信息收集总结

Yatming的博客2025-05-202023-06-17

信息收集总结

首先在信息收集的时候要确定对方有没有CDN，如果有的话要尝试找到主站的方法，因为有可能你最后攻击的目标可能只是运营商的缓存服务器，而且结合CDN的特性，具有天然的抗DDOS攻击的效果。

如何确定主站？

CDN对测试有何影响&如何绕过

子域名查询：有的网站主域名会做CDN，但是子域名可能不会做，还有一个小技巧就是一个网站在解析的时候，不加www和加上都可以访问，原因是在域名解析的时候设置了对应的解析地址，所以有可能一个网站在解析的时候，有可能加上www的有CDN，不加的可能就直接是真实IP了，还有一个查询小技巧就是有的站点在前面改为 m.xxx.com的类型的时候访问的是手机类
邮件服务查询：我们访问别人，可能通过CND，但别人访问我们通常不会走CDN，就是说网站在注册的时候，一般要邮箱地址，而这个时候，从他返回过来的邮件中的IP地址，极有可能是主站IP地址，因为一般邮件，是有单独的邮件服务器的，具体怎么查看邮件中的IP地址，百度查询，如果是软件这类，应该和小迪老师一样，右键源代码查看，不同的话百度查询
国外地址请求：国外没有cdn节点的话，可能直接走原ip
遗留文件，扫描全网；一个网站在创建的时候，经过发展可能会出现一些遗留文件，比如phpinfo（）这类的文件。这个文件当中可能会有目标网站的主站IP地址。
黑暗引擎搜索特定文件；这个就是利用下文中脚本，安装环境注意是python2，这里的遗留文件一般是 .ico的文件，查看网站源代码进行查询
dns历史记录，以量打量：CDN节点是有流量上限的，用光之后就会直通原机，这也是一种流量攻击；简单来说就是DDOS攻击，具体原理，百度即可

本地清下dns，然后hosts里写上得到的ip和域名，如果是cdn可能会出现刷新异常，如果打开很快大概率是原机，简单来说就是如果你心里有了几个主站IP地址的猜测，但是你不知道怎么去判断，第一种就是看网站的备案，然后看IP地址的来源，如果是一个地方，那么就有可能是主站。第二种就是修改host文件，你修改成你要猜测的主站IP地址，可能会出现ping的时候是超时，但是你打开对应的网站还是可以访问的，如果是CDN就可以ping通

在对目标网站进行信息收集的时候，用对方网站的IP进行访问和直接用对方的域名进行访问的时候，有一定的可能是两个不同的结果。也就是在 “搭建安全拓展” 这个知识点上的：IP地址和域名限制：顾名思义，就是可以控制谁可以通过域名访问我的网站，谁可以通过IP访问我的网站

做完以上的工作之后，就可以进行信息收集了

第一步：域名收集

域名有顶级域，二级域，子域名

先对目标网站进行 whois 查询。

涉及资源：

国外的who.is：https://who.is/ 

站长之家：http://whois.chinaz.com/

爱站：https://whois.aizhan.com/ 

微步：https://x.threatbook.cn/

查询目标域名的备案人信息，然后在对备案人进行反查，查询这个备案人的名下有哪些可能跟目标网站有用的信息。如果找不到对应的备案人。可以对该网站去 “天眼查” 上进行查询，但是如果是非法类网站，这个可能效果不大，因为一般的非法性网站的备案信息极大几率不是本人

子域名查询

第一种方式：使用谷歌语法，格式：site: 目标网站；这里是把www去掉

例子：site:baidu.com

第二种方式：通过工具或者一些在线类网站

首先说工具：小迪课上的 “提莫” ，然后是 “子域名挖掘机” 这个是可以在网站上进行找到的

在线网站：

DNSdumpster：https://dnsdumpster.com/
whois反查：http://whois.chinaz.com/
virustotal：www.virustotal.com
子域名爆破：https://phpinfo.me/domain/
IP反查绑定域名：http://dns.aizhan.com/
https://hackertarget.com/find-dns-host-records/
https://site.ip138.com

第三种方式：C段查询

不同服务器，不同站点，就是一个网段，一个C段地址的范围是，1-255，那么就可以用扫描工具对这个网段进行扫描，如果有其他网站的IP存活，那么有可能就跟你的目标网站有所关联

而旁注和 C段又可以进行子域名查询，端口查询，目录型的操作。目标越来越多，成功的可能性越大

可以使用一些工具例如：nmap

第四种方式：端口查询

可以用黑暗引擎或者一些工具

黑暗引擎：钟馗之眼，FOFA，shodan，这里的shodan是国外网站，需要一个，你懂得

工具：nmap

端口	服务	说明
21	FTP	主要看是否支持匿名，也可跑弱口令
22	SSH	弱口令爆破
22	SSH	弱口令爆破
23	telnet	弱口令爆破
80-90	WEB	常见WEB漏洞以及一些为管理后台
161	snmp	public弱口令
389	ldap	是否为匿名访问
443	openssl	心脏出血以及一些WEB漏洞测试
445	smb	跑弱口令，检测是否有ms_08067等溢出
873	rsync	是否为匿名访问，也可以跑弱口令
1025	RPC	NFS匿名访问
1099	java rmi	远程命令执行漏洞
1433	mssql	弱口令爆破
1521	oracle	弱口令爆破
2082/2083	cpanel主机管理系统登陆	弱口令爆破
2222	DA虚拟主机管理系统登陆	弱口令爆破
2601,2604	zebra路由器	默认密码zebra
3128	squid代理默认端口	如果没设置口令很可能就直接漫游内网
3306	mysql	弱口令爆破
3312/3311	kangle主机管理系统登陆	说明
3389	RDP	弱口令爆破，SHIFT后门，放大镜，输入法漏洞
4440	rundeck	web
4848	GlassFish web中间件	弱口令admin/adminadmin
5432	postgres	弱口令爆破
5560,7778	iSqlPlus
5900,5901,5902	vnc	弱口令爆破
5984	CouchDB	http://xxx:5984/_utils/
6082	varnish
6379	redis	一般无验证，直接访问
7001,7002	weblogic	弱口令爆破
7778	Kloxo	主机控制面板登录
8080	tomcat\jboss	弱口令爆破，jboss后台可能不验证
8649	ganglia
8080-8090	常见WEB端口
8083	Vestacp主机管理系统（国外用较多）
8649	ganglia
8888	amh/LuManager	主机管理系统默认端口说明
9000	fcgi	fcgi php命令执行漏洞
9200	elasticsearch	代码执行
9043	websphere	弱口令爆破
10000	Virtualmin/Webmin	服务器虚拟主机管理系统
11211	memcache	内存泄露
27017,28017	mongodb	未授权访问
50000	Upnp	SAP命令执行
50060,50030	hadoop	WEB 未授权访问

第五种方式：CMS指纹识别

常见的CMS有Dedecms(织梦)、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。

- BugScaner: http://whatweb.bugscaner.com/look/
- 潮汐指纹：http://finger.tidesec.net/
- 云悉：http://www.yunsee.cn/info.html
- WhatWeb: https://whatweb.net/
- 云悉指纹: http://www.yunsee.cn/finger.html

工具有：御剑等等

手工的方式：可以右键源代码，看看在头标签上有没有一些关键信息

还有一些在上几章可能有

也可以参考两篇文章

资源

收集域名信息
- Whois 查询
- 备案信息查询
- 信用信息查询
- IP反查站点的站
  - 在线网站
    - Dnslytics
- 浏览器插件
收集相关应用信息
- 微信公众号&微博
  - 天眼查
- APP
  - 七麦数据
  - AppStore
收集子域名信息
- 在线平台
- 资产搜索引擎
  - Google语法查询
  - FOFA语法查询
- 工具枚举
- 证书透明度公开日志枚举
  - 在线第三方平台查询
  - 工具枚举查询
    - Findomain
- DNS历史解析
- DNS域传送漏洞
  - DNS记录分类
  - DNS注册信息
  - DNS域传送漏洞原理
  - DNS域传送漏洞检测
    - nslookup
    - nmap
    - dig
查找真实IP
- CDN简介
- 国内外CND
- 判断目标是否存在CDN
  - Ping目标主域
  - Nslookup
    - 不同DNS域名解析
    - nslookup默认解析
  - 全国Ping
    - 站长工具
    - 17CE
    - IPIP
  - 工具查询
    - Cdnplanet
- 绕过CDN查找真实IP
- - 内部邮箱源
  - 国外请求
    - 国际Ping
    - 国外DNS解析
  - 分站域名&C段查询
    - 分站域名
    - C段查询
  - 网站漏洞
    - 一些测试文件
    - SSRF漏洞
  - 查询域名解析记录
  - 目标网站APP应用
  - 网络空间引擎搜索
收集常用端口信息
- 常见端口&解析&总结
- 扫描工具
  - 常用扫描工具
  - 常用扫描工具使用
- 网络空间引擎搜索
- 浏览器插件
  - Shodan
  - TCPIPUTILS
  - DNSlytics
  - fofa-view
指纹识别
- 第三方平台
- 工具
- 浏览器插件
  - Wappalyzer
收集敏感信息
- WAF识别
  - wafw00f
- 源码泄露
- 备份文件泄露
- Google Hacking
- JS获取敏感接口
  - JSFinder
  - LinkFinder
- 目录&后台扫描
- 越权查询
- 代码托管
- Whois&备案查询
- 公网网盘
- 网站截图
  - webscreenshot
- 获取公开文件
  - snitch
  - Google Hacking
- 邮箱信息收集
- 历史资产
  - wayback
漏洞公共资源库
- 国内
- 国外
社会工程

漏洞公共资源库

通过前期一定的信息收集搜索是否存在相应的历史版本漏洞

国内

国外

Online Search Email

通过全球最大的几个数据泄露站点在线查询邮箱信息泄露情况

https://monitor.firefox.com/

https://haveibeenpwned.com/

https://ghostproject.fr/

历史资产

wayback

wayback会记录网站版本更迭，可以获取到之前版本的网站，可能会找到一些后来删除的敏感资产信息，或者一些漏洞

平台地址：https://web.archive.org/

Google Hacking

site:target.com intext:@target.com
site:target.com 邮件
site:target.com email

site:target.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv

邮箱信息收集

Infoga

Infoga可从不同的公共源网络（搜索引擎，pgp密钥服务器和shodan）收集电子邮件帐户信息（ip，主机名，国家/地区…）。是一个用法非常简单的工具，但是，对于渗透测试的早期阶段，或者只是为了了解自己公司在互联网上的可见性是非常有效的。

安装

git clone https://github.com/m4ll0k/Infoga.git /data/infoga
cd /data/infoga
pip3 install requests
python3 infoga.py

使用

1
2
3

python3 infoga.py --domain site.com --source all -v 3 | grep Email | cut -d ' ' -f 3 | uniq | sed -n '/-/!p'
python3 infoga.py --info emailtest@site.com
python3 infoga.py --info emailtest@site.com -b