浅谈前期信息收集

本文首发于 ichunqiu

0x00 导图


信息收集

0x01 静默收集(目标无日志记录)

搜索引擎


Google hacking

google基本语法

Index of/  使用它可以直接进入网站首页下的所有文件和文件夹中
site:  site:baidu.com将返回所有和这个站有关的URL
intext:  将返回所有在网页正文部分包含关键词的网页
intitle:  将返回所有网页标题中包含关键词的网页
cache:  搜索google里关于某些内容的缓存
define:  搜索某个词语的定义
filetype:  搜索指定的文件类型,如:.bak,.mdb,.inc等
info:  查找指定站点的一些基本信息
inurl:  搜索我们指定的字符是否存在于URL中
Link:  link:baidu.com可以返回所有和baidu.com做了链接的URL


+  把google可能忽略的字列如查询范围。
-  把某个字忽略,例子:新加 -坡。
~  同意词。
.  单一的通配符。
*  通配符,可代表多个字母。
""  精确查询。

搜索c段
site: 122.122.122.*

bing

baidu

twitter

资产搜索


zoomeye限制
Shodan
FOFA Pro
NOSEC 微步在线
谛听  
傻蛋

信息

综合信息


WHOIS中包含域名注册者的姓名,邮箱 ,电话,地址,dns服务器 等信息 获得一个信息可继续搜索更多信息 例如获得邮箱可反查,邮箱可百度,bing搜索足迹,假如搜到知乎可进一步获取个人信息,等

tools

站长工具 - 站长之家

aizhan爱站网

t00ls工具

站长帮手   

robtex域名信息搜集 

WHOIS Search, Domain Name, Website, and IP Tools - Who.is

7c去查网

ClouFlare   

Dns


DnsDB

DnsTree

在线子域名


phpinfo

旁站c段


phpinfo

Webscan(旁站、C段) 
 
旁站查询   

历史


网站归档 

乌云 历史洞 子域名等

证书 子域名


Censys

[crt.sh Certificate Search](https://crt.sh/)

ip


ip138(ip查询)  

ip-address  

ipip(ip查询)  

淘宝IP地址库

国家IP分布

其他


网站CDN查询

指纹库


破晓指纹识别 现以打不开  
 
云悉指纹扫描

网站指纹查询 

一点寒CMS识别   
BugScanner CMS指纹识别

chrome 插件 wappalyzer firefox 插件 whatruns

whatruns

备案 


备案查询(工信部)

备案查询(公安部)

IPC备案查询  

0x02 非静默收集

文件泄露


crossdomain.xml

robots.txt cross

dns域传送


DNS服务器使用的TCP/UDP端口号是53

最常用的DNS记录有以下几类

  A记录       IP地址记录,记录一个域名对应的IP地址

  AAAA记录    IPv6 地址记录,记录一个域名对应的IPv6地址

  CNAME记录   别名记录,记录一个主机的别名

  MX记录    电子邮件交换记录,记录一个邮件域名对应的IP地址,

  NS记录      域名服务器记录 ,记录该域名由哪台域名服务器解析

  PTR记录     反向记录,也即从IP地址到域名的一条记录

    TXT记录     记录域名的相关文本信息

win下nslookup

nslookup

交互下 最后无法列出为不存在该漏洞

linux下 dig

dig @dns服务器 axfr 目标域

root@root:~# dig @dns.nwpu.edu.cn axfr nwpu.edu.cn
 
; <<>> DiG 9.9.1-P1 <<>> @dns.nwpu.edu.cn axfr nwpu.edu.cn
; (1 server found)
;; global options: +cmd
nwpu.edu.cn.            86400   IN      SOA     dns1.nwpu.edu.cn. hxn.nwpu.edu.cn. 2014041801 21600 3600 604800 10800
nwpu.edu.cn.            86400   IN      NS      dns.nwpu.edu.cn.
nwpu.edu.cn.            86400   IN      NS      dns1.nwpu.edu.cn.
nwpu.edu.cn.            86400   IN      NS      dns2.nwpu.edu.cn.
nwpu.edu.cn.            86400   IN      NS      dns3.nwpu.edu.cn.
nwpu.edu.cn.            600     IN      MX      5 nwpu03.nwpu.edu.cn.
nwpu.edu.cn.            600     IN      MX      15 nwpu03.nwpu.edu.cn.
*.nwpu.edu.cn.          86400   IN      A       222.24.192.99
aisheng.nwpu.edu.cn.    86400   IN      CNAME   www.nwpu.edu.cn.
amec.nwpu.edu.cn.       86400   IN      NS      netserver.amec.nwpu.edu.cn.
(省略大量的记录...)
nwpu.edu.cn.            86400   IN      SOA     dns1.nwpu.edu.cn. hxn.nwpu.edu.cn. 2014041801 21600 3600 604800 10800

nmap 也有脚本

nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=https://www.test.com -p 53 -Pn 192.168.1.2

综合收集


提莫

三大模块 搜索引擎 三方 枚举

悟空扫描器

https://github.com/Canbing007/wukong-agent

利用全网IP扫描http端口


在访问IP的80或者8080端口的时候,可能会遇到配置了301跳转的,可以在header里获取域名信息。全网扫描结果如下:

https://scans.io/study/sonar.http

敏感信息泄露


包括 子域名 用户名 密码 邮箱 源代码 等

https://github.com/repoog/GitPrey (GitHub敏感信息扫描工具) https://github.com/FeeiCN/GSIL (GitHub敏感信息) https://github.com/MiSecurity/x-patrol https://github.com/lijiejie/GitHack https://github.com/dxa4481/truffleHog (GitHub敏感信息扫描工具,包括检测commit等) https://github.com/0xbug/Hawkeye (企业资产GitHub泄露监控)

关键字
"baidu.com" API_key
"baidu.com" secret_key
"baidu.com" login 
"baidu.com" aws_key
"baidu.com" password 
"baidu.com" FTP
"baidu.com" github_token
 ALIYUN_ACCESS_KEY
 ALIYUN_ACCESS_ID
各种爆的信息泄露 关键字

.svn文件夹泄漏利用工具

seay svn
http://pan.baidu.com/s/1mrNpB  或 	https://github.com/shengqi158/svnhack

BBScan是一个迷你的信息泄漏批量扫描脚本

https://github.com/lijiejie/BBScan

BBScan.py –full-scan –no-crawl –no-check404 -t2 -p50 -f iqiyi.http.txt bbscan

企业被搜索引擎收录敏感资产信息监控脚本:员工邮箱、子域名、Hosts https://github.com/laramies/theHarvester

集成化的综合搜索引擎,能够抓取被搜索引擎隐藏的url,并交由sqlmap、nmap扫描 https://github.com/Ekultek/Zeus-Scanner

目录爆破


御剑 [7kbscan-WebPathBrute 1.5.6] (https://mega.nz/#!pNFQ0JYT!AHFfiw76-A7KdpnvBUK6_9uPPbICg0Z4WqNkzjbAq00)

爬虫

本地工具子域


layer

layer

subdomainBrute lijiejie:https://github.com/lijiejie/subDomainsBrute

7kbscan domain gather

7kbdomain

wydomain猪猪侠

端口


nmap -v -A -p1-65535 -iL target.com.txt -oX target_all.xml

0x03 cdn

多地ping


如果ip一样 很有可能没cdn

最简单的办法 修改本地hosts文件,强行将域名与IP解析对应

很多厂商可能让www使用cdn,空域名不使用CDN缓存

分站

国外ip访问

mx 邮件


注册验证邮箱, rss订阅, 忘记密码 邮件发送的ip 有可能但邮件服务器一般与主站分离 Web版的邮件管理,可以通过常看网页源代码看到IP

历史纪录(未使用cdn)


https://dnsdb.io/zh-cn/

https://x.threatbook.cn/

http://toolbar.netcraft.com/site_report?url=

http://viewdns.info/

phpinfo敏感文件等

插远程图片的方法,查看服务器的来源

网站banner


例如 网站标题 title 用fofo 钟馗搜索

cdn误区

http://rinige.com/index.php/archives/772/

获取cdn 背后的ip

http://bobao.360.cn/learning/detail/211.html

0x04 测试标准

https://www.processon.com/view/583e8834e4b08e31357bb727

0x05 总结

信息收集决定测试漏洞数量,需要耐心加细心

0x06 扩展

国外数据泄露收集与查询平台

https://haveibeenpwned.com/PwnedWebsites

https://canar.io/

http://breachalarm.com/

https://pwnedlist.com/

https://archive.fbi.ninja/

https://cryptome.wikileaks.org/frontpage

https://cryptome.org/

http://databases.land/

https://vigilante.pw/

0x07 参考

	freebuf 
	mottoin
	安全客
	先知
	t00ls
	i春秋
	CNNETARMY
	nmask
	xiaix
	嘶吼
	圈子
	storm
	lijiejie
	scanners-box
Written on September 25, 2017