红队渗透手册之信息收集篇

本文来源：水滴安全实验室

常用方法

1、whois查询

2、收集子域名

3、端口扫描

4、查找真实ip

5、探测旁站及C段

6、网络空间搜索引擎

7、扫描敏感目录/文件

8、指纹识别

0x01 whois查询

1、在线whois查询

通过whois来对域名信息进行查询，可以查到注册商、注册人、邮箱、DNS解析服务器、注册人联系电话等，因为有些网站信息查得到，有些网站信息查不到，所以推荐以下信息比较全的查询网站，直接输入目标站点即可查询到相关信息。

（1）站长之家域名WHOIS信息查询地址

http://whois.chinaz.com/

（2）爱站网域名WHOIS信息查询地址

https://whois.aizhan.com/

（3）腾讯云域名WHOIS信息查询地址

https://whois.cloud.tencent.com/

（4）美橙互联域名WHOIS信息查询地址

https://whois.cndns.com/

（5）爱名网域名WHOIS信息查询地址

https://www.22.cn/domain/

（6）易名网域名WHOIS信息查询地址

https://whois.ename.net/

（7）中国万网域名WHOIS信息查询地址

https://whois.aliyun.com/

（8）西部数码域名WHOIS信息查询地址

https://whois.west.cn/

（9）新网域名WHOIS信息查询地址

http://whois.xinnet.com/domain/whois/index.jsp

（10）纳网域名WHOIS信息查询地址

http://whois.nawang.cn/

（11）中资源域名WHOIS信息查询地址

https://www.zzy.cn/domain/whois.html

（12）三五互联域名WHOIS信息查询地址

https://cp.35.com/chinese/whois.php

（13）新网互联域名WHOIS信息查询地址

http://www.dns.com.cn/show/domain/whois/index.do

（14）国外WHOIS信息查询地址

https://who.is/

2、在线网站备案查询

网站备案信息是根据国家法律法规规定，由网站所有者向国家有关部门申请的备案，如果需要查询企业备案信息（单位名称、备案编号、网站负责人、电子邮箱、联系电话、法人等），推荐以下网站查询

（1）天眼查

https://www.tianyancha.com/

       （2）ICP备案查询网

http://www.beianbeian.com/

（3）爱站备案查询

https://icp.aizhan.com

（4）域名助手备案信息查询

http://cha.fute.com/index

3、利用技巧

（1）DNS解析记录可以反查IP，比较早的解析记录有时可以查到真实IP，需要留意一下。

（2）注册人电话，注册人邮箱等社工信息可以钓鱼或者收集进字典来爆破目标办公系统。

0x02 收集子域名

1、子域名作用

收集子域名可以扩大测试范围，同一域名下的二级域名都属于目标范围。

2、常用方式

子域名中的常见资产类型一般包括办公系统，邮箱系统，论坛，商城等，其他管理系统，网站管理后台等较少出现在子域名中。

首先找到目标站点，在官网中可能会找到相关资产（多为办公系统，邮箱系统等），关注一下页面底部，也许有管理后台等收获。

查找目标域名信息的方法有：

（1）FOFA title="公司名称"

（2）百度 intitle=公司名称

（3）Google intitle=公司名称

（4）站长之家，直接搜索名称或者网站域名即可查看相关信息：

http://tool.chinaz.com/

（5）钟馗之眼 site=域名即可

https://www.zoomeye.org/

找到官网后，再收集子域名，下面推荐几种子域名收集的方法，直接输入domain即可查询

（1）子域名在线查询

https://phpinfo.me/domain/

（2）子域名在线查询

https://www.t1h2ua.cn/tools/

（3）Layer子域名挖掘机4.2（使用方便，界面整洁）：

https://www.webshell.cc/6384.html

（4）Layer子域名挖掘机5.0（使用方便，界面整洁）：

https://pan.baidu.com/s/1wEP_Ysg4qsFbm_k1aoncpg 提取码：uk1j

（5）SubDomainBrute

https://github.com/lijiejie/subDomainsBrute

（6）Sublist3r

https://github.com/aboul3la/Sublist3r

提示：以上方法为爆破子域名，由于字典比较强大，所以效率较高。

（7）IP138查询子域名

https://site.ip138.com/baidu.com/domain.htm

（8）FOFA搜索子域名

https://fofa.so/

语法：domain=”baidu.com”

提示：以上两种方法无需爆破，查询速度快，需要快速收集资产时可以优先使用，后面再用其他方法补充。

（9）Hackertarget查询子域名

https://hackertarget.com/find-dns-host-records/

注意：通过该方法查询子域名可以得到一个目标大概的ip段，接下来可以通过ip来收集信息。

0x03 端口扫描

当确定了目标大概的ip段后，可以先对ip的开放端口进行探测，一些特定服务可能开起在默认端口上，探测开放端口有利于快速收集目标资产，找到目标网站的其他功能站点。

1、Nmap扫描

常用参数，如：

nmap -sV 192.168.0.2

用于扫描目标主机服务版本号与开放的端口

如果需要扫描多个ip或ip段，可以将他们保存到一个txt文件中

nmap -iL ip.txt

来扫描列表中所有的ip。

Nmap为端口探测最常用的方法，操作方便，输出结果非常直观。

2、在线端口检测

http://coolaf.com/tool/port

此方法为在线检测，虽然功能简单，但图形界面十分方便且速度快。

3、端口扫描器

御剑，msscan，zmap等

御剑高速端口扫描器：

https://pan.baidu.com/share/init?surl=Uh-FWsXOUlVUM3ZOpRWoYQ 提取码: czne

填入想要扫描的ip段（如果只扫描一个ip，则开始IP和结束IP填一个即可），可以选择不改默认端口列表，也可以选择自己指定端口。

注意：该扫描器虽然速度快，但线程较高，使用时应当多加注意。

常见端口及对应服务和攻击方式整理如下

0x04 查找真实IP

如果目标网站使用了CDN，那么我们就需要找到它的真实ip

注意：很多时候，主站虽然是用了CDN，但子域名可能没有使用CDN，如果主站和子域名在一个ip段中，那么找到子域名的真实ip也是一种途径。

1、多地ping确认是否使用CDN

http://ping.chinaz.com/http://ping.aizhan.com/

2、查询历史DNS解析记录

在查询到的历史解析记录中，最早的历史解析ip很有可能记录的就是真实ip，快速查找真实IP推荐此方法，但并不是所有网站都能查到。

（1）DNSDB

https://dnsdb.io/zh-cn/

（2）微步在线

https://x.threatbook.cn/

（3）Ipip.net

https://tools.ipip.net/cdn.php

3、phpinfo

如果目标网站存在phpinfo泄露等，可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真实ip

4、绕过CDN

绕过CDN的多种方法具体可以参考

https://www.cnblogs.com/qiudabai/p/9763739.html

0x05 旁站和C段

旁站往往存在业务功能站点，建议先收集已有IP的旁站，再探测C段，确认C段目标后，再在C段的基础上再收集一次旁站。

旁站是和已知目标站点在同一服务器但不同端口的站点，通过以下方法搜索到旁站后，先访问一下确定是不是自己需要的站点信息。

1、站长之家

同ip网站查询

http://stool.chinaz.com/same

2、网络空间搜索引擎

如FOFA搜索旁站和C段

该方法效率较高，并能够直观地看到站点标题，但也有不常见端口未收录的情况，虽然这种情况很少，但之后补充资产的时候可以用下面的方法nmap扫描再收集一遍。

3、Nmap,Msscan扫描等

例如：

nmap -p 80,443,8000,8080 -Pn 192.168.0.0/24

       4、常见端口表

21,22,23,80-90,161,389,443,445,873,1099,1433,1521,1900,2082,2083,2222,2601,2604,3128,3306,3311,3312,3389,4440,4848,5432,5560,5900,5901,5902,6082,6379,7001-7010,7778,8080-8090,8649,8888,9000,9200,10000,11211,27017,28017,50000,50030,50060

注意：探测C段时一定要确认ip是否归属于目标，因为一个C段中的所有ip不一定全部属于目标。

0x06 网络空间搜索引擎

如果想要在短时间内快速收集资产，那么利用网络空间搜索引擎是不错的选择，可以直观地看到旁站，端口，站点标题，IP等信息，点击列举出站点可以直接访问，以此来判断是否为自己需要的站点信息。FOFA的常用语法

1、同IP旁站：ip=”192.168.0.1”

2、C段：ip=”192.168.0.0/24”

3、子域名：domain=”baidu.com”

4、标题/关键字：title=”百度”

5、如果需要将结果缩小到某个城市的范围，那么可以拼接语句

       title="百度"&& region="Beijing"

6、特征：body=”百度”或header=”baidu”

0x07 扫描敏感目录/文件

扫描敏感目录需要强大的字典，需要平时积累，拥有强大的字典能够更高效地找出网站的管理后台，敏感文件常见的如.git文件泄露，.svn文件泄露，phpinfo泄露等，这一步一半交给各类扫描器就可以了，将目标站点输入到域名中，选择对应字典类型，就可以开始扫描了，十分方便

1、御剑

https://www.fujieace.com/hacker/tools/yujian.html

2、7kbstorm

https://github.com/7kbstorm/7kbscan-WebPathBrute

3、bbscan

https://github.com/lijiejie/BBScan

4、dirmap

https://github.com/H4ckForJob/dirmap

5、dirsearch

https://github.com/maurosoria/dirsearch

6、github搜索

0x08 指纹识别

收集好网站信息之后，应该对网站进行指纹识别，通过识别指纹，确定目标的cms及版本，方便制定下一步的测试计划，可以用公开的poc或自己累积的对应手法等。

1、云悉

http://www.yunsee.cn/info.html

2、潮汐指纹

http://finger.tidesec.net/

3、CMS指纹识别

http://whatweb.bugscaner.com/look/

0x09 非常规操作

1、如果找到了目标的一处资产，但是对目标其他资产的收集无处下手时，可以查看一下该站点的body里是否有目标的特征，然后利用网络空间搜索引擎（如fofa等）对该特征进行搜索，如：body=”XX公司”或body=”baidu”等。

该方式一般适用于特征明显，资产数量较多的目标，并且很多时候效果拔群。

2、当通过上述方式的找到test.com的特征后，再进行body的搜索，然后再搜索到test.com的时候，此时fofa上显示的ip大概率为test.com的真实IP。

3、如果需要对政府网站作为目标，那么在批量获取网站首页的时候，可以用上

http://114.55.181.28/databaseInfo/index

之后可以结合上一步的方法进行进一步的信息收集。

0x10 SSL/TLS证书查询

SSL/TLS证书通常包含域名、子域名和邮件地址等信息，结合证书中的信息，可以更快速地定位到目标资产，获取到更多目标资产的相关信息。

https://myssl.com/