2025年1月6日17:00:22评论10 views字数 22416阅读74分43秒阅读模式

目标单位信息收集

本单位

单位全名、简称、别名
挂牌单位（多见政府机构）

子单位

下属单位范围

多见于官方单位的独立组织机构，如某省国防科工局和该省核工业地质调查队，较大可能本身处于同一内网

即全资控股或大于50控股单位，可能存在内网联通

注意区分业务拆分子单位和营收投资子单位，后者内网联通可能性较小
部分拆分粒度较小的子单位网络可能直接由上级单位运维，如某化工企业与其旗下的某煤矿子单位

多见于官方上下级单位（如省厅级、市局级单位），较大可能存在内网联通或特殊内网（政务网、教育网、GA网、环境网）

直接下属单位
投资单位
业务包含单位

获取途径

爱企查：https://aiqicha.baidu.com/
企查查：https://www.qcc.com/
天眼查：https://www.tianyancha.com/

企业信息查询平台
搜索引擎或网络空间搜索引擎搜索父单位关键词
父单位官网-企业风采-项目合作可能存在下属公司新闻

供应链单位

范围

开发商、外包商、运维商、硬件提供商

获取途径

官网-供应商关键词
对官网等特定系统通过首页或目录扫描的备份文件或模板页面源代码中查找供应商
关键词
搜索引擎搜索特定系统名称-招标公告-应标单位

攻击方式

如目标系统不开放注册但示例和其他公网系统开放注册功能，即可从前台转为后台进行黑盒测试

供应商示例系统的默认账号
供应商示例系统或该系统的其他使用单位进行漏洞尝试
通过各种途径获取源码后进行代码审计
收集客服信息（人员信息、安全意识、浏览器版本、office版本）、IT管理员信息进行钓鱼

组织机构&职能分工

目标单位的组织机构

官网-组织机构
官网-领导简介-领导分工
官网-关于我们-年报
官网-企业社会责任报告

目标单位的职能关键词

官网组织架构
官网-领导简介-领导分工&管理职责
新闻关键词（行业属性）

目标单位的人员信息（特别是领导和IT管理员、运维人员）

员工的姓名、生日、邮箱、手机号、部门名称、常用密码等身份信息
员工工号规则
新员工公告、登录入口、默认密码

互联网检索结果

检索内容

OA/erp/crm/sso/mail/vpn等边界入口
网络和安全设备（waf,ips,ids,router等统计）
内部使用的代码托管平台(gitlab、daocloud等)，bug管理平台
服务器域名资产统计
人员统计、人员职责、部门
WiFi、常用部门密码、人员是否泄露过密码
人员平时常用的站点

单位网络信息
通过官网或其他途径获取的关键词、特定系统、备案号、传真和客服电话等灵活延伸搜索
目标单位的关于我们的关键词
招聘、招标新闻

搜索途径

google语法
google自定义搜索

site:xxx.com "身份证号/学号/工号/vpn" (filetype：xls/doc)
site:xxx.com inurl:upload

https://cse.google.com/cse?key=AIzaSyB2lwQuNzUsRTH-49FA7od4dB_Xvu5DCvg&cx=001794496531944888666:iyxger-cwug&q=%22%22

整合的300多个社交网站

常用搜索引擎
google
baidu
bing
360搜索、搜狗

Wiki

维基百科：https://zh.wikipedia.org/
百度百科

常用社交平台搜索

贴吧、微信搜索、脉脉、知乎等

目标敏感文件泄露收集

官网公示与公告

官网公示的表格等文档，如学生获奖名单、教师职称申报结果

网盘

收集范围：凌风云、百度网盘、阿里云盘、坚果云、蓝奏云、奶牛快传等网盘或快传工具的分享链接

收集内容：员工信息文件（工号学号等）、企业信息（网络拓扑、边界资产等）、其他敏感信息

网盘分享在线搜索

https://www.chaonengsou.com/
http://www.zhuzhupan.com/
http://www.yunpangou.com/
https://www.laisoyixia.com/
https://www.xiaomapan.com/
https://www.feizhupan.com/
https://www.lingfengyun.com/

文库文档

百度文库：https://wenku.baidu.com/search?word=

(https://wenku.baidu.com/search?word=)

搜文库：https://www.souwenku.com/search.html

(https://www.souwenku.com/search.html)

360文库搜索：https://wenku.so.com/s?q= (https://wenku.so.com/s?q=)

代码泄露

代码托管平台

"xxx.edu.cn"
"username/password/vpn/secretkey/accesskey"
sangfor extension:properties
网站报错时泄露的包名，如：com.foresee.kfpt 等

github

gitee

"xxx.com" username/password/vpn/secretkey/accesskey

自建gitlab、gitblit

搜索引擎查找自建gitlab/gitblit语法： site:xxx.com gitlab/gitblit
gitlab未授权访问所有项目列表：/explore/

.DS_Store
.idea
.vscode
.swp

www.zip
xx.com.zip
www.xx.com.zip (http://www.xx.com.zip)
wwwroot.zip
...

.git
.svn
.hg
.CVS
.bzr

网站代码托管文件泄露
网站备份
系统或编程软件的项目配置文件

软件群或论坛泄露

QQ群、微信群、企业微信群、钉钉群、飞书群群文件

贴吧、豆瓣等论坛发送的文件分享

目标资产收集

根据靶标信息收集

定位方法

对于给出靶标系统名称的情况，定位靶标的关键在于信息收集。应尽量获取和靶标相关的文档和信息，以期望能对靶标系统有一定的了解。例如靶标所处的网络区域、靶标的架构（B／S或C／S）、靶标的IP／URL、靶标的运维部门、靶标的面向对象等。

如果已经获取到靶标的IP／URL，则关键在于突破隔离，隔离的实现方式主要是基于网络设备、防火墙、VPN、网闸等。

互联网收集信息

针对互联网，主要从搜索引擎、云盘／文档、代码库、供应链等入手。

搜索引擎

搜索引擎是从互联网了解靶标信息的基础方法，可以从侧面获取靶标信息，关注点包括招投标信息、标准规范、新闻资讯、文档资料等，以便进一步了解靶标功能、系统部署、网络区域情况。

云盘/文档

尝试从互联网网盘或公开文档中，获取靶标相关的手册、部署方式，进而更熟悉靶标情况。

代码库

Github 及码云上的项目代码，也可以尝试关联，看是否有泄露靶标相关的项目信息。

内网收集信息

针对内网，主要从邮箱/wiki/OA/FTP、代码库、关键人员 PC、运维平台、集权设备、Web Title 等入手。

邮箱/Wiki/OA/FTP

邮箱、Wiki、OA、FTP 中，往往记录了目标的关键信息，通常会有内部应用系统的默认账号密码和员工个人的 VPN 相关密码，甚至包含靶标在内的重要系统信息。以邮箱、Wiki、OA、FTP 作为突破口，有时会有奇效，能够直接获得靶标地址、账号，因此内网定位靶标时优先级最高。

关键人员PC

关键人员的定义，包含运维人员、可访问靶标系统的人员，从企业通讯录、企业部门架构中，可以初步断定相关人员。在这些关键人员的PC中，需要重点关注XShell、Secure CRT、Final She11 等SSH 登录软件、TeamViewer 和向日葵等远控软件、浏览器记录、RDP 登录记录、通讯软件、办公软件、内部相关文件、密码表等等。

运维平台

运维平台，包括 Zabbix、Grafana、ITSM、Kibana 等等，这些运维相关的系统，也能够看到重要系统的运行状态、日志信息、网络流量、访问情况等等，通过运维平台，也能够找到靶标系统的地址。

集权设备

集权设备，相较于运维平台而言，找到靶标地址的同时，能够直接控制靶标系统服务器。常见的集权设备，包括VCenter、360天擎、堡垒机、域控、EDR管控平台等等。

根据官网信息收集

官网网站宣传内容
官网可跳转的系统
大型公司需要收集子公司官网

例如中海油、华为这种规模的公司

国外不同域名的国外官网涉及系统

根据目标单位收集

企业信息查询知识产权备案

爱企查、天眼查、企查查的知识产权

网站备案
软件著作权信息（web系统名称用于关键字搜索）
商标信息（用于ICON搜索）
【企查查】APP
【企查查】小程序
【企查查】微信公众号
【天眼查免登录】供应商查询
【天眼查登录】历史网站备案

小蓝本的APP、新媒体、网站、商标

APP

APP搜索

点点：https://www.diandian.com/
小蓝本：https://www.xiaolanben.com/
apple store：https://www.apple.com/app-store/
七麦数据：https://www.qimai.cn/

APP分析

https://github.com/TheKingOfDuck/ApkAnalyser
https://github.com/kelvinBen/AppInfoScanner
https://github.com/skylot/jadx/
https://github.com/konloch/bytecode-viewer

反编译：对安装包的url、js、osskey、api等关键字或接口进行收集
请求测试：对客户端向服务端的发包按照渗透测试进行

思路
工具

分析脱壳

幸运破解器（慎用）https://nalankang.lanzouo.com/b00u06nfa
核心破解（慎用）
BlackDex https://nalankang.lanzoui.com/b00um84kf
fdex2 https://nalankang.lanzoui.com/iBdENqkpmng
微脱壳 https://nalankang.lanzoui.com/iFfamqkpmoh
反射大师 https://nalankang.lanzoui.com/b00v2j5ud
APK Editor https://nalankang.lanzoui.com/b00u06q0d
Apktool https://nalankang.lanzoui.com/b00uud6kf
NP管理器 https://nalankang.lanzoui.com/b00u7565e
Android Killer
以上的下载密码：ojbk

绕过限制抓包

HttpCanary(小黄鸟) https://nalankang.lanzoui.com/b00usn91c（可不ROOT）
Wicap https://nalankang.lanzoui.com/b00usn8te （安卓抓包用处不是很大）
Packet Capture https://nalankang.lanzoui.com/b00usn8yj （免ROOT抓包）
JustTrustMe++ https://github.com/JunGe-Y/JustTrustMePP
Fildder + BP （主流）会有https的问题
Mitmproxy 配合py脚本做流量处理，或者单纯的脱一下https
Charles（使用比较少）

公众号和小程序查询

微信内部搜索

搜狗微信搜索

https://weixin.sogou.com/
搜狗微信可用来搜索域名

企查查的知识产权模块

小蓝本

小程序的更多信息

客户端

目标单位业务类客户端

工控软件

第三方客户端

注意区分是否为内嵌浏览器的B/S架构变体

VPN/零信任组件
OA、财务系统
视频会议、会议系统

历史漏洞

收集内容历史存在的旧漏洞

漏洞描述中泄露的旧资产名称和ip

工具

CNVD
wooyun镜像

wy.zone.ci

Seebug：https://www.seebug.org

漏洞库

cve details：https://www.cvedetails.com/
Sploitus: https://sploitus.com
Vulners: https://vulners.com
Exploit Database: https://www.exploit-db.com

根据常见边界系统收集

邮箱
VPN
OA
SSO
Wiki
Cloud
代码托管平台

公共代码托管平台：github、gitee
自建代码托管平台：gitlab、gitblit
除代码托管平台本身漏洞以外，根据其可访问仓库内泄露的IP、配置信息等也可进一步收集目标资产

网络或安全设备

厂商
弱口令
已知漏洞

内部办公移动终端
内部APP

根据网络空间搜索引擎收集

注意筛选云主机和第三方开发、托管厂商，但是不排除部分目标存在云内网（政府单位应上尽上政务云）

FOFA

https://fofa.so

https://fofa.info

优点

VIP账号获取难度较低，导出等VIP操作较为方便
GUI工具较多和完善

缺点

整改后，可获取官方资产大大减少
敏感查询可能导致账号封禁

常用语法

title="目标中文名" && country=CNtitle="目标中文名" && region="xx省"title="目标中文名" && city="xx市"header="目标中文名" && country=CNheader="目标中文名" && region="xx省"header="目标中文名" && city="xx市"domain="目标域名"host=".gov.cn"cert="目标域名和域名关键字" && country=CNcert="目标域名和域名关键字" && region="xx省"cert="目标域名和域名关键字" && city="xx市""目标中文名或目标域名"title="目标名称" && region="xx省"title="目标名称" && city="xx市"cert="目标域名或者证书关键字" && region="xx省"cert="目标域名或者证书关键字" && city="xx市"((title="目标名称" || host="目标域名") && country="CN") &&region!="HK"

Hunter

https://hunter.qianxin.com

优点

目前来看国内目标资产收集最多的网络空间搜索引擎

缺点

搜索结果中无效信息较多，需要严格搜索条件
导出同样占用积分
普通账户每天500积分

Censys

https://search.censys.io/

优点

对官方资产没有刻意隐藏，搜索结果较全
账号限定每月250次搜索（页）任意查看，注册条件较为宽泛
简单搜索语法下，结果准确度优于Hunter，广告类、SEO类结果基本没有

缺点

国外工具，部分网络下需要科学上网
搜索语法中出现重复使用某条件时面向IP进行筛选而非Web服务
搜索结果模糊，无法确定到端口
部分资产查询结果时效性不足
单纯使用web端对结果的阅览较为困难

Quake

https://quake.360.cn/quake/#/index

缺点

搜索结果需要实名认证才能查看到具体的IP

Shadon

https://www.shodan.io

根据图标搜索：http.favicon.hash:12345664646456646456479

ZoomEye

https://www.zoomeye.org

Soall

https://soall.org/login

Sumap

https://sumap.dbappsecurity.com.cn/

内部平台，仅供内部和客户使用

根据偏门资产收集

无特征资产，即title、body、icon没有明显的目标单位特征可供网络空间搜索引擎检索。

通过C段web服务的批量扫描，结合行业特征进行确认
通过C段非web服务的批量扫描，结合该IP的其他端口特征（web banner、SMB域或机器名）确认

大型企业尤其是未公开的app，例如内部oa软件、内部销管软件等内部使用而不是互联网公开使用的，仍可能存在低版本fastjson、shiro等漏洞。

根据Web信息发散收集范围

源头信息：其他资产收集成果
Web发散途径

可收集角度
Banner识别和进一步利用
敏感目录
前端敏感信息
安全设备和网络架构
请求request和响应response的header和body

网站icon
SSL证书
前端源码注释
URL和域名收集
手动搜索JS文件中包含的敏感信息（IP、API、URL、secretKey）

域名、子域名
ip、端口、Bypass CDN、定位和威胁情报
C段、旁站
web信息

域名信息

whois信息

站长之家：http://whois.chinaz.com
Bugscanner：http://whois.bugscaner.com
国外BGP：https://bgp.he.net
who.is：https://who.is/
火狐插件flagfox：显示站点的域名、ip、归属地、单击whois

whois 反查（通过whois的邮箱或电话反查其他注册域名）

https://www.benmi.com/

DNS解析记录

DNS db：https://dnsdb.io/zh-cn/
DNS历史解析：https://ipchaxun.com/
DNSdumpster：https://dnsdumpster.com/

企业查询网站查询

爱企查、企查查、天眼查
常用于目标的主域名

子域名信息收集

网络空间搜索引擎

org语法
doamin语法
cert语法

多用于金融行业或大型单位

IPC语法（网站备案）

http://icp.chinaz.com

搜索引擎

google （用-来排除已知域名，循环排除来收集新的子域名）

site:xxx.com
site:xxx.com -www
site:xxx.com -www -abc
site:xxx.com -www -abc -def

工具批量

一般思路为工具批量收集子域名，进行探活后进行二轮URL信息收集

在线查询（暴破）

https://chaziyu.com/
https://phpinfo.me/domain/
https://sonar.omnisint.io/subdomains/

常用工具

https://github.com/shmilylty/OneForAll

网络空间搜索引擎证书接口
域传送、跨域策略文件、证书、内容安全策略、robots、sitemap
DNS数据集
DNS查询
威胁情报
搜索引擎
子域爆破

https://github.com/bit4woo/teemo

搜索引擎
第三方站点
子域爆破

https://github.com/knownsec/ksubdomain
https://github.com/aboul3la/Sublist3r/

搜索引擎
第三方站点

https://github.com/guelfoweb/knock
https://github.com/lijiejie/subDomainsBrute/

子域爆破

https://github.com/michenriksen/aquatone

网站截图

IP信息

端口

nmap 速度较慢

nmap -sS -v -sV -p 1-65535 IP # ping目标有回复时nmap -sS -v -sV -p 1-65535 -Pn IP # 免ping扫描

gorailgun 并发较高时准确度下降较多

Goby 速度较慢，扫描结果详细且存在POC验证，不建议广泛扫描全端口

Bypass CDN

查询子域名或主域名：
邮件服务器
查看域名历史解析记录
国外访问或多地访问
Nslookup查询
网站内容（源码、js、配置文件、phpinfo、APP）或漏洞
GITHUB、SVN等源代码泄露是否包含源站IP
网络空间搜索引擎查询，如查询相同站点或查找SSL证书
利用业务使服务器外连
多地ping、国外Ping、Ping根域名
https://dnsdb.io/zh-cn/ 查询dns
通过virustotal微步在线等威胁分析平台或者dnsdb等DNS记录查询平台，找到历史解析记录。

IP定位

https://www.opengps.cn/Default.aspx

https://www.ipuu.net/

https://www.sojson.com/ip/

https://www.geoplugin.com/

威胁情报

微步：https://x.threatbook.cn

360：https://ti.360.cn/

qianxin：https://ti.qianxin.com/

C段

资产收集

1-64511 公有AS，64512-65535 私有AS
ASN编号查询：https://www.cidr-report.org/cgi-bin/as-report?as=china&view=2.0

censys: ip:"1.1.1.0/24"

C段关键端口/全端口扫描+指纹识别
网络空间搜索引擎
ASN 自治系统编号和 BGP 边界网关协议

C段指纹快速识别

https://github.com/se55i0n/Cwebscanner

Glass：https://github.com/s7ckTeam/Glass
Ehole：https://github.com/EdgeSecurityTeam/EHole

网络空间搜索引擎类
端口扫描类

重点C段锁定

将域名转换为IP权重：https://github.com/canc3s/cIPR

旁站

在线查询

http://stool.chinaz.com/same
https://site.ip138.com/

Host碰撞工具

https://github.com/cckuailong/hostscan
https://github.com/fofapro/Hosts_scan

host收集

https://github.com/SpiderLabs/HostHunter

Web信息

可收集范围

title & url
网站页面内容

前端源码： view-source:
网站Icon
JS文件中包含的敏感信息（IP、API、URL、secretKey）

fofa语法： icon_hash="-1231872293"

debug报错页面信息泄露
中间件特征报错页面

单位关键词
链接的友链网站或系统
备案和版权copyright©信息
后台管理

可跳转的相关业务系统
栏目和文章内容
搜索功能
登录、注册功能
评论、建议或客服处的富文本编辑和文件上传模块

链接的OA、邮箱、后台管理

header
body
footer
error
前端资源
历史页面

Https的SSL证书
根目录或业务特定目录下敏感目录
请求request和响应response的header和body
安全设备和网络架构

Waf&CDN
蜜罐
运维设备
网络设备
网络拓扑图
项目文档、业务系统说明

Banner识别

根据特征识别

响应包的cookie等header头
body中的Banner关键字
web页脚Power By图标logo
关键路径
报错信息
CSS和js特殊名称
......

识别结果

富文本、API文档、监控组件、日志组件
shiro、log4j2

spring、struts2、thinkphp、axis

tomcat、weblogic

CMS
Web 中间件
Web 框架
Web 系统或框架组件

对应banner进一步利用的收集

Banner对应识别结果的版本
该结果存在的漏洞

工具

ShuiZe：https://github.com/0x727/ShuiZe_0x727
AlliN：https://github.com/P1-Team/AlliN

EHole：https://github.com/EdgeSecurityTeam/EHole
Glass：https://github.com/s7ckTeam/Glass
https://github.com/dr0op/bufferfly
https://github.com/0x727/ObserverWard

Wappalyzer：https://www.wappalyzer.com/
WhatWeb：https://github.com/urbanadventurer/WhatWeb
TideFinger：https://github.com/TideSec/TideFinger
nmap
goby

云悉：https://www.yunsee.cn/
whatweb：http://whatweb.bugscaner.com/
Builtwith：https://builtwith.com/zh/

https://github.com/graynjo/Heimdallr

被动指纹收集谷歌插件
Banner在线识别
Banner识别脚本工具
批量工具
综合收集工具

目录扫描

扫描工具

Dirmap https://github.com/H4ckForJob/dirmap
dirsearch https://github.com/maurosoria/dirsearch

常见敏感目录

中间件或框架特征文件
robots.txt和crossdomain.xml
web服务配置文件
备份文件

www.zip
xx.com.zip
www.xx.com.zip (http://www.xx.com.zip)
wwwroot.zip

代码泄露

.svn
.git
.hg
CVS
.bzr
sql文件

系统或软件配置文件
.DS_Store
.idea
.vscode
.swp
业务页面

API接口
管理登录
服务监控页面初始化与Install页面
模板页面

web敏感信息

网站Icon

fofa语法： icon_hash="-1231872293"

SSL证书

证书详情

使用者：CN（证书通用名称）、O（组织名）、OU（组织部门名）、L（地区）、S（省）、C（国家）
使用者可选名称
颁发者
使用周期（生效日期和失效日期）
序列化（合法机构颁发的一一对应，自颁发证书可伪造）
签名算法和签名哈希算法

sslscan探测服务端支持的算法和漏洞：https://github.com/rbsec/sslscan

(https://github.com/rbsec/sslscan)

前端源码注释

view-source:

URL和域名收集

URL在线提取：https://www.bulkdachecker.com/url-extractor/

JSFinder：https://github.com/Threezh1/JSFinder

LinkFinder：https://github.com/GerbenJavado/LinkFinder

webpack类前端扫描Packer-Fuzzer：https://github.com/rtcatc/Packer-Fuzzer

JS文件敏感信息

手动搜索JS文件中包含的敏感信息（IP、API、URL、secretKey）

API搜索常用关键词

config/apimethod:"get"http.get("method:"post"http.post("$.ajaxservice.httppostservice.httpget

安全设备和网络架构

安全设备

waf

Wafw00f：https://github.com/EnableSecurity/wafw00f
WhatWaf：https://github.com/Ekultek/WhatWaf
identYwaf：https://github.com/stamparm/identYwaf
sqlmap -identify-waf

蜜罐

网络空间搜索引擎标记

https://honeyscore.shodan.io/
hunter

工具检测jsonp

chrome插件：https://github.com/cnrstar/anti-honeypot

网络架构

CDN
运维设备
网络设备
网络拓扑图
项目文档、业务系统说明

历史页面信息

时间机器：http://www.cachedpages.com/

web存档：https://web.archive.org/

目标社工信息收集

人员基本信息

身份信息（姓名、性别、大概年龄）
单位职位
日常工作

岗位对外联系的主要内容
岗位对内联系的主要内容

是否掌握计算机基础
系统版本（Windows、Mac的常用版本）
软件安全情况（安全意识、浏览器版本、office版本）

单位基本信息

内部员工的互相称呼

老师、同学、哥、师傅

工作流

沟通软件、沟通方式，邮件、OA、微信、企业微信、钉钉、QQ等

运维策略

企业杀软有无和其类型
安全人员素质、是否出网、是否允许安装软件
办公方式（平台：PC、云桌面、标装机）

社工资源的收集

邮箱收集

收集途径

天眼查、企查查、爱企查

谷歌、百度等搜索引擎

通过单位名称、通用关键词、行业关键词等进行搜索引擎检索

如使用目标+关键字的格式寻找目标

行业关键词如：投标、招标、投诉

通用关键词如：联系方式、简历、招聘、应聘、贷款、手机号、hr、邮箱
对于一些特殊行业，那么可以自行联想关键字，例如投标、招标、投诉等等。
将各种关键字相互组合使用

SGK

通过sgk等方式获取指定人员的邮箱和个人信息

Github、Gitlab、Gitee、Gitblit等代码托管平台社交平台，如脉脉、微博

邮箱内容收集，google论坛：https://groups.google.com/

社工字典（如拼音规则、工号规则等）批量遍历

工具

在线工具：职业信息在线搜索：

https://snov.io/email-verifier
谷歌语法： "深信服" site:linkedin.com
用户提取
谷歌snov.io插件：https://chrome.google.com/webstore/detail/email-finder-by-snovio/einnffiilpmgldkapbikhkeicohlaapj?hl=zh-CN

https://cse.google.com/cse?cx=001394533911082033616:tm5y1wqwmme

https://www.email-format.com/
https://www.skymem.info/
领英-查找邮箱、判断是否存在
（需注册） https://hunter.io/search/domain.com
（需注册）微匹：http://www.veryvp.com/

本地工具：

https://github.com/laramies/theHarvester
语法：python3 theHarvester.py -d xxx.com -b all

-d参数指向目标的域名，-b all是用调用 theHarvester的所有模板查找邮箱

http://github.com/bit4woo/teemo

teemo
Kali theHarvester

注意事项

获取邮箱地址后注意验证邮箱是否真实有效，GitHub有相关项目，也可以使用在线网站确认。

https://www.verifyemailaddress.org/

qq邮箱发送钓鱼邮件后，如果邮箱存在，则会显示已投递到对方邮箱，如果邮箱不存在显示投递失败，已退信。发送完成后，qq邮箱如果被攻击者有自动回复或者昵称设置可能会暴露相关信息（邮箱结尾、真实姓名等）。

通过社工方式根据邮箱获得手机号，微信小号进行钓鱼，加好友后可以直接报对方的名字和邮箱号，一是可以判断是否加错，二是获取对方的信任

社交平台收集

社交平台分类

即时通讯类：QQ、微信、企业微信、钉钉、飞书、蓝信
职能类：支付宝、脉脉、领英
博客论坛类：微博、知乎、贴吧、人人、推特、ins、脸书
娱乐类：咸鱼、短视频

实战实践

网页版搜索xx公司，查看人脉获取员工信息（会员）
移动版搜索xx公司，点击查看全部员工（会员）
移动版搜索xx公司时会弹出相关内容，可能出现子公司名称

贴吧搜索对应单位关键词，如学校的学号
知乎搜索公司、子公司名称，搜索公司、子公司关键词，如：xxx 密码
QQ群、微信群、钉钉群搜索敏感信息（邮箱、密码、vpn）或发马钓鱼
脉脉会员搜目标信息

手机号收集

400/客服电话
手机号公开信息收集（较难获取有效信息）

查询手机号注册过的网站：https://www.reg007.com/

目标单位的某个系统的接口、数据库

密码收集和社工字典

已有密码收集

sgk
Github、Gitee等代码托管平台
社交平台泄露文件或关键词

当当2011、机锋网2016、京东2013、淘宝2012、天涯2011、小米2012、优酷2016、珍爱网2011

查询账户是否泄露：https://haveibeenpwned.com/
https://github.com/kernelmachine/haveibeenpwned

已获取权限的目标系统的数据库、用户管理、通讯录等功能

登录邮箱后关键字搜索：VPN、用户名、密码、服务器、跳板机、堡垒机、登录方式、认证、漏洞、http和以上关键词对应的英文

社工字典生成

思路

可重点获取网络管理员或高权限人员（结合官网组织架构）的系统密码、个人信息

使用抓取或配置文件泄露的RDP、SSH密码的撞库
使用已有泄露web账户密码的撞库
根据单位、姓名、生日、工号等社工信息条件生成

工具
在线

https://www.bugku.com/mima/
https://github.com/zzzteph/weakpass
https://api.xiaobaibk.com/lab/guess/
http://cai.535yx.cn/

工具

https://github.com/LandGrey/pydictor/
https://github.com/kracer127/bearSG
https://github.com/ChireC/cupper
https://gitee.com/black_mamba_24/BaiLu-SED-Tool
https://github.com/D4Vinci/elpscrk

图片收集

图片搜索

百度识图：https://graph.baidu.com/pcpage/index?tpl_from=pc

google识图：https://www.google.com/imghp?hl=zh-cn

Tineye Reverse Image Search：https://tineye.com/

图片文件信息分析

元数据（Matedata）

图片文件的【属性】-【详细信息】
photoshop的【高级】-【原始信息】

EXIF：通常被数码相机在拍摄照片时自动添加，比如相机型号、镜头、曝光、图片尺寸等信息exif信息以0xFFE1作为开头标记，后两个字节表示数据的长度。
IPTF：比如图片标题、关键字、说明、作者、版权等信息。主要是由人工在后期通过软件写入的数据。
XMP：XMP实际上是一种元数据存储和管理的标准，可以将Exif，IPTC或其他的数据都按XMP统一的格式存放在图像文件中。

分类
查看方式

近源信息收集

围绕IT管理收集相关信息

物理U盘入侵
门禁模拟

公司地址
公司无线分布点(wifi破解)
IT管理员信息
网络/安全设备厂商客服
...

攻击者的伪装身份构造

自己角色的身份（应聘者、安全管理员、人事行政人员、部门及姓名）
构建贴合身份的邮件格式（落款部门及签名）
简历钓鱼

招聘HR是哪个地区的，可以就近选择一个大学伪装
简历种类多准备几份，简历身份信息易替换

行业信息收集特性

气象局

系统关键词

污染排污空气质量垃圾焚烧环评辐射监测监控环境自然生态废物质量

教育-教育厅

通过教育厅官网机构设置、直属单位获取组织结构

搜索引擎 site：xxx 直属单位 site：xxx 机构设置

教育考试院（招生考试院）直属于教育厅

教育-学校

组织架构

学校名下公司
出版社
基金会
校友会

网络空间搜索引擎

title、body
domain
cert
icon

快速突破口：vpn、sso，在信息化门户搜集登录规则
google语法

site:xxx.com "身份证号/学号/工号/vpn" (filetype：xls/doc)

GitHub

"xxx.edu.cn" "username/password/vpn"

医疗-卫健委

提取关键字

机构-内设机构
委领导-分管工作

卫健委前身卫计委、卫生部/卫生厅/卫生局
妇幼保健院隶属于于卫健委
关键字：卫生健康委、卫生健康、卫计委、卫生和计划生育委员会

金融-银行

金融官网一般是业务，组织架构参考每年社会责任报告、年报、关于我们-信息披露中存
在组织架构
网络空间搜索引擎

domain
cert： cert="China Merchants Bank"/"XX 银行"/"xxx.com"/"xxx"
icon

Web突破点

微信公众号、小程序
移动端APP
未开放系统或测试系统

google语法

site:xxx.com "身份证号"/"工号"/"vpn" (filetype：xls/doc)
site:xxx.com inurl:login/inurl:upload

github语法

"xxx.edu.cn" "username/password/vpn"

邮箱查找可通过天眼查（收费）

政务-政务云

可能的突破点

跟广播电视台不同，行政单位和事业单位的区别

市场监督管理局-特种设备管理
浪潮云表单
集约化
重要景区（可能）
广电局、广播电视局

自动化思路（待处理）

自动化获取单位名称的50%以上子公司列表
通过域名历史解析IP、DNS区域传送漏洞等域名收集手段，进行ip权重确认，进而筛选高价值C段，进行C段信息收集
针对批量域名或C段资产先做waf识别和Banner识别

根据Banner结果进行手动测试

进行xray、awvs漏扫
Xray支持url.txt漏扫
AWVS针对非路由形式网站效果不错

不存在waf
存在waf

域名

被动抓取

burp插件：https://github.com/bit4woo/domain_hunter_pro

使用方法：1、新建数据库2、添加抓取的域名

历史IP

Threatbook https://x.threatbook.cn/
DNS db https://dnsdb.io/zh-cn/
dns检测 https://tools.ipip.net/dns.php
Xcdn https://github.com/3xp10it/xcdn
在线 https://ipchaxun.com
DNSdumpster https://dnsdumpster.com/

子域名发现

dnsgen:一款在主动或被动信息搜集到的子域名的基础上，使用自身内置的一些常见域名中的关键字再次对我们收集到的子域名进行排列组合成更多的子域名，以此扩大目标目标暴露面。

regulator：指定根域名、域名前缀和域名生成文件来生成新的子域名。

https://github.com/ProjectAnte/dnsgenhttps://github.com/cramppet/regulator

网站架构/服务器指纹/CMS识别/容器

网页源代码请求头/响应头网站底部，顶部，左上角右上角网站报错信息域名/installCMS漏洞定位版本对应已知漏洞检查CMS未知漏洞挖掘Web容器已知漏洞(解析漏洞这种)显示网站使用的技术中间件、组件Weblogic、tomcat、zabbix、struts、axis等

WhatWeb https://github.com/urbanadventurer/WhatWeb
Builtwith https://builtwith.com/zh/
FortyNorthSecurity https://github.com/FortyNorthSecurity/EyeWitness
云悉 https://www.yunsee.cn/
Wappalyzer https://www.wappalyzer.com/?utm_source=popup&utm_medium=extension&utm_campaign=wappalyzer
EHole https://github.com/EdgeSecurityTeam/EHole
TideFinger https://github.com/TideSec/TideFinger
ObserverWard https://github.com/0x727/ObserverWard
ShuiZe https://github.com/0x727/ShuiZe_0x727
AlliN https://github.com/P1-Team/AlliN
Bufferfly https://github.com/dr0op/bufferfly（初步处理资产小工具）

子域名

老站、同样架构或同源码的子站爆破，接口查询  https://phpinfo.me/domain/  https://d.chinacycc.com/index.php?m=Login&a=index  subDomainBrute、knockpyOWA发现、dig adfs、dig mailhttps://dns.bufferover.run/dns?q=baidu.comhttp://api.hackertarget.com/reversedns/?q=target.com

Amass https://github.com/OWASP/Amass
OneForAll https://github.com/shmilylty/OneForAll
ksubdomain https://github.com/knownsec/ksubdomain
subDomainsBrute https://github.com/lijiejie/subDomainsBrute
Sonar https://omnisint.io/
查子域 https://chaziyu.com/ (在线)
笨米 https://www.benmi.com/ 挂了

网站使用的CMS的官方demo站

找不到demo就找源码开发者，加群什么的，结合社会工程学要个后台截图(对于一些后台目录复杂的cms)，注意看网站上一些功能介绍的截图。

SSL证书信息

https://crt.sh/?q=%25.target.comhttps://censys.io/certificates?q=target.comhttps://github.com/cheetz/sslScrape

DNS历史解析记录

https://dnsdumpster.com/https://censys.io/https://securitytrails.com/域传送漏洞检查  Dnsenum、fierce$ ./fierce.pl -dns example.com $ ./fierce.pl –dns example.com –wordlist myWordList.txt>dig @ns.example.com example=.com AXFR >nslookup -type=ns xxx.yyy.cn #查询解析某域名的DNS服务器>nslookup #进入nslookup交互模式>server dns.domian.com #指定dns服务器>ls xxx.yyy.cn #列出域信息

同服站点情况

https://site.ip138.com/火狐插件flagfox,配置单击指向bing查ip对应的域名

同样架构或源码的站

网站js

https://github.com/003random/getJShttps://github.com/Threezh1/JSFinder或浏览器F12也可以看到加载的敏感信息、可能存在漏洞的参数等信息查看网页源代码，注释的一些信息，比如没有删掉的接口、前台没有的页面、越权、注入、js等

JSFinder https://github.com/Threezh1/JSFinder
LinkFinder https://github.com/GerbenJavado/LinkFinder
Packer-Fuzzer https://github.com/rtcatc/Packer-Fuzzer (webpack)
搜索关键接口

1. config/api2. method:"get"3. http.get("4. method:"post"5. http.post("6. $.ajax7. service.httppost8. service.httpget

网站使用的第三方js

https://github.com/sqlmaping/Burpsuite-JSScan

云信息

Aliyun、AWS、GCP、Azure等查找可公开访问的实例  https://github.com/gwen001/s3-buckets-finder  https://github.com/nccgroup/aws-inventory  https://github.com/jordanpotti/AWSBucketDump

C段/B段信息

Banner、是否存在目标的后台或其他入口/其他业务系统ASN  BGP路由协议1-64511 公有AS64512-65535 私有AShttps://www.cidr-report.org/cgi-bin/as-report?as=china&view=2.0

工具

recon-ng,theharvester,maltego,exiftool等https://www.spiderfoot.net/https://github.com/smicallef/spiderfoot

端口对外开放情况

Masscan、scanport等针对常见的那些端口的利用的常规方法常见的未授权访问的服务如redis，mongodb等

目录扫描/爬虫(慎用)

WAF情况识别

https://github.com/EnableSecurity/wafw00f做好绕过策略的计划

随手测试

单引号xx.jpg/.phpadmin/123456万能密码Heartbleed漏洞

搜索引擎

Google自定义搜索引擎整合的300多个社交网站  https://cse.google.com/cse?key=AIzaSyB2lwQuNzUsRTH-49FA7od4dB_Xvu5DCvg&cx=001794496531944888666:iyxger-cwug&q=%22%22Google自定义搜索引擎整合的文件共享网站  https://cse.google.com/cse/publicurl?key=AIzaSyB2lwQuNzUsRTH-49FA7od4dB_Xvu5DCvg&cx=001794496531944888666:hn5bcrszfhe&q=%22%22领英用户提取  https://cse.google.com/cse?cx=001394533911082033616:tm5y1wqwmme

FOFA https://fofa.info
Quake https://quake.360.cn/quake/#/index
Hunter https://hunter.qianxin.com
Censys https://search.censys.io/
Shadon https://www.shodan.io
ZoomEye https://www.zoomeye.org
Sumap https://sumap.dbappsecurity.com.cn/
Soall https://soall.org/login
常用语法：

title="目标中文名" && country=CN title="目标中文名" && region="xx省" title="目标中文名" && city="xx市" header="目标中文名" && country=CN header="目标中文名" && region="xx省" header="目标中文名" && city="xx市" domain="目标域名" host="目标域名" cert="目标域名或者证书关键字" && country=CN cert="目标域名或者证书关键字" && region="xx省" cert="目标域名或者证书关键字" && city="xx市" ="目标中文名或者目标域名cert="China Merchants Bank" or cert="xx银行" or cert="xxx.com" or cert="xxx"icon==""#Googlesite:xxx.com "身份证号" site:xxx.com "身份证号" filetype:doc site:xxx.com "身份证号" filetype:xls site:xxx.com "工号" site:xxx.com "vpn" site:xxx.com inurl:login site:xxx.com inurl:upload#Github"xxx.com" "身份证号" "xxx.com" "vpn" "xxx.com" "password"

Google dorks

Site,filetype,intitle,inurl,intext等

信息泄露

电话、邮箱，姓名目录遍历备份文件  (www.zip,xx.com.zip,www.xx.com.zip,wwwroot.zip).svn/.git/sql/robots/crossdomin.xml/DS_Store等  https://github.com/lijiejie/ds_store_exp  https://github.com/admintony/svnExploit若是论坛ID=1的用户名一般为管理、或查看帖子信息、生成字典网页上客服的QQ(先判断是企业的还是个人，用处有时不太大，看怎么用，搞个鱼叉什么的)

网页缓存

http://www.cachedpages.com/ https://web.archive.org/

图片反查

百度识图、googleimage、tineye原图查询坐标

社交

QQ、weibo、支付宝、脉脉、领英、咸鱼、短视频、人人、贴吧、论坛外网信息有些人喜欢把自己的生活传到外网  推特、ins、fb等

手机号加入通讯录匹配各个APP用户信息

注册过的网站

https://www.reg007.com/https://www.usersearch.org/

目标人员的兴趣

目标人员的兴趣 注册过的小众论坛，站点

针对此类站点的深入收集到的用户名，电话等信息生成字典

邮箱搜集

https://hunter.io/http://www.veryvp.com/https://www.email-format.com/https://www.yingyanso.cn/https://verifyemailaddress.com/   邮箱有效确认theHarvester企查查github脉脉库snov.io插件

Exchange

https://github.com/dafthack/MailSniper

验证邮箱是否存在

https://tools.verifyemailaddress.io/

历史泄露过的资料等

库https://haveibeenpwned.com/https://github.com/kernelmachine/haveibeenpwned

Github/Gitee等代码托管平台

https://github.com/dxa4481/truffleHoghttps://github.com/lijiejie/GitHackhttps://github.com/MiSecurity/x-patrolhttps://github.com/az0ne/Github_Nuggestshttps://github.com/mazen160/GithubCloner克隆用户的github

被入侵网址列表

http://zone-h.org/archivewooyun镜像查找目标企业曾出现的漏洞http://zone-h.org/archive乌云镜像: https://wooyun.x10sec.orgSeebug: https://www.seebug.orgExploit Database: https://www.exploit-db.comVulners: https://vulners.comSploitus: https://sploitus.com

GPS查询

https://www.opengps.cn/Default.aspxhttps://www.chaipip.com/aiwen.htmlhttps://cz88.net/

网站URL提取

http://www.bulkdachecker.com/url-extractor/

蜜罐判断(参考一下即可)

https://honeyscore.shodan.io/hunter也有https://github.com/cnrstar/anti-honeypot    浏览器插件（误报还是挺多的，虚拟机+代理）https://github.com/Ghr07h/Heimdallr

默认密码

https://default-password.info/http://routerpasswords.com

如需注册

Sms  https://www.materialtools.com/  http://receivefreesms.com/Email  https://10minutemail.net/  https://zh.mytrashmailer.com/  http://24mail.chacuo.net/enus  https://www.linshiyouxiang.net/Fake id  https://www.fakenamegenerator.com/  http://www.haoweichi.com/  https://www.fakeaddressgenerator.com/

企业信息

维基百科 https://zh.wikipedia.org/wiki/Wikipedia:%E9%A6%96%E9%A1%B5

天眼查、企查查、企业信用信息公示系统、企业组织架构企业邮箱收集，企业架构画像、人员统计、人员职责、部门、WiFi、常用部门密码、人员是否泄露过密码、人员平时爱逛的站点、OA/erp/crm/sso/mail/vpn等入口、网络安全设备（waf,ips,ids,router等统计）、内部使用的代码托管平台(gitlab、daocloud等)，bug管理平台、服务器域名资产统计注册公司、基金会、校友会、出版社、校医院、site:xxx 直属单位/site:xxx 机构设置

监控资产

最简单的办法就是，通过subfinder、oneforall等子域名收集工具，每天定期跑一次，对比旧结果，新结果写入数据库，记录时间。

本文章仅供学习交流使用，文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途以及盈利等目的，否则后果自行承担！

文章原文来自：https://xz.aliyun.com/t/16832(先知社区)

感谢大佬的分享！

原文始发于微信公众号（LHACK安全）：实战攻防中的信息收集

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫