(搜集用户名信息类)企查查([https://www.qcc.com
天眼查[(https://www.tianyancha.com/)
启信宝（https://www.qixin.com/)

站长之家:http://whois.chinaz.com/
邮箱反查、注册人反查、电话反查。
推荐个项目:https://github.com/code-scan/BroD omain 兄弟域名查询。https://www.qimai.cn/
查微信相关的资产可利用搜狗浏览器,查微信即可

oneforAll#挂代理和不挂代理时可能跑出的域名区别较大xray进行收集goby 端口+指纹识别很nice一个真实IP获取域名(入其他的域名获取IP的权限状况)
企业c段范围#在线获取子域名的接口http://tools.xiu09.cn/zym/https://api.hackertarget.com/reverseiplookup/?q=www.ccnu.edu.cn//q等于需要挖取的站，一般挖的是盘站

#御剑批量版本#dirseach#jsfinder

https://wooyun.x10sec.org/

P牛知识星球里分享的github搜索关键词:https://twitter.com/obheda12/status/1316513838716551169github子域名监控项目:https://github.com/FeeiCN/GSIL常见的泄露内容:乌云上有一些案例，可以看一看。员工内部邮箱、登录账号、密码。企业的一些内部系统域名、ip泄露。企业网站的工程代码、网站源码泄露，可以通过员工邮箱关键词查找，要注意日期，好几年的大概率不收了。在这里插入代码片

#信息泄露中比较常见的swagger-ui服务泄露，可能直接提交会忽略或者低危，别忘了进一步测试泄露的接口功能#越权导致的信息泄露#很多时候越权来来去去都是更改一个参数的问题,更多的时候还是要细心的一个一个测业务功能，注意观察和测试操作参数和对象参数，操作参数一般是增删改查对应特定业务的敏感操作、对象参数一般是用户或者物品等

https://mp.weixin.qq.com/s/v2MRx7qs70lpnW9n-mJ7_Qhttps://bbs.ichunqiu.com/article-921-1.html
针对IP通过开源情报+开放端口分析查询https://x.threatbook.cn/（主要）https://ti.qianxin.com/https://ti.360.cn/https://www.venuseye.com.cn/https://community.riskiq.com/

Welcome to Burp suite #搜集burp的东西# CVE-2019-17558 Apache Solr Velocity模板远程代码执行app="Apache-Shiro"# 搜索湖北地区的资产 && region="Hubei"# 医院"*hospital.*" && region="Hubei"#教育机构"*edu.*" && region="Hubei"#搜索host内所有带有qq.com的域名: host="qq.com"1.title="后台管理" 搜索页面标题中含有“后台管理”关键词的网站和IP2、header="thinkphp" 搜索HTTP响应头中含有“thinkphp”关键词的网站和IP3、body="管理后台" 搜索html正文中含有“管理后台”关键词的网站和IP4、body="Welcome to Burp Suite" 搜索公网上的BurpSuite代理5、domain="itellyou.cn" 搜索根域名中带有“itellyou.cn”的网站6、host="login" 搜索域名中带有"login"关键词的网站7、port="3388" && country=CN 搜索开放3388端口并且位于中国的IP8、ip="120.27.6.1/24" 搜索指定IP或IP段9、cert="phpinfo.me" 搜索证书(如https证书、imaps证书等)中含有"phpinfo.me"关键词的网站和IP10、ports="3306,443,22" 搜索同时开启3306端口、443端口和22端口的IP11、ports=="3306,443,22" 搜索只开启3306端口、443端口和22端口的IP12.protocol=“https”，搜索指定协议类型13.app="phpinfo"搜索某些组件相关系统14.title=“powered by” && os==windows 搜索网页标题中包含有特定字符并且系统是 windows的网页#利用且语句进行连接代#15.搜索目录遍历的漏洞body="Directory listing for ”|| ||body=“转到父目录”#16.找摄像头title=“~~UI3-Blue Iris~~ ”&&port=“82”或者cc**#17 找被入侵网址#Hacked by#body=“miner.start("&&header!="Mikrotik HttpProxy"&&country=CN18找配置文件config.php#19  cms查找思路①利用ico的hash值进行查找-->先把如http.favicon.hash思路链接地址https://blog.csdn.net/weixin_45859734/article/details/111087843②利用网络安全产品代https://t.wangan.com/c/products.html


#利用hash值进行搜索脚本学校的import mmh3import requests
response = requests.get(‘https://www.nchu.edu.cn/favicon.ico’,verify=False)favicon = response.content.encode(‘base64’)hash = mmh3.hash(favicon)print hash

org组织的指定组织的org="China Education and Research Network Center"

搜集①相关邮箱#邮箱搜集可以利用的很不错的工具#theHarvester的使用-d  服务器域名-l  限制显示数目-b  调用搜索引擎（baidu,google,bing,bingapi,pgp,linkedin,googleplus,jigsaw,all）-f  结果保存为HTML和XML文件-h  使用撒旦数据库查询发现主机信息#实例1theHarvester -d sec-redclub.com -l 100 -b baidu相关公司的名称公司类的用户名常用-->首写字母+名@xxx②搜集相关用户名思路利用天眼查或者企查查适用于所有公司（尤其是科技公司），就是爬一下这个公司的专利信息列表。由于专利信息都是公开的，能找到大量人员真实姓名，而且多半是技术人员。
企查查和天眼查都可以做这个事情

#基本语法:#1.)搜索主机名hostname:google.com#2.)搜索相关服务类,如mysql#3.)城市类语法如搜索在中国适用Apache的app app:Apache country:CN#4.)搜索ip 直接ip即可

https://censys.io/ipv4

#基本语法#1.)搜索ip段中的主机 23.0.0.0/8 or 8.8.8.0/24#2.)查询没有安装受信任证书的流行网站 not 443.https.tls.validation.browser_trusted: true#3.)查询位于德国开放了Telnet和ftp的主机 location.country_code: DE and protocols: ("23/telnet" or "21/ftp")#4.)使用Apache并支持HTTPS的流行网站#80.http.get.headers.server: Apache and protocols: "443/https"

#常用的几个方法#没有漏洞的几个方法①子域名②hash值③dns历史查询#用户角度进行④国外进行访问⑤通过目标自身的邮件系统进行获取到真实ip#存在漏洞的几个方法①phpinfo这些方法

(1)查询子域名：毕竟 CDN 还是不便宜的，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。传送门——> 子域名信息查询
(2)查询主域名：以前用CDN的时候有个习惯，只让WWW域名使用cdn，秃域名不适用，为的是在维护网站时更方便，不用等cdn缓存。所以试着把目标网站的www去掉，ping一下看ip是不是变了，您别说，这个方法还真是屡用不爽。
(3)邮件服务器：一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件，寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，就可以获得目标的真实IP(必须是目标自己的邮件服务器，第三方或者公共邮件服务器是没有用的)。
(4)查看域名历史解析记录：也许目标很久之前没有使用CDN，所以可能会存在使用 CDN 前的记录。所以可以通过网站https://www.netcraft.com 来观察域名的IP历史记录。
(5)国外访问：国内的CDN往往只对国内用户的访问加速，而国外的CDN就不一定了。因此，通过国外在线代理网站https://asm.ca.com/en/ping.php 访问 ，可能会得到真实的ip地址。
(6)Nslookup查询：查询域名的NS记录、MX记录、TXT记录等很有可能指向的是真实ip或同C段服务器。传送门：各种解析记录
(7)网站漏洞：利用网站自身存在的漏洞，很多情况下会泄露服务器的真实IP地址
(8)Censys查询SSL证书找到真实IP：利用“Censys网络空间搜索引擎”搜索网站的SSL证书及HASH，在https://crt.sh上查找目标网站SSL证书的HASH，然后再用Censys搜索该HASH即可得到真实IP地址
443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:***trade.com

web入口渗透通过网站的各种漏洞来 getshell，比如文件上传、命令执行、代码执行、还有 SQL 注入写入一句话（into outfile、日志备份等）数据库入口渗透外网暴露的数据库入口点弱口令；web 网站 SQL 注入。

①通过查询语句直接定位web端ip地址#定位web端ip地址select * from information_schema.PROCESSLIST;②利用load_file获取ip类#利用load_file读取服务器中的敏感信息select load_file('C:/test.txt');# 左斜杠 /#三个典型文件/etc/udev/rules.d/70-persistent-net.rules获取网卡名称  /etc/sysconfig/network-scripts/ifcfg-网卡静态IPDHCP的话/var/lib/dhclient/dhclient--网卡.lease

1.)利用获取客户端和服务端的主机名进行判断是否属于库站分离#得到客户端主机名select host_name();#得服务端主机名select @@servername;进行比较是否相同即可获取是否属于站库分类
2.)利用存储过程执行命令判断是否属于站库分离XP_CMDSHELLSP_OACREATE