漏洞挖掘-信息收集的技巧及相关工具推荐(入门向)

公众号现在只对常读和星标的公众号才展示大图推送，

建议大家把ElyiumSec设为星标，否则可能就看不到啦！

-------------------------------------------------------

 前言：本人菜狗一枚，最近忙完各种攻防项目总算有点空闲时间，本着交流分享的想法写下本文，同时也是对自己掌握的知识进行梳理，如果各位师傅对于渗透信息收集有不同想法的也欢迎来交流，文末群二维码

 众所周知，渗透测试的本质就是信息收集

 如果把漏洞挖掘比作正义侠客在深宅大院间飞墙走壁、劫富济贫，那么信息收集就是前期的踩点。搞清楚目标宅点所处位置，开了几个窗几个门，用的什么材料什么结构，了解得越多就对自己越有利，也更好地对症下药。

（就是做个比喻而已，无不良导向，狗头保命）

本人信息收集是由少到多，由简到繁的顺序，步步深入，步步精细，大致如下

          子域名收集 -> 端口扫描-> 目录扫描-> JS提取

然后辅以其他小技巧，像是谷歌语法，一点点把掌握的信息范围扩大，以达到更好的渗透效果

一、子域名收集

2）Oneforall工具

python oneforall.py --target xxx.com run

python oneforall.py --targets ./domain.txt run

推荐工具：Nmap、Masscan 

nmap -sS 192.168.96.4 //SYN扫描,使用最频繁，安全，快nmap -Pn 192.168.96.4 //目标机禁用ping，绕过ping扫描nmap -p 3306,80 127.0.0.1 //对指定端口进行扫描nmap -p 1-100 127.0.0.1 //对某个范围端口进行探测nmap -p- 127.0.0.1  //对所有端口进行探测

扫描速度快，号称是最快的互联网端口扫描器

常用命令：

masscan 127.0.0.1 -p 0-9999  //指定ip和端口范围进行扫描masscan -p80,8080-8100 10.0.0.0/8 //扫描指定网段范围的指定端口

Masscan扫描速度快，但只能扫描主机和端口

http://coolaf.com/tool/porthttps://tool.cc/port/

三、目录扫描

项目地址：

https://github.com/foryujian/yjdirscan

2）DirSearch

可批量扫描url，支持结果输出，可自定义字典，可指定脚本格式，多线程处理，功能较为强大

常用参数：

-u 指定扫描的url-e 指定要扫描的脚本类型（如下图，指定扫描php的脚本类型）-i 指定输出的响应码类型（如下图，只输出响应码为200、301、302的结果）-l 指定txt文件进行批量扫描-w 指定自定义字典进行扫描

扫描结果自动保存到工具目录下的reports文件夹中

项目地址：

https://github.com/maurosoria/dirsearch

*御剑专业版和DirSearch的对比

 要说推荐御剑专业版的原因，那图形化操作必然算一个。直接导入自定义字典，一键开扫，相当省心。但是缺点也是比较明显，不支持批量扫描，扫描的结果也不能导出，在某些比较繁杂的信息收集场景下显得有点力不从心

我们来举个例子，经常挖洞的小伙伴对下面这个页面一定不陌生，肯定也都试过去扫它的目录，相信也是毛都扫不出来

 因为人家完整的url是长这样的，我们常见的登录页面基本都是https://www.xxxx.com/login的格式，而这个登录页面/login和域名之间还隔着一层目录。也就是说常规的目录工具遇到这种情况只能望洋兴叹

https://github.com/ffuf/ffuf/

  Jsfinde算是大家比较熟悉的js提取工具了，直接使用上面例子中的url进行爬取，可以看到该接口也被提取了出来，相当省心省时

项目地址：

https://github.com/Threezh1/JSFinder

2）URLfinder

  致敬JSfinder的作品，但在jsfinder的上做了改进，并拓展了一些功能，例如：多层深度爬取、url响应码标识、批量url爬取、爬取结果输出为html等等。以上功能都是相当的实用，从以下爬取演示可以看到，-s输出所有响应码，-m指定3级深度爬取，输出的结果也是相当的直观

项目地址：

https://github.com/pingc0y/URLFinder

3）JSscan

   基于JSfinder二次开发的工具，在JSfinder的基础上增加了三档深入爬取的功能，url进行响应码高亮标识，支持输出爬取结果。爬取姿势相当优雅，爬取的url更多更准确，用过的都说好，极力推荐

项目地址：

https://github.com/MiNi39/JSSCAN

五、谷歌语法

通过搜索引擎去搜索特定的页面或者关键词的语法

渗透测试中常用的谷歌语法：site、inurl、filetype、intile

1）site语法

  此语法用于检索特定域名，在渗透测试中可以搭配关键词对特定信息进行检索，也可以搭配filetype使用

例如：site:www.xxx.com 管理|后台|登陆|用户名|密码|系统|帐号|

可以通过这种关键字搭配的方式去检索目标域名下特定页面,下面是此语法的常用几种用法：

 ① 通过语法定位到指定域名的特定页面，例如管理后台

② 通过语法检索指定域名中可能存在的敏感信息泄露

v③ 搭配filetype使用检索到某edu域名下xlsx文本，内含敏感信息

2）intitle语法

  检索网站标题中带指定关键词的页面，此语法通常用来检索指定域名的登录页面或是管理后台

3）inurl语法

这个语法是用于检索包含特定片段的url，一般有下面两种用法

① 通过识别url片段特征，从而检索同指纹站点，例如下面这样

  该站点的url后面是/e*****/sso/login的格式，如果发现该站点存在某漏洞，想要找用同样系统的站点梭哈

直接语法检索，找到url片段一样的

打开，的确是同一个指纹的页面

② 某漏洞的url存在某特征，想要找该种站点批量梭哈

例如：路人皆知的index.php?id=1,直接语法检索

直接梭出来，但现在直接id=1梭哈某漏洞的几率还是太小了，除了一些老旧破站，此处只是提供思路

  哈？你说经过上面一顿操作猛如虎，渗透结果还是二百五？你问我怎么办，我咋知道怎么办。正如我在本文开头所说的，我是个菜狗，我懂个p的安全

关注我们

微信：MiNi_login拉群

欢迎各位师傅

原文始发于微信公众号（ElysiumSec）：漏洞挖掘-信息收集的技巧及相关工具推荐(入门向)