如何做到更加细致的信息搜集(下)

上一篇主要讲了框架(cms)，网站搭建信息，子域名怎么进行搜集

继上文：

端口，目录，旁站，爆破需要的信息搜集，谷歌语法。

端口信息搜集

在说端口信息搜集之前，有一个注意点，就是我们得找到真实的ip。这就要扯到CDN了，关于CDN的知识这里不细说，大概就是让你找不到真实ip的意思。这里只讲怎么绕过CDN.

如何绕过CDN

在绕过之前，首先要提一下怎么判断这个网站有没有使用CDN技术，没有使用这个技术，那我们就完全不需要绕过。

检测cdn

超级ping

若是ping出来的ip不唯一，则使用了cdn技术。

http://ping.chinaz.com

https://ping.aizhan.com/

windows命令nslookup

nslookup www.baidu.com

要是存在多个ip，就可能存在cdn

工具直接查询

https://www.cdnplanet.com/tools/cdnfinder/

绕过CDN

超级ping子域名

有些企业的业务比较多，还有就是成本原因，可能就只有主站使用了CDN技术，这时我们去查子域名就好。

邮箱发送携带真实ip

邮箱注册页面，或者订阅页面，发送给咋们的邮箱信息，会带着真实ip

国外地址请求

https://tools.ipip.net/cdn.php

测试文件泄露

例如phpinfo中携带真实ip地址

空间测绘

https://hunter.qianxin.com/

https://fofa.info/

曾在空间测绘里面找到一个诈骗网站的真实ip地址

DNS历史记录

https://dnsdb.io/zh-cn/

常见端口的识别

我们搜集端口信息，也一定要记住一些常见端口是些什么，在网上找到这位师傅的一篇文章，如有

https://www.cnblogs.com/defifind/p/11696551.html

端口搜集常见的工具：

nmap：https://nmap.org/

masscan：https://github.com/robertdavidgraham/masscan

naabu：https://github.com/projectdiscovery/naabu

要是扫描端口遇到防火墙可以试试下面这几个方法。

空间测绘

推荐一个网站：https://search.censys.io/

真的超级好用，我昨天开的端口，第二天用网站搜索的时候，竟然发现已经记录上去了。

还有其他空间测绘网站，之前都有提过，不细说了。

js文件泄露

之前有遇见js文件里泄露了好多端口的，但是写文章的时候没找到在哪。不过记住，经常翻翻js文件或许有惊喜。

谷歌语法

site：xxx.com link:xxx.com filetype: doc

目录收集

注意waf

扫目录的时候一定要这注意扫描的频率，一定一定要注意，还有渗透测试的时候一定要看明白，允不允许扫描目录，扫坏了，那就GG。

常用工具推荐

dirsearch:https://github.com/maurosoria/dirsearch

7kbscan:https://github.com/7kbstorm/7kbscan-WebPathBrute

dirmap:https://github.com/H4ckForJob/dirmap

御剑

工具也有很多，但是再多的工具，也要适当的使用，要不然进去了，真的不太值当。（本文仅供学习使用，造成的后果自行承担，谢谢）

观察框架结构

例如你的用户界面是

user_index，然后我们就可以猜测管理员的用户界面是啥，有没有可能是admin_index。

根据框架找目录

上一篇文章的第一个搜集信息就是识别框架(cms)，当我们知道是这个框架之后，我们就可以去网上搜素相关的源码文件，不需要审计代码，直接按着结构去访问。

例如discuz的后台admin.php

我只是举个小例子，其实还有一些信息漏洞的文件路径，直接访问，就是漏洞。

根据谷歌语法

site：xxx.com link:xxx.com filetype: doc intile:后台

旁站

有些网站会同时搭建好几个网站，我们要是利用旁站进攻，只要能拿到权限，也相当于拿下了我们的目标机器。之前一个bc网站，一个服务器搭建了七个旁站。

https://www.webscan.cc/

http://s.tool.chinaz.com/same

爆破需要的信息搜集

一般在其他攻击面没有利用点，剩下一个后台登录界面了，只能测试爆破密码的一种利用场景。

我们需要收集什么东西呢，邮箱，收集，姓名，生日，建站日期，备案信息，对于企业重要的日期，测试人员的信息等等。注意平常字典的收集。

whois信息

whois信息可以获取关键注册人的信息，包括注册商、联系人、联系邮箱、联系电话、创建时间等

http://whois.chinaz.com/

微步：https://x.threatbook.cn/

https://who.is/

备案信息

https://icp.chinaz.com/

https://www.beianx.cn/

在正常测试中，请求里面泄露出来的私密信息

没找到图！！！之前在某次测试，发送请求，会显示订单信息，有一个订单信息泄露漏洞，不过泄露的不多，只是个中危，但是我注意到在返回包中包含了一个系统管理员的用户名，因为订单需要管理员同意，同意之后，就会携带管理员名称。最后找出三个管理员账号。再通过密码爆破，获得三个弱口令漏洞。后台泄露大量的用户信息。

其他搜集渠道

qq群

qq群是个好兄弟，有啥东西它是真的给啊，某次混进小公司群，公司所有员工信息，资产信息，管理员信息，都有。

github

有些开发人员会把携带账号密码的源码公布上来。

谷歌语法

site：xxx.com  filetype: doc filetype: pdf

之前挖掘edu的时候，信息泄露，学号，身份证号。

js文件

之前说过，有些运维会把账号密码放进源代码里，可能是为了方便吧，方便他自己，也方便我们。

外包公司

目标没渗透下来，渗透下来他的外包公司，有个sql注入，拿到管理员账号和密码，然后，搞定目标。有些外包公司会把数据都放在一个数据库里面。

微信公众号，微信小程序

这个遇到泄露的少，但是发布的链接里面有时候会有一些漏洞。

暂时只能想这么多了。

字典生成工具

https://github.com/WangYihang/ccupp

https://github.com/ort4u/PwdBUD

https://github.com/bit4woo/passmaker

其他的可以自己去找，但是都差不多，能爆破出来最好，爆破不出来也不要泄气，说明人家运维真的在好好工作。

谷歌语法

site：可以限制你搜索范围的域名.

inurl：用于搜索网页上包含的URL

intext: 只搜索网页包含的文字

filetype：搜索文件的后缀或者扩展名

intitle：限制你搜索的网页标题.

link: 可以得到一个所有包含了某个指定URL的页面列表.

经常组合使用 site:xxx.com intitle:admin

WEB信息搜集结束啦，希望看官多多点关注