全方位信息收集（二）

人员联系方式与关系

天眼查，企查查等

 

检测目标是否存在CDN

　　在线检测平台：超级ping，nslookup命令

示例：

 

绕过CDN获取真实IP

　　如下方法在大型网站，如BAT等可能失效

 

　　子域名查询

　　　　为了节约成本，大部分的网站只有主域名使用了CDN服务，或者部分重要的子域名使用了CDN服务，这个时候我们可以从子域名入手

　　　　

辅助信息收集的网站
	
1.www.sp910.com 子域名及get-site-ip获取 
2.www.xuexila.com 国外地址请求
3.www.kuk8.com   ssl证书查询
4.www.ldfaka.com 邮件测试

　　　　或者借助子域名挖掘机等工具进行探测

　　　　如上图，工具收集只得到一个IP地址很可能是真实ip，还有同网段的IP地址，但是也不一定准确，因为可能只解析了一个ip，所以还需要结合多种手段判断。如get-site-ip.com,超级ping等结合，还有网站备案信息

m.xxx.com或者wap.xxx.com一般为手机浏览器网页

当我们找到真实的IP地址时，就可以在本地修改hosts文件，把域名指向那个真实ip，这样我们在本地扫描网站的时候就会扫描真正的服务器了。在cmd窗口用ping域名，可以快速显示服务器ip。如果把　　　　范围缩小到几个IP地址的时候，还是不能确定，就分别修改hosts指向，再访问域名，不能直接访问的ip一般不是真实的。如果几个域名指向ip都可以访问，就要挂国外vpn，多换几个国家，全局代理，　　　　不用修改hosts，再一次用ping域名，解析的域名ip大多数就是真实的了。虽然站长之家等第三方平台有国外节点，但是节点不知道是什么情况，所以还是挂个vpn比较稳

 

　　国外请求

　　　　如果目标网站CDN针对的是国内用户，那么可以试试国外代理发起请求，配合子域名入手是很稳的。

 

　　SSL证书查询

　　　　用censys平台查询，但是有一定失败率

　　邮件查询

　　　　网站注册验证邮箱的时候，是服务器主动请求客户端，所以包含其主机IP等信息，QQ邮箱和谷歌等邮箱

 

　　　　如果不确定是不是真实的，就要结合ping命令，超级ping等第二三种手段，还有在邮件源代码那里除了可以看到ip地址，还可以找到发邮件的域名信息，我们又可以ping这个域名进行IP地址对比了

　　

　　遗留文件

　　　　网站管理员未及时删除的phpinfo页面　　用谷歌搜索:inurl:phpinfo.php，国内搜索引擎屏蔽了

 

　　扫全网

　　　　使用本地工具w8fuckcdn等

 

　　dns历史记录

　　　　站长工具等查询域名信息时，IP地址就是抓取的dns历史记录，如果目标网站最近才开通CDN加速，那么第三方查询平台没有来得及收录最新dns解析记录，则是真实的IP地址

　　　　相关网站：https://securitytrails.com/

 

　　以量打量（不推荐）

　　　　就是用cc攻击将每个cdn节点流量耗光，最后就是真实的IP地址了，耗费资源的同时，也不安全，所以不推荐

　　

　　黑暗搜索

　　　　#谷歌语法

https://www.uedbox.com/shdb/
https://www.uedbox.com/post/54776/
https://www.exploit-db.com/google-hacking-database（比较全）

　　　　　　site 网站相关

　　　　　　如：site：xx.com或者site:xx.com intitle:login/管理或site:xx.com inurl:login

　　　　　　intitle 标题相关

　　　　　　inurl 网址相关

　　　　　　filetype 文件类型

　　　　　　intext 正文相关

 

　　　　#shodan

　　　　Shodan，是一个暗黑系的谷歌，作为一个针对网络设备的搜索引擎，它可以在极短的时间内在全球设备中搜索到你想找的设备信息。对于渗透工作者来说，就是一个辅助我们寻找靶机的好助手。

　　　　内置语法

Shodan的参数有很多，这里只介绍简单的几种
hostname："主机或域名"
如 hostname:"google''

port："端口或服务"
如 port:"21"

ip : "ip地址"
如 ip : "168.205.71.64"

net："IP地址或子网"

如 net:"210.45.240.0/24"

vuln :指定漏洞的cve

如 vuln:CVE-2015-8869

但是这个命令最好搭配起来使用，如 country:CN vuln:CVE-2014-0160

os :"操作系统"

如 os:"centOS"

isp："ISP供应商"

如 isp:"China Telecom"

product："操作系统/软件/平台"

如 product:"Apache httpd"

version："软件版本"

如 version:"3.1.6"

geo："经纬度"

如 geo:"39.8779,116.4550"

country`："国家"

如 country:"China"
country:"UN"

city："城市"
如 city:"Hefei"

org："组织或公司"
如 org:"google"

before/after："日/月/年"
如 before:"25/09/2017"
after:"25/09/2017"

asn : "自治系统号码"
如 asn:"AS2233"

　　　　　　用语法或者直接搜响应包的相关关键词都可以，还可以用来搜子域名

　　　　

　　　　

　　　　　　脚本使用，项目地址：https://github.com/achillean/shodan-python

　　　　　　拓展：自主开发，官方文档：https://shodan.readthedocs.io/en/latest/index.html

　　　　#zoomeye

　　　　　　内置语法
    　　　　　　ZoomEye搜索技巧
    　　　　　　指定搜索的组件以及版本
    　　　　　　app：组件名称
    　　　　　　ver：组件版本
    　　　　　　例如：搜索 apache组件    版本2.4
   　　　　　　 app:apache ver:2.4　　

指定搜索的端口
port:端口号
例如：搜索开放了SSH端口的主机
port:22
一些服务器可能监听了非标准的端口。
要按照更精确的协议进行检索，可以使用service进行过滤。

指定搜索的操作系统
OS:操作系统名称
例如：搜索Linux操作系统
OS：Linux

指定搜索的服务
service：服务名称
例如，搜素SSH服务
Service：SSH

指定搜索的地理位置范
country：国家
city：城市名
例如：
country:China
city：Beijing

搜索指定的CIDR网段
CIDR:网段区域
例如：
CIDR：192.168.158.12/24

搜索指定的网站域名
Site:网站域名
例如：
site:www.baidu.com

搜索指定的主机名
Hostname:主机名
例如：
hostname:zwl.cuit.edu.cn

搜索指定的设备名
Device：设备名
例如：
device:router

搜索具有特定首页关键词的主机
Keyword：关键词
例如：
keyword:technology

　　　　　　　脚本开发官方手册:https://www.zoomeye.org/doc

　　　　　　　可以根据实际情况开发自己的批量搜索，或者攻击的脚本