前言:一句话,渗透本质是信息收集。
whois查询
站长之家:
历史解析:
爱站工具网和站长网都可以查询到域名的相关信息如域名服务商,域名拥有者,以及邮箱电话,地址等信息)
网站的关于页面/网站地图(可查询到企业的相关信息介绍,如域名、解析的ip等)
备案信息查询:
搜索引擎:百度、搜狗、bing、谷歌。
用途:
利用以上收集到的邮箱、QQ、电话号码、姓名、以及域名服务商可以用来社工客户或者渗透域服务商,拿下域管理控制台,然后做域劫持;通过收集到邮箱,可以在社工库查找到是否有出现泄漏密码以及通过搜索引擎搜索到社交账号等信息,通过社交和社工得到的信息构造成密码字典,然后对 mail 和 oa 进行爆破或者撞库。
子域名挖掘
子域名爆破:
layer,K8,subDomainsBrute,dnsmaper,Sublist3r,google搜索语法,MaltegoCE,
在线子域名:
用途:
这推荐 layaer 和 k8 以及 subDomainsBrute 工具,当主站不好突破时,可以尝试从子站入手。
敏感信息收集
github 源 代 码 信 息 泄 露 收集( Github_Nuggests , GitHack ,GitPrey-master 以及 GitHarvester,gitscan,github 语法信息收集)
svn 信息泄漏收集(svn_git_scanner,seekret(目录信息搜索),Seay SVN 漏洞利用工具)
DS_Store 泄露(ds_store_exp)。
批量信息泄露扫描:bbscan
.hg 源码泄漏:dvcs-ripper-master。
Metagoofil 收集敏感的文档文件。
用途:
主要从 github 以及 google 语法入手收集的敏感的信息如账号和密码等。
查找到真实ip地址
1.通过邮件(看邮箱头源 ip)找真实 ip。
2.通过查询域名历史 ip,http://toolbar.netcraft.com。
3.通过 zmpap 全网爆破查询真实 ip。
4.子域名爆破.
5.通过扫描出网站测试文件如 phpinfo,test 等配置文件,根据路径字典强度,很容易跑出来的。
6.扫到备份,有时候查看配置。
7.主站使用 CND,二级域名不一定使用 CDN,二级域名不一定和主站同一个 IP 有可能是同 C 段,可以扫描整个 C 段 WEB 端口。
8.通过国外冷门的 DNS 的查询:nslookup xxx.com 国外冷门 DNS 地址 。
9.当CDN 配 置 解 析 不 完 全 , ping backlion.org 和 ping www.baklion.org 的 IP 不同 。
10.rss 订阅一般也会得到真实 IP 。
11.常用查历史记录真实 IP:
https://asm.ca.com/en/ping.php
http://www.cdnplanet.com/tools/cdnfinder/
http://toolbar.netcraft.com/site_report
http://viewdns.info/iphistory/?domain=
http://www.hosterstats.com/historicaldns.php
服务器信息以及脚本类型
通过 whatweb,p0f,httprint,httprecon 可得到网站指纹识别。
大数据平台信息收集
Cms指纹识别
CMS 指纹识别:御剑 web 指纹识别,WebRobot。
利用第三方漏洞平台(乌云和 seebug 以及补天漏洞),查看相关漏洞。
爬虫收集
spiderfoot(可爬虫出URL 链接以及JS 以及DOC 以及邮箱和子域名等信息)。Sn1per(自动化信息收集框架)。
通过 avws,netpsker,burpsuit 可进行爬虫扫描。Recon-ng(自动化信息收集框架)。instarecon 自动化信息爬虫收集。
利用google和bing等语法语句进行批量搜索
数据库文件,SQL 注入,配置信息,源代码泄露,未授权访问,CMS的 install 和后台地址,robots.txt 等信息。
ip段信息收集
通过子域名得到的 IP 然后整合出整个目标暴露在公网的 IP 通过 nessus 或者 nexpose 对整个 IP 段进行批量扫描端口,然后导入到 amiage 中进行渗透 通过对 C 段或者 B 段进行 IP 常用的 4000 个端口进行爆破扫描,最后整理出能正常访问的端 口,这里一般用脚本解决。