1.公司查询
- 备案号能拿到公司最直接的域名信息
工信部的ICP备案查询系统:https://beian.miit.gov.cn/#/Integrated/recordQuery
- 爱企查,企查查
收集关系图谱、企业图谱
- whois查询
http://whois.chinaz.com/
https://whois.aizhan.com/
- enscan工具
个人觉得非常不错的收集子公司以及主域的工具,在配置文件添加爱企查的cookie即可使用
地址:https://github.com/wgpsec/ENScan_GO
2.子域名探测
- 爆破子域名
- 被动收集(空间搜索引擎
谷歌语法,fofa,鹰图,00信安
- 证书法
https://crt.sh/
https://search.censys.io/certificates
- ARL 重启:
docker compose restart
- OneForAll
也是个人最喜欢的子域名收集工具,缝合了很多fofa,爆破子域名等功能
单个:python3 oneforall.py --target www.gdfs.edu.cn run
批量:python3 oneforall.py --targets xxx.txt run
- DNS公开数据
https://searchdns.netcraft.com/
HOST碰撞
3.端口探测 -p -A
cdn绕过:
1.海外ping
2.历史dns信息,查到的ip能直接访问就是真实ip
https://www.dnsdb.io/zh-cn/
https://securitytrails.com/
https://sitereport.netcraft.com/?url=
3.多地ping,如果是同个ip就是 ipchaxun.com)
4.从源代码获取真实ip
5.从fofa等搜索引擎
6.证书:https://crt.sh/
验证是否为真实ip:
1.直接访问ip
2.端口扫描看与目标是否一致
3.绑定hosts访问
4.view-source:xxx.xxx.xxx.xxx,表明这是真实ip,如果是真,则返回网站源代码。如果是假,则返回cdn信息
端口扫描
1、nmap
nmap -sS -Pn -n --open --min-hostgroup 4 --min-parallelism 1024 --host-timeout 30 -T4 -v -oG result.txt -iL ip.txt
nmap -sS -Pn --open --min-hostgroup 1024 --min-parallelism 10 --host-timeout 30 -p 1-65535 -v 192.168.1.1/24 -T5 >port.txt
-sS:使用SYN方式扫描,默认用的是-sT方式,即TCP方式,需要完成完整的三次握手,比较费时,SYN就比较快一些了;
-Pn: 禁用PING检测,这样速度快,并且可以防止有些主机无法ping通而被漏掉不扫描;
-n: 功能未知;
–open: 只输出检测状态为open的端口,即开放的端口;
–min-hostgroup 4:调整并行扫描组的大小;
–min-parallelism 1024:调整探测报文的并行度;
–host-timeout 30:检测超时的跳过
-T4:总共有T0-T5,貌似T4比较折中
-v:打印详细扫描过程
-oG:输出为比较人性化的格式,一条记录一行,后期好处理
-iL:载入ip段文件,批量扫,不用一条条执行了。
扫描c段:
nmap -sn 192.168.0.107/24
nmap -sn -PE -n 58.20.60.0/24
这个两个命令都是进行主机发现,-sP/-sn 关闭主机扫描 实现ping 功能 ,可加-v
操作系统指纹识别:-O
服务版本探测:-sV
使用小数据包发送,避免被识别出:-f
全端口扫描:-sS -p 1-65535 -v 192.168.1.254
参数:
-sS TCP SYN扫描 nmap -sS 192.168.1.254
-P 指定端口扫描 nmap -sS -P 1-65535 192.168.1.254
-V 详细信息 nmap -V -sS 192.168.1.254
-sn 不扫描端口
-PE ICMP扫描
-n 不进行dns解析
2、naabu
./naabu -p - -list hosts.txt -o 1.cvs
3.被动查询c段和端口,使用各种空间测绘引擎
4.目录扫描
dirsearch工具
python3 dirsearch.py -u "[https://zs.csmu.edu.cn"](https://zs.csmu.edu.cn") --delay=1 -e* -x 301,403,404 -o xml
python3 dirsearch.py -l url.txt -e* -x 301,302,403,404,500,400 -o 1.xml
python dirsearch.py -u url -e * (或[指定后缀]) -s[延迟] -X[去掉的后缀] -i[保留状态码] -x[删除状态码]-w[字典目录]
--timeout=2 --random-agent
kali自带字典https://blog.csdn.net/qq_43093288/article/details/130360951
5.指纹识别
- finger
- allin
1、cdnscan:使用场景: 大量IP需要确认是否为CDN节点时python AlliN.py -f AllIP.txt -m cdnscan
2、sscan:tscan-安全版本,去掉了tscan自动识别shiro的功能。python AlliN.py --host 10.1.1.1/24 -p 80 -m sscan
3、subscan:子域名扫描python AlliN.py --host "xx.com" -m subscan
4、tscan:标题扫描,如果只要tscan不需要加任何参数python AlliN.py --host 10.1.1.1/24 -p 80
5、pscan:指端口扫描,-p 指定端口 全端口使用参数-p-python AlliN.py --host 10.1.1.1/24 -p 80 -m pscan
6、fscan:指利用fofa扫描。
-q 输入查询语法,查询语法参考fofa搜索规则。
--fs 指fofa搜索记录,默认10000条python AlliN.py -q domain="baidu.com" -m fscan --fs 200
7、infoscan:
查询各种信息,目前有:
DNS记录(vt)
DNS对应IP解析历史(vt)
whois信息
cnnic信息(ip运营商信息)
shodan 收集的相关ip(按C段分类)
fofa 收集的相关ip(按C段分类)
检查ip是否为阿里云服务器(or 腾讯云服务器)python AlliN.py --host "baidu.com" -m infoscan
- 潮汐在线指纹识别
- EHole工具
./Ehole3.0-linux -l urls.txt -json export.json
- 云悉在线指纹识别
开发语言识别思路
1. 通过爬虫获取动态链接然后进行正则匹配判断
2. header头中X-Powered-By信息
3. Set-Cookie特征信息
4. 如包含PHPSSIONID说明是php、包含JSESSIONID说明是java、包含ASP.NET_SessionId说明是aspx。
<a name="nSItH"></a>
服务器系统识别思路
1. 通过ping命令根据回显中的ttl值来判断是win还是linux,但值可被修改精准度不高。默认Linux是64,win是128
2. 页面回显、报错回显、header头等站点泄露的系统信息。
3. nmap -O IP
<a name="QRBaR"></a>
CMS识别思路
请求头信息关键字
通过匹配http响应包中的banner信息来识别。
如:
url关键字(搜索路径
将url中存在路由、robots.txt、爬虫结果与规则库做对比分析来判断是否使用了某CMS
如:
- wordpress默认存在目录:wp-includes、wp-admin
- 织梦默认管理后台:dede
- 帝国常用目录:login/loginjs.php
- weblogic常用目录:wls-wsat
- jboss常用目录:jmx-console
6.旁站查询
- 同ip站点
7.搜索引擎语法
谷歌语法
(site:指定域名 filetype:xls 指定文件)
site:xx.com intext:管理|后台|登陆|用户名|密码|系统|帐号|admin|login|sys|managetem|password|username
site:xx.com inurl:login|admin|manage|member|admin_login|login_admin|system|login|user
查找上传点:site:xx.com inurl:file| uploadfile
fofa语法
- IP=“XXX”
- 搜索标题为特定内容——title="后台登录"
- 搜索正文中含有为特定内容——body="账号"
- 搜索url中含有为特定内容——host="xxx"
- 搜索具体端口——port="8080"
- 搜索所有子域名,如:domain="qq.com"
- 搜索中国的服务器 country=”CN” 全球国家缩写如下链接:
https://zhidao.baidu.com/question/538403206.html
8.邮箱收集
爬取邮箱
- https://hunter.io/search/gdou.edu.cn
- http://www.veryvp.com/Emailgo/index
- http://www.skymem.info/
- https://www.email-format.com/i/search/
- https://github.com/bit4woo/teemo
- https://github.com/laramies/theHarvester
验证邮箱准确
9.waf识别
- wafw00f
https://github.com/EnableSecurity/wafw00f
10.敏感信息收集
1.目录扫描
2.GitHub信息收集
- (全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中) 域名公司名等搜索
- 工具:https://github.com/obheda12/GitDorke
3.google配合github
1.邮件配置信息收集
site:github.com smtp
site:github.com pop
site:github.com smtp @qq.com
site:github.com smtp @163.com
site:github.com smtp password
site:github.com String password smtp
site:github.com String protocol = "pop3"
结合厂商域名,灵活运用
sit:github.com smtp @sina.com
2.数据库收集
site:github.com sa password
site:github.com root password
site:github.com User ID='sa';Password
site:github.com inurl:sql
3.综合收集
site:github.com password
site:github.com ftp ftppassword
site:github.com 密码
site:github.com 内部
4.在线云盘搜索(百度各大在线云盘搜索公司名域名等)
某些安全意识薄弱的人员可能上传资料到一些网盘中,没有加密码或者密码泄露,然后被一些在线云盘抓取收录了,导致信息泄露。
凌风云搜索:https://www.lingfengyun.com/
5.历史页面
6.js收集
- 介绍
- 工具
python3 linkfinder.py -i https://zkaq.cn/js/jquery-1.11.3.min.js -o results.html
python3 linkfinder.py -i https://zkaq.cn -d -o cli
- 手工小技巧
1.搜索“/”,"path:","http"等关键字
2.点花括号整理代码
3.有的js下面会配置POST或者GET包,需要构造
- 例子
1.https://cn-sec.com/archives/1133137.html
2.https://cn-sec.com/archives/952137.html
3.https://www.cnblogs.com/BOHB-yunying/p/15074535.html(api接口信息泄露)
11.寻找绝对路径
插入一句话木马时是需要知道网站绝对路径的,这里总结一下爆路径的方法。
单引号爆路径
直接在URL后面加单引号,要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。www.xxx.com/news.php?id=1′
错误参数值爆路径
将要提交的参数值改成错误值,比如-1。-99999单引号被过滤时不妨试试。www.xxx.com/researcharchive.php?id=-1
空间搜索引擎爆路径
结合关键字和site语法搜索出错页面的网页快照,常见关键字有warning和fatal error。注意,如果目标站点是二级域名,site接的是其对应的顶级域名,这样得到的信息要多得多。
Site:xxx.edu.tw warning
Site:xxx.com.tw “fatal error”
测试文件爆路径
很多网站的根目录下都存在测试文件
www.xxx.com/test.php
www.xxx.com/ceshi.php
www.xxx.com/info.php
www.xxx.com/phpinfo.php
www.xxx.com/php_info.php
www.xxx.com/1.php
phpmyadmin爆路径
一旦找到phpmyadmin的管理页面,再访问该目录下的某些特定文件,就很有可能爆出物理路径。至于phpmyadmin的地址可以用wwwscan这类的工具去扫,也可以选择google。
/phpmyadmin/libraries/lect_lang.lib.php
/phpMyAdmin/index.php?lang[]=1
/phpMyAdmin/phpinfo.php
load_file
标签:总结,攻防,github,收集,--,xxx,site,https,com
From: https://www.cnblogs.com/xiaoxin07/p/18097071