信息收集
一、收集域名信息
1.域名注册信息
站长之家:https://whois.chinaz.com
中国万网域名whois信息查询地址:https://whois.aliyun.com/
西部数码域名whois信息查询地址:https://whois.west.cn/
新网域名whois信息查询地址:https://whois.xinnet.com/
2.seo信息收集
3.子域名收集
在线子域名收集
站长之家:https://tool.chinaz.com/subdomain
查子域:https://chaziyu.com/
ip138:https://www.ip138.com/
子域名收集工具
JSFinder:https://github.com/Threezh1/JSFinder
Layer子域名挖掘机:https://github.com/euphrat1ca/LayerDomainFinder
OneForAll:https://github.com/shmilylty/OneForAll
subDomainsBrute:https://github.com/lijiejie/subDomainsBrute
4.域名备案信息查询
5.icp备案号查询
工业和信息化部政务服务平台:https://beian.miit.gov.cn/
6.ssl证书查询
亚数信息:https://myssl.com/ssl.html
二、收集真实ip
1.超级ping
2.nslookup
命令格式:nslookup domain[dns-server]
指定查询的DNS记录类型
命令格式:nslookup -qt=type domain[dns-server]
dig
命令格式:dig xxx.com
3.cdn绕过工具
w8fuckcdn:https://github.com/boy-hack/w8fuckcdn
fuckcdn:https://github.com/Tai7sy/fuckcdn
4.历史DNS解析
微步在线:https://x.threatbook.com/
5.子域名可能没有配置cdn
三、旁站和C段收集
旁站:一般是指的是同ip,也就是同服务器下的不同站点
C段:比如在:127.127.127.4这个IP上面有一个网站127.4这个服务器上面有网站,我们可以想想,他是一个非常大的站,几乎没有什么漏洞,但是在他同C段的127.127.127.1-127.127.127.255这1-255上面也有服务器而且也有网站并且存在漏洞,那么我们就可以来渗透1-255任何一个站之后提权来嗅探得到127.4这爱服务器的密码 甚至3389连接的密码后台登录的密码 如果运气好会得到很多密码...
工具:IISPutScanner
常用端口
ftp 21
ssh\sftp 22
telnet 23 #很多交换机、路由器会用到telnet来进行管理,主要用来做远程主机管理
smtp 25 #发邮件
pop3 110 #收邮件
dns 53
smb 445 #微软的文件共享 ,netstat -an -p tcp | findstr "LISTENING" windows必开,139端口也是windows做共享的
https 443
http 80
apache 80 443
nginx 80 443
tomcat 8080
weblogic 7001
mysql 3306
mssql 1433
oracle 1521
postgresql 5432
redis 6379
mongdb 27017
vnc 5900 #远程控制工具
IIS 80
jboss 8080
rdp ==remote desktop protocol 3389
....
四、收集端口和服务
Nmap扫描
功能介绍:https://www.cnblogs.com/c4isr/archive/2012/12/07/2807491.html
Nmap的功能包括:
主机发现 - 识别网络上的主机,例如,列出响应tcp和/或icmp请求或打开特定端口的主机。
端口扫描 - 枚举目标主机上的开放端口。
版本检测 - 询问远程设备上的网络服务以确定应用程序名称和版本号。
OS检测 - 确定网络设备的操作系统和硬件特性。
可与脚本进行交互 - 使用Nmap脚本引擎(NSE)和Lua编程语言。
1. 主机发现(Host Discovery)
快速定位存活主机:
sudo nmap -sn -PE -PS80,443 -PA22 -PU53 目标IP或网段
- 参数解析:
-sn:仅探测存活主机(不扫描端口)。-PE:ICMP Echo请求探测。-PS80,443:TCP SYN Ping扫描(80/443端口)。-PA22:TCP ACK Ping扫描(22端口)。-PU53:UDP Ping扫描(53端口)。
- 适用场景:混合协议绕过防火墙探测存活主机。
2. 端口扫描(Port Scanning)
快速扫描常见端口:
sudo nmap -sS -p 1-1000 --top-ports 100 --open -T4 目标IP
- 参数解析:
-sS:TCP SYN扫描(快速且隐蔽,需root)。-p 1-1000:扫描1-1000端口。--top-ports 100:仅扫描最常见的100个端口(可替换数值)。--open:仅显示开放端口。-T4:加速模式(平衡速度与准确性)。
全面扫描所有端口:
sudo nmap -sS -p- -T4 --min-rate 1000 目标IP
- 参数解析:
-p-:扫描所有端口(1-65535)。--min-rate 1000:每秒至少发送1000个包(激进模式)。
3. 服务与版本探测(Service Detection)
sudo nmap -sV -sC -p 目标端口 -T4 目标IP
-
参数解析:
-sV:探测服务版本。-sC:运行默认NSE脚本(基础安全检测)。-p:指定扫描的端口(如-p 80,443或-p-)。
-
输出示例:
复制
80/tcp open http Apache 2.4.29 |_http-server-header: Apache/2.4.29 (Ubuntu)
4. 操作系统探测(OS Detection)
sudo nmap -O --osscan-guess -T4 目标IP
-
参数解析:
-O:启用OS指纹识别。--osscan-guess:猜测最接近的OS类型(当指纹不匹配时)。
-
输出示例:
Aggressive OS guesses: Linux 3.2 - 4.9 (95%), Linux 5.4 (94%)
5. 漏洞扫描(Vulnerability Scanning)
使用Nmap脚本引擎(NSE)检测漏洞:
sudo nmap --script vuln -p 目标端口 目标IP
-
参数解析:
--script vuln:运行漏洞检测类脚本(如CVE、已知漏洞)。- 可替换为其他脚本类别:
exploit、auth、brute等。
-
输出示例:
| http-vuln-cve2017-5638: | VULNERABLE: | Apache Struts Remote Code Execution (CVE-2017-5638) | State: VULNERABLE | IDs: CVE:CVE-2017-5638
6. 综合扫描命令(一步到位)
sudo nmap -sn -PE -PS80,443 -PA22 -PU53 目标IP && \
sudo nmap -sS -p- -sV -O --script vuln -T4 -oA full_scan 目标IP
- 流程说明:
- 先探测存活主机。
- 存活主机执行全端口扫描+服务版本+OS探测+漏洞检测。
-oA full_scan:输出所有格式的扫描结果(.nmap、.xml、.gnmap)。
7. 高级优化选项
-
绕过防火墙:
sudo nmap -sS -f --data-length 32 --mtu 24 -D RND:5 目标IP-f:分片包。--data-length 32:添加随机数据填充。-D RND:5:使用5个诱饵IP混淆来源。
-
结果保存与查看:
nmap -oN result.txt 目标IP # 保存为文本 nmap -oX result.xml 目标IP # 保存为XML(适合工具解析) grep "open" result.txt # 快速提取开放端口
注意事项
-
权限要求:SYN扫描(
-sS)、OS探测(-O)需 root权限。 -
合法性:未经授权扫描属于违法行为!
-
性能平衡:
- 内网扫描可激进(
-T4)。 - 公网扫描建议降低速度(
-T3)避免丢包。
- 内网扫描可激进(
-
漏洞库更新:定期更新Nmap脚本库:
sudo nmap --script-updatedb
五、收集网站的指纹信息
收集到服务器版本、cms框架、开发语言等,可以去网上搜一下相关信息和有没有漏洞,找一下开源的源代码看看有没有使用
1.在线网站
云悉
潮汐
2.工具类
御剑、wappalyzer(浏览器插件)、御剑web指纹识别
3.网站源代码中找指纹
4.EHole工具
https://github.com/EdgeSecurityTeam/EHole
多个网站探测
单个探测
六、收集敏感信息
1.目录信息收集
7kbscan工具检测
https://github.com/7kbstorm/7kbscan-WebPathBrute
扫描到后台页面,可以试试弱口令,或者字典爆破
也可能扫描到网站的备份文件,可以去下载备份文件拿到网站源代码
dirsearch目录扫描
https://github.com/maurosoria/dirsearch
2.代码管理工具信息泄露
Git导致文件泄露
git init
git add .
git commit -m 'xiaoxu first commit'
git push
git pull
git clone
工具:https://github.com/lijiejie/GitHack
python GitHack.py http://www.openssl.org/.git/ 可以还原网站代码
DS_store导致文件泄露
工具:https://github.com/lijiejie/ds_store_exp
SVN导致文件泄露
1.扫描漏洞:awvs、绿盟的wvss、安恒的明鉴等web漏洞扫描器都能扫描到svn的一些漏洞
2.漏洞利用工具:Seay SVN漏洞利用工具、可以直接获取网站源代码
3.添加网站url
在被利用的网址后面加/.svn/entries,列出网站目录,甚至下载整站
下载地址:https://github.com/callmefeifei/SvnHack
https://www.cnblogs.com/batsing/p/svn-bug.html
下载svn的wc.db文件
3.代码托管平台泄露
https://www.sohu.com/a/251079302_328948
七、信息收集综合利用工具
1.google hack(高级搜索)
Google搜索引擎之所以强大。关键在于它详细的搜索关键词,以下是几个常用的搜索关键词:
基础语法
site:
限定在特定域名或网站内搜索:
site:example.com 关键词
示例:
site:github.com password(搜索 GitHub 上包含 "password" 的页面)
inurl:
搜索 URL 中包含指定关键词的网页:
inurl:admin
示例:
inurl:login.php(查找登录页面)
intitle:
搜索标题(<title>标签)中包含关键词的网页:
intitle:"index of /"
示例:
intitle:"Dashboard" inurl:admin(查找管理员后台)
filetype:
搜索特定文件类型:
filetype:pdf 关键词
示例:
filetype:xls inurl:password(搜索包含密码的 Excel 文件)
intext:
搜索网页正文中包含关键词的内容:
intext:"username"
示例:
intext:"error occurred while processing this request"(查找错误日志)
cache:
查看 Google 缓存的页面内容:
cache:example.com
示例:
cache:example.com/login(查看登录页面的缓存版本)
related:
查找与指定网站相似的网站:
related:example.com
*(通配符)
匹配任意内容:
username:* password:*
------------------------------------------------------
高级组合语法
查找敏感目录或文件
intitle:"index of" "parent directory"
intitle:"index of" .git(查找暴露的 Git 仓库)
查找配置文件或日志
filetype:env DB_USERNAME DB_PASSWORD
filetype:log intext:"error"
查找开放设备或摄像头
inurl:/view.shtml intitle:"Live View"(网络摄像头)
intitle:"webcam 7"(特定摄像头型号)
查找数据库信息
filetype:sql intext:"CREATE TABLE"
intitle:"phpMyAdmin" inurl:"phpmyadmin/index.php"
查找 API 密钥或令牌
"api_key" ext:env
"aws_access_key_id" filetype:txt
排除特定关键词
关键词1 -关键词2
示例:
error -stackoverflow(排除 Stack Overflow 的结果)
2.黑暗搜索引擎(网络空间搜索引擎)
Shodan
FOFA
钟馗之眼
3.ARL灯塔资产收集系统
https://github.com/Aabyss-Team/ARL
八、移动端信息收集
APP逆向工程
pc端、移动端
首先大家要知道一下:一款收集app(抖音、快手之类的)或者一个电脑呢软件,都是有由开发语言编写出来的,开发完成之后,想要做成软件app的形式,需要我们对我们的程序代码和运行环境等进行编译和打包,才能生成这样一款可供用户下载安装的软件,而我们下载这个app,安装到手机或者电脑上的过程其实就是解包的过程,那么这个软件的代码程序就解压到你的手机或者电脑上了,我们双击这个软件或者点击这个app的时候,你会发现,能够使用它的功能了,这是因为刚才解压到你电脑或者手机上的程序运行起来了,提供了这些让你可操作的功能。那么你看,app的代码是不是就跑到你的手机或者电脑上了啊,那你是不是就可以想办法修改这些代码而达到某些目的,或者看看这些代码里面是不是有你需要的一些信息啊,但是这些代码是经过一步编译的、甚至有些app程序为了代码的内部的安全性,会对代码进行加密和混淆,让你不能轻轻松松的看出来代码里面的内容。而我们又想看到,怎么办呢,逆向工程的工作就出现了。
正向开发:开发-->编译-->加密(加固\加壳\混淆)等-->打包
逆向破解:解包-->解密(脱壳\反混淆)-->反编译-->查看内容
apk:
游戏:cocos2d、cocos3d、unity3d
常规app:java、object-c
h5:html5网站打包出来的apk
app分析:
1、逆向分析源代码
2、抓包分析数据包
如果我们想在APP上挖洞的时候,通过我们上面的一些查询方式,找不到的域名,因为域名都在APP里面,那么我们就需要反编译APP,提取相关IP地址,并且有可能会发现大量的接口IP和内网IP,从而有可能获取不少安全漏洞。
微信小程序抓包
https://blog.csdn.net/qq_61081478/article/details/143026273
九、溯源信息收集
200.32.64.73
工具攻击ip,查找定位、IP反查域名、备案号、备案信息、注册人邮箱、电话、姓名、QQ、微信号、微博、支付宝,曾经用过的密码等等信息,很多都是从社工库(SGK)查询到的。
十、漏洞分类
漏洞分类:
按照危害严重程度来分类:高危、中危、低危、信息。
按照类型分类:硬件漏洞、操作系统漏洞、软件漏洞、框架漏洞、代码漏洞
硬件:路由器、交换机等
软件漏洞:mysql、nginx、apache、IIS、redis、ftp工具、ssh等等
框架漏洞:
前端框架:bootstrap、jquery、vue、react等
java框架:struts2(简称s2)、spring、spring cloud等
php框架:thinkphp(简称tp)、laravel、yii等
python框架:django、flask、tornado等
go框架:beego、Echo、Gin等
代码漏洞:web网页代码、app代码、开源系统漏洞、dedeCMS、wordpress、discuz等等
其实所有的漏洞都是代码漏洞。框架漏洞和代码漏洞我们统称web漏洞
浙公网安备 33010602011771号