信息收集小总结

0x01前言

在一场完整的攻防重中之重就是信息收集，最近整理一下手里的信息收集的方式以及常用的工具吧。

0x02思路

首先我们先明确需要收集那些信息
1.主域名 一般来说主域名权限都属于目标系统（没有在名单中也会有额外加分）
2.子域名 单位针对子域名应有绝对控制权限，换句话说就是子域名的资产都是属于目标单位的
3.IP信息 互联网上都是根据IP地址进行定位的，一般大型集团通常购买IP都会购买连续的多个IP，或者三个公网IP段出口（移动、联通、电信），可以尝试C段IP地址是否属于单位
4.端口探测 探测开放了什么端口，同IP不同端口是最容易出现问题地方
5.指纹信息 确定是什么CMS就可以使用Nday梭哈，快速突破少不了指纹信息的确定
6.路径扫描 扫敏感路径，就不多说了
7.关键特征（备案号、网站图标、公开采招项目名称、SSL证书） 一般来说某些关键特征只有该单位才会使用，可以在Fofa、shodan之类的搜索引擎搜索关键字，说不定会有意外收获
今天的信息收集就以百度大哥为例子了，哈哈哈 注：我会把我知道的工具都列出来，但是我只会放一些我自己常用的工具使用截图

0x03主域名信息

这个我就不多说了，一般都是浏览器直接搜索
如果搜索不到可以使用以下进行查询
天眼查：https://www.tianyancha.com/
企查查：https://www.qcc.com/
爱企查：https://aiqicha.baidu.com/

1.使用天眼查确定主域名地址

0x04子域名信息

1. Layer子域名挖掘机
http://www.downcc.com/soft/164780.html
基于字典爆破的神器，牛就完了
我的也是从网上下载的，这是我随便找的链接，无法确定安全性

2.OneForAll
https://github.com/shmilylty/OneForAll
一款基于被动信息收集对子域名进行收集的工具，\config\api.py文件定义了第三方API，可以很方便的利用第三方接口收集敏感信息
python3 oneforall.py --target baidu.com run

3.JSFinder
https://github.com/Threezh1/JSFinder
一款通过正则快速在网站的js文件中提取URL，子域名的工具，支持递归查询。
python JSFinder.py -u https://baidu.com

4.搜索引擎(Google、百度、必应等搜索引擎语法搜索)
Google搜索引擎：
site:baidu.com -www.baidu.com

5.网络空间搜索引擎搜索
Fofa：domain=baidu.com

shodan:domain=baidu.com

还有一些暴力枚举的工具，因为暴力破解都是基于字典的，建议使用一个工具就够了
subDomainsBrute：https://github.com/lijiejie/subDomainsBrute
subDomainFinder：https://github.com/Jewel591/SubDomainFinder
ksubdomain：https://github.com/knownsec/ksubdomain
在线子域名爆破：https://phpinfo.me/domain/

0x05IP探测

1.Ping 探测

ping baidu.com

2. CDN绕过获取真实IP
全国PING：判断是否存在CDN
https://ping.chinaz.com/　　
https://www.vsping.com/ping
查找DNS初始解析记录：因为CDN主要是做负载均衡和加快用户请求访问的，网站初始是一般来说用不到CDN，访问量增加时才会考虑购买CDN增加用户体验
https://www.ip138.com/
https://ipchaxun.com
https://viewdns.info/iphistory/
https://sitereport.netcraft.com/
国外PING： 可能会出现真实IP，因为有的CDN只是针对国内厂商，遇到国外的请求可能会解析到真实IP上
https://www.wepcc.com/
边缘业务的小程序、子域名、APP客户端
邮箱服务器 注：邮箱服务器不支持CDN，但是邮箱服务器很有可能是委托在邮箱服务器厂商上的（例如：腾讯企业邮箱、263企业邮箱等）
Fofa搜索网站标题

3.IP 段
购买IP一般都会购买整个C段或几个相邻IP，尝试访问相邻IP确定是否存在该单位相同资产
Fofa: ip="123.123.123.123/24"

0x06端口扫描

1. nmap
https://nmap.org
老牌工具了

nmap -p <prot> baidu.com  //指定端口扫描
nmap -p- baidu.com //全端口扫描

2.Goby
https://gobies.org/
图形化工具，可以存在指纹时候和漏洞利用模块，也挺方便的

还有一系列的漏洞基于主动信息收集的端口扫描工具

masscan：https://github.com/robertdavidgraham/masscan
御剑高速TCP全端口扫描工具 ： http://caidaome.com/?post=70
Advanced Port Scanner ： https://www.advanced-port-scanner.com/cn/
小米范Web查找器：https://www.cnblogs.com/fsqsec/p/5610981.html

0x07指纹扫描

1.wappalyzer插件
Google商店直接下载安装即可

2.在线指纹探测
whatweb：http://whatweb.bugscaner.com/look/

云悉：http://finger.tidesec.net/
360：https://fp.shuziguanxing.com/#/
潮汐：http://finger.tidesec.net/

3.工具类
Glass：https://github.com/s7ckTeam/Glass
潮汐指纹识别工具：https://github.com/TideSec/TideFinger

0x08路径扫描

注：目录扫描一般都是基于字典的，使用其中一个工具就可以了
1.御剑后台扫描珍藏版
https://www.jb51.net/softs/43405.html

2. dirscan
https://github.com/maurosoria/dirsearch

其他可以了解的工具
dirbuster：kali中的目录扫描器，会根据已经扫描到的目录生成可能存在路径去扫描，挺有意思，不过动辄就是扫一天。
御剑目录扫描专业版 ：https://github.com/foryujian/yjdirscan
dirmap：https://github.com/H4ckForJob/dirmap

0x09关键特征提取

1.网站图标
一般来说图标都很具有唯一性的，可以将网站图标作为查找条件相同图标的网站
默认路径/favicon.ico

fofa使用（注：这个功能需要高级会员）

2.关键字查询
备案号查询：一般来说网站备案号都是唯一的
Fofa："备案号"

3.查找该单位在建项目或已经建设完成的项目
例如某某系统建设项目，尝试直接在互联网上搜索或者Fofa关键字搜索

4.SSL证书查询
一般大型集团都会有自己的SSL证书，可以通过搜索SSL证书的方式找的属于该单位资产
fofa:cert=关键字
fofa cert关键字怎么找：
直接Cert=其中的Organization字段可以，CommonName字段也可以.

查找证书解析到的网站
https://censys.io/
https://crt.sh/

0x09 结语

个人收集，有不足指出请留言指正，也希望大佬可以推荐一些更好用的工具和小技巧
乌特拉安全实验室原创，扫码关注微信公众号：