渗透的本质是信息搜集,这句话相信每个人都听说过

做得好到处有资产(大佬),做不好捡漏都困难(我)

有很多大佬有自己新奇的技巧,但本咸鱼作为一个24K纯菜鸡,只能沿用大佬们现成的方法去搜集整理现有的知识点,形成本文

毕竟

我们不生产新方法,我们只是方法的搬运工

 

 

 

 

(实际上是批量脚本写烦了,换个思路,内网整理什么的往后推了……由于这块内容过于庞大,因此采用分篇整理。但即使是这样,也肯定有落下的,欢迎各位表哥补充)

 注:

(1)同类型的方法仅列举一些常见的,不追求一一列举,个人能力有限,也无法一一列举出来

(2)工具的话,仅列举一些已公开的、流行的工具,不包括自己开发的未公开的工具、脚本、框架(求分享)

 

 

前置问题:假如从XXX手中获得了一个域名,只有这一个域名,通过这个域名,从零开始,你能获取哪些信息?

 

 

0x01企业备案信息搜集

1.天眼查 

https://www.tianyancha.com/

在天眼妹这里可以按公司名、可以按域名甚至人名对注册过的公司进行信息查询(换言之没注册过的,你弄个国外的站,是无济于事的)

天眼查号称“实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权方面等多种数据维度的检索”

可以着重关注一下网站备案、微信公众号、企业业务

 

与天眼查同类型的网站有很多,一搜一大把,不一一介绍了,有些功能的查看需要付费

比如:企查查  https://www.qcc.com/

启信宝  https://www.qixin.com/

 

 

2.站长工具

http://icp.chinaz.com/

可以看一些网站备案信息(啊,当然不只是可以看备案信息,其他的后面再说)

 

 

爱站  https://icp.aizhan.com/

同理

 

 

 

 

0x02 whois

whois主要是用来查询域名的IP以及所有者等信息的传输协议,叫域名查询协议

1.站长工具

http://whois.chinaz.com/

还是站长工具

 

 有一个whois反查功能,能看到更多信息

 

2.微步

https://x.threatbook.cn/

 要登录才能看到更多信息

 

 

 

 微步平台除了可查网站信息之外还有文件检测、URL检测、威胁情报等功能

 3.who.is

通过这个网站也可以查:https://who.is/

 

 

 但是结果不太友好,主要是查国外的

 

还有一大堆类似的网站

https://whois.cloud.tencent.com/

https://whois.aliyun.com/

https://whois.cndns.com/

https://whois.west.cn/

……

不一一列举

 

另外,把涉及whois也涉及DNS查询信息的三款工具归到这了dnswalk、 dnstracer、dnsenum

均为Kali自带

 

0x03 CDN

 

传统的解析是通过域名直接解析IP访问目标主机,而有CDN的会在解析流程中间加一道CDN节点,不仅起到了降低网络拥塞、提升访问速度的作用,还有云WAF,相当于多了一层保护

对此我只能说很顶

如何判断一个网站有无CDN?

去网站上超级ping

http://ping.chinaz.com/

全球ping

https://wepcc.com/

 

或者nslookup、dig、ping

 

 

 (事先说明,如果按照IP访问目标,404 403 GG了,可以改hosts 域名ip绑定,然后访问域名再次尝试,涉及到DNS解析原理hosts优先)

绕过(都是猜测方法,并不绝对,多少都有限制):

1.DNS历史解析记录

查询DNS解析的历史记录,可能会找到网站使用CDN前的解析记录

如:

微步–域名解析

https://x.threatbook.cn/   查询需要积分

iphistory

https://viewdns.info/iphistory/

查询网

https://site.ip138.com/

 

2.查找子域名

如果有一些站没有把它的子域名也做CDN,可以通过排查子域名,找没用CDN的子域名

改hosts文件,把目标域名和子域名IP绑定,如果能访问证明二者在一个服务器上(当然希望不大,呵呵)

还可以大胆怀疑子域名ip和目标域名ip在一个C段,扫描C段ip的80端口看看有没有搞头

找子域名方法有很多,如:搜索引擎查询、在线网站查询、子域名爆破工具、集成框架……

大致提一下,具体内容留在子域名搜集环节细说

 

3.网站邮件头信息

如果目标站点存在邮箱注册、邮箱找回密码、RSS邮件订阅等功能场景,可能通过发送邮件在邮件头中暴露真实IP

 

 比如QQ邮箱中点击“显示邮件原文”,可以查看from信息

类似这种地方,找找文中有没有from目标站点的,并且显示IP的

或者有没有SSRF可以利用?

 

4.网络空间搜索引擎

三大引擎

钟馗之眼:https://www.zoomeye.org

Shodan:https://www.shodan.io

Fofa:https://fofa.so

 

还有360的QUAKE:https://quake.360.cn/quake/#/index

用搜索语法尝试搜索目标站点,可能有意外发现

部分语法参考:https://blog.csdn.net/qq_38265674/article/details/111034934

 

 

5.国外主机解析域名

如果有CDN厂商只做了针对国内的线路,没做国外的线路

可以尝试用国外的多ping平台测试

有条件的可以试试以下平台

https://asm.ca.com/zh_cn/ping.php

http://host-tracker.com/

http://www.webpagetest.org/

https://dnscheck.pingdom.com/

 

6.SSL证书

证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中,SSL/TLS证书通常包含域名、子域名和电子邮件地址

SSL证书搜索引擎,以github.com为例:https://censys.io/ipv4?q=github.com

 

 

7.全网扫描

用工具对目标站点进行全网扫描,针对扫描结果进行关键字查找

两款扫描工具ZMap与masscan

https://github.com/zmap/zmap

https://github.com/robertdavidgraham/masscan

扫全国的IP某端口,进行banner抓取,再数据过滤,筛选结果

过程参考:http://bobao.360.cn/learning/detail/211.html

 

或者方便一些的有fuckcdn和其他绕CDN扫描脚本:

https://github.com/boy-hack/w8fuckcdn

https://github.com/Tai7sy/fuckcdn

https://github.com/3xp10it/xcdn

可以都试试

 

 

8.文件泄露

是否可以通过漏洞找到一些服务器日志文件、web探针文件,如phpinfo中的SERVER_ADDR,可见真实IP

 

 

9.icon hash+shodan

可以半手工,当然也可以用脚本

这有一个师傅写好的脚本:

https://github.com/Ridter/get_ip_by_ico/blob/master/get_ip_by_ico.py

 

思路是借助WEB特有文件如xxxx.ico (type=\’image/x-icon\’) 进行文件hash获取,再利用shodan进行全网追踪

查看网站源代码找ico,用URL访问完整ico文件

用python写:将get请求回来的内容base64编码,再用mmh3编码得到hash(要安装mmh3库,这是shodan的要求)

在shodan中搜http.favicon.hash:hash值,可以找真实IP

 

还有老哥说找源码中title标签+fofa的,我姿势使用失败,并没有成功,欢迎尝试

 

10.配置不当

是不是存在lcx.com与www.lcx.com解析到同一个地址,但只做了www.lcx.com而没做lcx.com的CDN?

或者只配了HTTPS的CDN而没有配置HTTP的CDN?

虽然可能性不大,但是可以试试

 

 

11.F5 LTM解密

同时使用F5 LTM做负载均衡与CDN好像并不冲突,但我并没有尝试过,就先放这里了

如何操作请参考以下文章:

https://www.secpulse.com/archives/58730.html

https://www.sohu.com/a/162154485_610486

https://www.dazhuanlan.com/2019/10/22/5dae40a11442c/

 

 12.其他

非高防的CDN可以流量攻击冲一波,em……

 

 

 

 

0x04 子域名

工具类

1.oneforall

一款强大的子域名搜集工具,仍在更新,欢迎加群 824414244

下载链接:https://github.com/shmilylty/OneForAll.git

收集模块说明:https://github.com/shmilylty/OneForAll/blob/master/docs/collection_modules.md

 

 相当于一个大合集,功能很全,使用感受还是可以的,有误报但量大

2.FuzzDomain

一款子域名爆破工具

使用方法和探测原理参考:

 https://www.freebuf.com/sectool/127400.html

3.Layer子域名挖掘机

也是款windows平台下的老工具了,目前有5.x更新版和4.x纪念版

  5.0版本链接:https://pan.baidu.com/s/1YFu9V0WtdG905eaVFNFa0A   提取码:zkaq

其他版本请自行搜集资源下载,安全性自测

4.subDomainsBrute

下载链接:https://github.com/lijiejie/subDomainsBrute

使用方法请参考:https://www.freebuf.com/sectool/106625.html

5.ESD

下载链接:https://github.com/FeeiCN/ESD

6.subfinder

下载链接:https://github.com/projectdiscovery/subfinder

还有很多不一一列举了

 

非工具类(其实这么划分也不准确。。。)查找子域名,比如利用证书透明度、DNS记录查询、威胁情报数据网站、搜索引擎、域传送、敏感信息泄露……

请仔细参考这几篇文章:

https://blog.csdn.net/Tencent_SRC/article/details/107873543

https://blog.csdn.net/w1590191166/article/details/104160404

https://blog.csdn.net/qq_38265674/article/details/111011121

总结得很详细(补充了一些我没有说到的工具和姿势)

 

 

 

—————————————————————————————————————————-

后续还有很多内容在下一篇

从零开始的信息搜集(二)指路链接:https://www.cnblogs.com/lcxblogs/p/14303742.html

中继续补充

 

未经允许,禁止转载

 

版权声明:本文为lcxblogs原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://www.cnblogs.com/lcxblogs/p/14291907.html