利用证书透明度收集子域名

什么是证书透明度？ 在某些情况下，人为错误或假冒行为可能会导致误发证书。证书透明度 (CT) 改变了 签发流程，新流程规定：证书必须记录到可公开验证、不可篡改且只能附加内容的日 志中，用户的网络浏览器才会将其视为有效。通过要求将证书记录到这些公开的 CT 日志中，任何感兴趣的相关方都可以查看由授权中心签发的所有证书。借助该体系， 我们可以检测被证书授权中心误发的 SSL 证书，以及发现已失常并恶意签发证书的证 书授权中心。这可促使授权中心在签发证书时更加负责，从而有助于形成一个更可靠 的系统。

https://crt.sh/

https://sslmate.com/ct_search_api/

https://transparencyreport.google.com/https/certificates/

https://ui.ctsearch.entrust.com/ui/ctsearchui

利用dns数据收集子域名

DNS(Domain Name System) 域名系统

https://site.ip138.com/

https://spyse.com/tools/subdomain-finder

https://searchdns.netcraft.com/

https://hackertarget.com/find-dns-host-records/

利用威胁情报数据收集子域名

https://www.threatminer.org/index.php

https://www.virustotal.com/

https://x.threatbook.cn/

搜索引擎语法

google镜像站 https://fsou.cc
搜索引擎包括google/baidu/bing等
site:xxx.com //搜索xxx.com域名（包含子域名）的页面
inurl:login //搜索url中包含login的页面
intitle:login //搜索标题带有login的页面
intext:login //搜索网页内容中带有login的页面
filetype:doc //搜索后缀为doc的文件
减号-的用法：排除特定内容
双引号“”的用法：使搜索关键词不被拆分
https://www.exploit-db.com/google-hacking-database

空间测绘站点语法

fofa语法

域名https://fofa.so
title=
”beijing” //从标题中搜索“beijing”
body=
"网络空间测绘" //从html正文中搜索“网络空间测绘”
domain=
"qq.com" //搜索根域名带有qq.com的网站
host=
".gov.cn" //从url中搜索”.gov.cn”
port=
"6379" //查找对应“6379”端口的资产
ip=
"1.1.1.1/24" //查询IP为“1.1.1.1”的C网段资产
domain=
”qq.com” && port=
”22” //通过&&符号组合多个条

zoomeye语法

域名https://www.zoomeye.org/
title:”登录” //从标题中搜索“登录”
port:6379 //查找对应6379端口的资产
site:baidu.com //搜索域名带有baidu.com的网站
cidr:1.1.1.1/24 //查询IP为1.1.1.1的C网段资产
ip:”1.1.1.1” //查询IP为1.1.1.1的相关资产
service:"http" //搜索http服务资产
site:"baidu.com"+port:"22" //通过+查询多个条件

利用github收集信息

域名https://github.com/

github收集信息的关键点在于关键词的构造，常用关键词有

公司域名 pass //

搜索包含密码的内容 公司域名 smtp //

搜索邮箱配置 公司内部系统域名 //需要

信息收集-工具

子域名暴力破解

OneForAll--一款强大的子域名收集工具
https://github.com/shmilylty/OneForAll
使用方法：
python3 oneforall.py --target example.com run

通过js文件获取url与子域名

安装 git clone https://github.com/Threezh1/JSFinder.git
python3 JSFinder.py -u https://baidu.com //普通爬取
python3 JSFinder.py -u https://baidu.com -d //深度爬取
'''python3 JSFinder.py -u https://baidu.com -d -ou baidu_url.txt -os
baidu_subdomain.txt //url保存到baidu_url.txt，子域名保存到
baidu_subdomain.txt'''
python3 JSFinder.py -f text.txt //指定url，text.txt内容为url列表，每行一个
python3 JSFinder.py -f text.txt -j //指定js，text.txt内容为js的url，每行一个

app抓包

端口扫描

什么是端口？
"端口"是英文port的意译，可以认为是设备与外界通讯交流的出口。端口可分为虚拟
端口和物理端口，其中虚拟端口指计算机内部或交换机路由器内的端口，不可见。例
如计算机中的80端口、21端口、23端口等。物理端口又称为接口，是可见端口，计算
机背板的RJ45网口，交换机路由器集线器等RJ45端口。电话使用RJ11插口也属于物
理端口的范畴。

nmap 官网https://nmap.org/

常用参数

-sS/-sT #tcp半连接/tcp全连接方式扫描

-p #指定端口，支持多种写法，如-p22; -p22,80,443; -p1-65535;

-sV #显示端口对应服务详细版本信息

-iL #扫描多个ip或者多个网段时，可写入到文本文件里，按行分隔，通过-iL指定文件

-sC #调用默认脚本扫描

--host-timeout #设置每台主机扫描最大超时时间，避免大范围扫描时单台主机耗费时间， 单位为秒，即--host-timeout 30表示每台主机最多扫描30秒

-oN/-oX #输出普通文本格式/输出XML格