0x01 前言

1.什么是信息收集？

信息搜集也称踩点，信息搜集毋庸置疑就是尽可能的搜集目标的信息，包括端口信息、DNS信息、员工邮箱等等看似并不起眼的一些信息都算是信息搜集，这些看似微乎其微的信息，对于渗透测试而言就关乎到成功与否了。

2.信息收集的重要性

信息搜集是渗透测试的最重要的阶段，占据整个渗透测试的60%，可见信息收集的重要性。根据收集的有用信息，可以大大提高我们渗透测试的成功率。

3.信息收集分为几种方式

主动收集：通过直接访问、扫描网站，这种流量将流经网站

被动收集：利用第三方的服务对目标进行访问了解，比如：Google搜索、Shodan搜索等

信息收集，大概分为以下几类:  

域名以及ip信息收集资产测绘平台信息收集搜索引擎信息收集敏感信息收集

0x02 域名ip信息收集：

域名介绍: 

   简单的说域名是因为IP地址记忆过于复杂，便使用域名来进入网站，IP地址是一个纯数字标识，人们很难记忆，为了便于人们快速输入和访问，在IP地址基础上，发展出了一种可符号化的地址方案，这样的符号化地址方便人们记忆，每一个符号化地址都对应一个特定的IP地址，这个域名数字IP地址相对应的字符地址就是域名。

https://beian.miit.gov.cn/#/Integrated/indexhttps://icp.chinaz.com/https://www.beian.gov.cn/portal/registerSystemInfo

天眼查  https://www.tianyancha.com/

爱企查  https://aiqicha.baidu.com/

企查查  https://www.qcc.com/

http://whois.chinaz.com/https://who.is/whoishttps://whois.aizhan.com/

子域名简单介绍：

  子域名：域名按照层级可以分为顶级域、主域名、子域名等 。例如.net 是顶级域，主域名是http://sony.net，子域名则是在主域名的前面添加自定义名称，例如像 http://sony.net 、http://mail.sony.net这一类都可统称为子域名。

例如：很多人都误把带www当成一级域名，把其他前缀的当成二级域名；或者把二级域名当成一级域名。这些都是错误的。以http://sony.net为例，正确的域名

划分为：.net 顶级域名/一级域名，http://sony.net 二级域名，http://s.sony.net 三级域名，http://s.s.sony.net 四级域名

子域信息收集阶段：

主动收集的几种方式

字典枚举置换扫描域传送漏洞DNSSECDNS缓存

1.字典枚举

字典枚举即利用常见的子域名字典，进行暴力破击，最终获得有效的子域名。这种方法有比较大的局限，能收集到多少子域，取决于字典的覆盖程度，同时还有比较致命的缺点，即会造成较大的流量，可能会让目标系统的安全产品造成告警。

推荐几款好用的子域名枚举检测工具    

工具地址 https://github.com/shmilylty/OneForAll工具地址 https://github.com/projectdiscovery/subfinder工具地址 https://github.com/OWASP/Amas工具地址 https://github.com/euphrat1ca/LayerDomainFinde

项目地址：https://github.com/infosec-au/altdns

3.域传送漏洞

# 1.nslookup命令进入交互式shell$ nslookup
# 2.server命令 参数设定查询将要使用的DNS服务器$ server xxx.com
# 3.如果漏洞存在的话，可以使用ls命令列出所有域名$ ls
# 4.退出$ exit

在Linux下，可以使用dig命令来发送DNS请求，这里只需要发送axfr类型的DNS请求，如果存在该漏洞，则会返回所有解析记录。

dig @target_DNS_server_IP axfr 查询的域名

dnswalk your_domain.

4.DNSSEC

DNSSEC，即域名系统安全扩展，主要功能是通过建立信任链来保护DNS中数据的完整性和真实性。由于DNSSEC处理不存在域名的方式，可以遍历DNSSEC域并枚举该域中的所有域名

apt-get install ldnsutils

CDN简单介绍

CDN：全称Content Delivery Network，即内容分发网络，CDN的基本原理是广泛采用各种缓存服务器，将这些缓存服务器分布到用户访问的网络中，在用户访问网站时，由距离最近的缓存服务器直接响应用户请求。

在收集ip前，首先需要确认目标网站是否使用CDN，可使用多地ping的方式。如使用CDN，则需要绕过CDN寻找真实ip，推荐以下几种方式：

在线ping检测平台

平台名称 http://ping.chinaz.com/        https://www.wepcc.com/        https://site.ip138.com        https://webiplookup.com/

其他方式

1.尝试找出cdn背后的真实ip，需要在kali上运行

项目地址：https://github.com/3xp10it/xcdn

2.域名ip：很多主站会挂CDN，但分站不会，有些分站跟主站在同一台服务器或者同一个C段内，就可以通过查询子域名对应的 IP 来查找。

3.网络空间搜索引擎：这些引擎收录的ip可能是真实ip。

4. 旁站ip：用whios查询管理员其它的域名，可能与目标域名在同一个服务器，并且未做cdn。

5.利用SSL证书寻找真实原始IP：在https://crt.sh上查找目标网站SSL证书的HASH，然后再用Censys搜索该HASH即可得到真实IP地址。

6.内部邮箱：一般邮件服务器在内部，没有CDN解析，邮件返回的域名IP可能是真实IP。

7.如果目标站点有自己的APP，通过抓取APP请求来获取ip

8.二级域名法：目标站点一般不会把所有的二级域名放cdn上。通过在线工具如站长帮手，收集子域名，确定了没使用CDN的二级域名后。本地将目标域名绑定到同IP（修改host文件），如果能访问就说明目标站与此二级域名在同一个服务器上；如果两者不在同一服务器也可能在同C段，扫描C段所有开80端口的IP，然后挨个尝试

9.nslookup法：找国外的比较偏僻的DNS解析服务器进行DNS查询，因为大部分CDN提供商只针对国内市场，而对国外市场几乎是不做CDN，所以有很大的几率会直接解析到真实IP。

10.Ping法：直接ping example.com而不是www.example.com，因为现有很多CDN厂商基本只要求把www.example.com cname到CDN主服务器上去，那么直接ping example.com有可能直接获得真实IP。

02 2.资产测绘平台信息收集

FOFA介绍

FOFA是一款非常强大的搜索引擎，FOFA（网络空间资产检索系统）是世界上数据覆盖更完整的IT设备搜索引擎，拥有全球联网IT设备更全的DNA信息。探索全球互联网的资产信息，进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。相对于shodan来说FOFA的优点就是更加本土化，拥有更多的域名数据，建立了全球最大的资产规则集，而且现在已经更新了识别蜜罐的功能。

FOFA基础语法

详细语法规则请参考FOFA官网https://fofa.info/，以下仅以实战角度出发总结常用语法。

常用语法如下：

1. title网站标题

title="beijing" 从标题中搜索“北京”

例如我们要搜索title中包含微步社区的资产。

title="x情报社区"

2. body页面内容

body可以通过页面中包含的特定字符串来搜索资产。

同样可以通过body定位到微步资产。

3. domain域名

搜索域名中包含threatbook.com的资产，此方法相当于子域名的搜索。

domain="threatbook.com"

通过fofa搜索icon资产

icon是网站的图标也就是每个网站title上显示的图片

例如微步社区

下载保存icon图片

FOFA搜索可以将下载的文件直接拖进来。

FOFA会自动计算icon的hash值，然后通过hash值进行搜索资产。

icon_hash="-2131605470"

通过icon可以搜索到所有使用了相同icon的站点。

通过fofa查询JavaScript文件

通过页面中包含的js文件进行查询定位，比如微步社区，右键空白处查看源代码。

语法：js_name="/public/asset/file/sensorsdata.min.js"

通过使用FOFA规则列表搜索CMS资产

指纹是指网站CMS指纹识别、计算机操作系统以及web容器的指纹识别等。

应用程序一般在html、js、css等文件中包含一些特征码，这些特征码就是所谓的指纹。当碰到其他网站也存在次特征时，就可以快速识别出该程序，所以叫做指纹识别。

常见的CMS有Dedecms（织梦）、Discuz、PHPWEB、PHPWind、phpcms、ecshop、dvbbs、siteweaver、aspcms、帝国、Z-Blog、WordPress等

识别一些主流CMS工具有：御剑web指纹识别、whatweb、webrobo、椰树、轻量web指纹识别等。

在线网址:

• Bugscaner:  http://whatweb.bugscaner.com/look/云悉指纹:  http://www.yunsee.cn/figer.htmlwhatweb:  http://whatweb.net/

结合上面通过特征搜索同类别cms

例如赞片cms

在源代码中查找存在这个路径js的网站

0x03 搜索引擎信息收集：

Google搜索语法

Google是一款十分强大的搜索引擎，黑客们常常借助它搜索网站的一些敏感目录和文件，甚至可以利用它的搜索功能来自动攻击那些有漏洞的网站；而有些人可以通过搜索把某个个人的信息，包括住址、电话号码、出生年月等都可以搜索出来；当然我们在日常的生活中正确的借助Google搜索也可以更加高效的找到我们需要的东西

基本语法

AND

谷歌的默认搜索是and逻辑，意思就是，我们在输入关键字后进行搜索时，如输入：“program google”后，会搜出包含“program”和“google”的文件内容，如图1。

对于一个搜索引擎来说，进行搜索的时候是要搜索到匹配到所有关键词的页面，还是包含关键词中的任意关键词就可以，取决于一个搜索引擎的一些特别算法，称之为搜索引擎的布尔逻辑默认值。

OR：两者皆可

而google就是用and作为默认逻辑（搜索到所有的关键词），当然这个前提是我们没有输入一些特殊的命令。如果你不确定你要搜索的内容，或者你想搜索两个中的任意一个，那么就要使用关键词“OR”。注意：OR是大写的，小写是不起作用的，而且，每一个关键词与“OR”之间是有一个空格的，搜索结果如下

当然，可以预想的是，google的结果要比program多得多，所以结果第一页全是有关google的内容。此外，还可以借助计算机体系语言中的“|”来代替“OR”，效果是一样的。

""：一刻都不能分割

当然，如果你希望搜索“programgoogle”的内容，而不希望这两个单词之间有任何其他的内容，那么就要使用双引号把搜索的内容组成一个词组"programgoogle"来达到目的。如图3所示。　

如上图所示，结果中的programgoogle都是在一起的，没有分割。当然这样的结果比较少，只有2740个，但是看图1，结果却有7亿多个。而且，大部分搜索引擎都有智能断句的功能，如果没有特殊的命令，搜索引擎会一定量的根据大众的语言使用习惯来判断你要搜索什么，而这样的做法，不仅仅没有使搜索引擎显得不听话，反而对大众来讲搜索引擎变得十分智能和高效！

-：不想看到你

但是如果我们只想看到“program”的内容，而不希望看到“google”的内容，就可以把“-”（减号或者破折号）应用到搜索当中去，语法为“program -google”，注意，“-”之前是有一个空格的，而其后却是和下一个关键词是紧紧相连的！搜索的结果如下图4所示。可以看得到结果中都会包含program，而不包含google

“~”：差不多也可以

有时候，用户可能会觉得在搜索的时候丢失掉一些重要的网页，因为用户使用的关键词未必是这个信息的唯一表达方式，这时候，就需要使用同义词运算符~了。使用它的时候，Google会帮我们进行同义词的匹配搜索。

?”和“*”：占位通配符

除了上述字符之外，一些搜索引擎支持一种叫做“stemming”（填充）的技术。Stemming是指在查询的关键词中添加一些通配符，通常是“*”，有时候也可能是“？”，这些通配符的作用是要求搜索引擎进行查询是可以返回多个不同的结果。其中通配符代表占位，可以匹配其他任意字母和单词，而其他的字或词组与用户输入的相同。如我们想要搜索“Lionel Messi”的内容，却忘记了第一个单词的一些拼写，就可以输入“"l*Messi"”进行查询，注意：此处整个字符串是要用一个英文半角双引号括住的！结果如下图所示。　

google搜索引擎的基本规则

Google hack语法

关键字              说明site               指定域名inurl              URL中存在关键字的网页intext             网页正文中的关键字filetype           指定文件类型intitle            网页标题中的关键字link               link:baidu.com即表示返回所有和baidu.com做了链接的URLinfo               查找指定站点的一些基本信息cache              搜索Google里关于某些内容的缓存例子：1、找管理后台地址site：xxx.com intext:管理|后台|登陆|用户名|密码|系统|账号site：xxx.com inurl:login/admin/manage/manager/admin_login/systemsite：xxx.com intitle:管理|后台|登陆2、找上传类漏洞地址：site:xxx.com inurl:filesite:xxx.com inurl:upload3、找注入页面:site:xxx.com inurl:php？id=4、找编辑器页面：site:xxx.com inurl:ewebeditor5、找登录页面site:xxx.com inurl:"/admin/login.php"6、查找含有username或password的xls文件filetype:xls "username | password"

0x04 敏感信息收集：

github上寻找敏感信息

在Github上查询相关敏感信息，如数据库连接信息、邮箱密码、uc-key、阿里的osskey，有时还可以找到泄露的源代码等

利用工具：https://github.com/UnkL4b/GitMiner

SVN简介

是一个开放源代码的版本控制系统，通过采用分支管理系统的高效管理，简而言之就是用于多个人共同开发同一个项目，实现共享资源，实现最终集中式的管理

.svn文件夹

svn文件是subversion的版本控制信息文件
当某个目录处于subversion的版本控制时，在这个目录中就会.svn这个文件夹，这个.svn文件夹中的文件就是一些版本信息文件，供subversion使用，一般不要人为去改这些文件

SVN泄露漏洞

当开发人员使用 SVN 进行版本控制，对站点自动部署。如果配置不当,可能会将.svn文件夹直接部署到线上环境。这就引起了 SVN泄露漏洞

利用工具：https://github.com/admintony/svnExploit

邮箱信息收集

（1）通过扫描c段找到入口

我们拿到目标网站的时候，首先要先从MX记录域名找到他的真实ip地址（某些目标可能是的是第三方邮件服务器，这种情况mx记录没啥用了）；当我们拿到目标网站的时候，首先要先从MX记录域名找到他的真实ip地址（某些目标可能是第三方邮件服务器，这种情况mx记录没啥用了）；然后针对这个ip地址的c段进行扫描（25、109、110、143、465、995、993端口），一般情况下都很容易找到目标的邮件服务器入口。

（2）通过扫描子域名的的方式找到邮件入口

这里扫描子域名的工具有很多，如Sublist3r、TeeMO、LangSrcCurise、挖掘机等

（3）通过搜索引擎爬取

Google hack 搜索；

百度、搜狗、360、bing。

site:target.com intitle:"Outlook Web App"

site:target.com intitle:"mail"

site:target.com intitle:"webmail"

Shodan、fofa、zoomeye搜索等。

批量收集目标邮箱的一些常规途径

https://hunter.io

http://www.skymem.info/

https://www.email-format.com/i/search

从搜索引擎、空间搜索引擎、社交、招聘网站等搜邮箱的方式。

工具地址：https://github.com/laramies/theHarvester

这款工具默认集成了很多 api,通过这些接口我们可以很方便快捷的去批量抓取目标邮箱。因为api都是默认的，有些没有填，所以结果比较少，因此在实战过程中配合其他工具搜索，然后结合汇总最终的查询结果。

验证邮箱

在收集邮箱之后，我们要对邮箱进行验证，因为有些邮箱目标企业人员已经放弃或不用（离职，职位调动等）。

1）通过mailtester.com可以查询邮箱地址是否存在。

https://mailtester.com/testmail.php

（2）verifyemail这款工具可批量验证邮箱。

https://github.com/Tzeross/verifyemail

邮箱爆破

这种方式的弱口令爆破只适用于目标企业自己的邮件服务器如owa等 像百度腾讯阿里网易的邮箱不优先考虑。

用到的工具medusa、hydra、SNETCracker、APT34组织 owa爆破工具等。

另外邮箱用户名与密码往往还会使用公司简称+2019，2020等社工口令，多一个字典就多一份成功率。

工具地址：https://github.com/shack2/SNETCracker

端口扫描

知道渗透对象的ip信息后，要想收集到该主机上运行了什么样的程序，需要通过端口扫描技术，只有知道运行了什么样的服务，才会明白有什么样的漏洞可以利用。

Windows系统自带的 Telnet 命令，可以用来探测目标主机的端口是否开放。

格式：telnet IP 端口

出现下面这种响应则表示端口未开放：

出现下面这种响应则表示端口处于开放状态：

出现这种情况说明tlenet服务未开启，在windows功能处开启服务

端口扫描工具

1. Nmap

nmap（Network Mapper）是一个网络扫描和嗅探工具，-p参数指定扫描的端口。

工具地址：https://nmap.org/

2.Masscan

masscan是一个快速端口扫描工具，-p参数指定扫描的端口。

工具地址：https://github.com/robertdavidgraham/masscan

几种扫描工具的原理

Telnet 使用完整的三次握手建立链接，常用于单个端口的测试。Masscan 只发送SYN包，如果对方返回 ACK+SYN 就说明端口开放。Nmap 默认使用SYN扫描，可以通过修改参数来修改扫描的方式。

敏感目录

网站目录和敏感文件扫描是网站测试中最基本的手段之一。如果通过该方法发现了网站后台，可以尝试暴库、SQL注入等方式进行安全测试；如果发现敏感目录或敏感文件，能帮我们获取如php环境变量、robots.txt、网站指纹等信息；如果扫描出了一些上传的文件，我们甚至可能通过上传功能（一句话恶意代码）获取网站的权限。

工具地址：https://github.com/H4ckForJob/dirmap工具地址：https://github.com/maurosoria/dirsearc

原文始发于微信公众号（狐狸说安全）：WEB安全之信息收集篇（1）基础篇