDR，可见真实IP

 

 

9.icon hash+shodan

可以半手工，当然也可以用脚本

这有一个师傅写好的脚本:

https://github.com/Ridter/get_ip_by_ico/blob/master/get_ip_by_ico.py

 

思路是借助WEB特有文件如xxxx.ico （type='image/x-icon'） 进行文件hash获取，再利用shodan进行全网追踪

查看网站源代码找ico，用URL访问完整ico文件

用python写：将get请求回来的内容base64编码，再用mmh3编码得到hash（要安装mmh3库，这是shodan的要求）

在shodan中搜http.favicon.hash:hash值，可以找真实IP

 

还有老哥说找源码中title标签+fofa的，我姿势使用失败，并没有成功，欢迎尝试

 

10.配置不当

是不是存在lcx.com与www.lcx.com解析到同一个地址，但只做了www.lcx.com而没做lcx.com的CDN？

或者只配了HTTPS的CDN而没有配置HTTP的CDN？

虽然可能性不大，但是可以试试

 

 

11.F5 LTM解密

同时使用F5 LTM做负载均衡与CDN好像并不冲突，但我并没有尝试过，就先放这里了

如何操作请参考以下文章：

https://www.secpulse.com/archives/58730.html

https://www.sohu.com/a/162154485_610486

https://www.dazhuanlan.com/2019/10/22/5dae40a11442c/

 

 12.其他

非高防的CDN可以流量攻击冲一波，em......

 

 

 

 

0x04 子域名

工具类：

1.oneforall

一款强大的子域名搜集工具，仍在更新，欢迎加群 824414244

下载链接：https://github.com/shmilylty/OneForAll.git

收集模块说明：https://github.com/shmilylty/OneForAll/blob/master/docs/collection_modules.md

 

 相当于一个大合集，功能很全，使用感受还是可以的，有误报但量大

2.FuzzDomain

一款子域名爆破工具

使用方法和探测原理参考：

 https://www.freebuf.com/sectool/127400.html

3.Layer子域名挖掘机

也是款windows平台下的老工具了，目前有5.x更新版和4.x纪念版

　　5.0版本链接：https://pan.baidu.com/s/1YFu9V0WtdG905eaVFNFa0A 　　提取码：zkaq

其他版本请自行搜集资源下载，安全性自测

4.subDomainsBrute

下载链接：https://github.com/lijiejie/subDomainsBrute

使用方法请参考：https://www.freebuf.com/sectool/106625.html

5.ESD

下载链接：https://github.com/FeeiCN/ESD

6.subfinder

下载链接：https://github.com/projectdiscovery/subfinder

还有很多不一一列举了

 

非工具类（其实这么划分也不准确。。。）查找子域名，比如利用证书透明度、DNS记录查询、威胁情报数据网站、搜索引擎、域传送、敏感信息泄露......

请仔细参考这几篇文章：

https://blog.csdn.net/Tencent_SRC/article/details/107873543

https://blog.csdn.net/w1590191166/article/details/104160404

https://blog.csdn.net/qq_38265674/article/details/111011121

总结得很详细（补充了一些我没有说到的工具和姿势）

 

 

 

----------------------------------------------------------------------------------------------------------------------------

后续还有很多内容在下一篇

从零开始的信息搜集（二）指路链接：https://www.cnblogs.com/lcxblogs/p/14303742.html

中继续补充

 

未经允许，禁止转载