红队项目信息收集技巧

1.如何快速获取目标ip段？

接口找子域，解析成IP，统计一下那个次数最多。

棱眼（https://github.com/EdgeSecurityTeam/Eeyes）

工信部备案网站

2.扫到的c段资产如何判断哪些是目标资产？

看C段命中多少，若命中十几个，则C段资产大多数都是；若命中两三个，可以将扫出来的IP各加减五，如果命中了像路由器等安全设备，大概率是目标资产。

工信部备案网站 （可做参考）

3.对于ip端口泛解析的怎么探开放端口？

跳过泛解析ip，针对其他IP再进行一次信息收集，可以找网站跳转或其他业务的域名

找子域问题：爆破时做判断，解析到泛解析ip的跳过（优先从接口找子域）

4.对于只给一个单位名称的目标，有什么收集思路？

先在爱企查或天眼查找到域名，找到对应备案号，找出同备案域名，之后搜集子域名，可能存在跳转，可以找到业务。

对子域进行cdn判断，如果是cdn就不扫端口，如果不是cdn，就进行全端口探测。

如nginx默认页面较多，可以进行针对性的目录字典的爆破，找到web资产之后还需要找APP、小程序等，可以使用小蓝本APP。

一些政府的目标可以在空间搜索引擎上把title或body指定政府名，政府网站中可能会有跳转，也可以找到相关资产。

先去官网上找js以及下方的跳转链接，可能会暴露出没有备案或单IP的资产，这些资产可能会存在漏洞。

站长之家（https://icp.chinaz.com/）查找备案

hunter空间引擎（https://hunter.qianxin.com/）查找ICP备案（收费）

小蓝本（https://www.xiaolanben.com/）APP、公众号、小程序搜集

七麦数据（https://www.qimai.cn/ ）APP搜集，同开发者应用中有所有APP

极致了数据（http://test.dajiala.com/）公众号搜集

5.找供应链有什么技巧？

信息收集之后输出的域名IP，可以进行目录爆破，找到资产，可以看匹配一些关键字，比如说技术支持、版权、开发等，可以统计出一些公司名，这些可能就是供应链。

找合同（filetype:pdf “单位名称”+“验收标准”）

天眼查中找老板旗下企业，股东关系网中有没有其他企业

投标网、招标网搜公司名，搜招标文件、网盘文件

网站下一般都有技术支持，或者写在网站后台，也可以在github、csdn搜

很多软件公司会把软件提供给哪些公司写出来

直接搜公司单位，后面可以接一个cms或者软件，可以搜到给他提供一些服务的单位

可能会写在目录中

忘记密码中的联系xxx

6.扫到的c段资产怎么判断是不是蜜罐？

看js代码有没有蜜罐特征（比如获取token）

看有没有常见的配置文件或进程的外联

通过蜜罐当跳板可能跨过网络隔离

一个ip部署多个有不同厂商的应用，比如用了致远OA，还有发现泛微OA等不同页面，就是蜜罐

访问到的网站首页上抓jsonp的肯定是蜜罐

7.对于找不到ip、域名的资产怎么信息收集？

找集群，比如说小学，可能会部署在当地的教育云上。或者找相似的学校，可能会搭在一起。

找属于什么集团，在集团的端口或网站下面会有分配的子域或端口。

可以查找股权关系中的其他公司。

到乌云上搜历史漏洞（http://23.94.222.93/），可能可以找到以前有漏洞的一些资产IP域名。

如果只有邮箱，可以进行钓鱼。

8.对于已经收集到的资产，如何高效率发现薄弱点或者可利用点，从而修改进一步收集信息的方向？

进行指纹识别，更新指纹，遇到没有的进行补充。

把url提出来做成目录字典，对之后的应用进行字典爆破，打开200状态码，返回长度，若长度不一样，可能命中到了一个指纹。

数据库如Oracle的用户名进行搜集

fscan扫弱口令

信息收集的工具推荐

水泽（https://github.com/0x727/ShuiZe_0x727/）自动化信息收集工具

Starmap（https://github.com/ZhuriLab/Starmap）找子域名工具

ARL(Asset Reconnaissance Lighthouse)资产侦察灯塔系统、regine（国外）

Dismap（指纹识别）（https://github.com/zhzyker/dismap）

Gitdorker、Github-monitor（敏感信息搜集）、enscan（查备案）