标签：总结攻防 github 收集 -- xxx site https com

1.公司查询

备案号能拿到公司最直接的域名信息

工信部的ICP备案查询系统：https://beian.miit.gov.cn/#/Integrated/recordQuery

爱企查，企查查

收集关系图谱、企业图谱

whois查询

http://whois.chinaz.com/
https://whois.aizhan.com/

enscan工具

个人觉得非常不错的收集子公司以及主域的工具，在配置文件添加爱企查的cookie即可使用
地址：https://github.com/wgpsec/ENScan_GO

2.子域名探测

爆破子域名

在线工具 https://scan.javasec.cn/

被动收集（空间搜索引擎

谷歌语法，fofa，鹰图，00信安

证书法

https://crt.sh/
https://search.censys.io/certificates

ARL 重启：docker compose restart
OneForAll

也是个人最喜欢的子域名收集工具，缝合了很多fofa，爆破子域名等功能
单个：python3 oneforall.py --target www.gdfs.edu.cn run
批量：python3 oneforall.py --targets xxx.txt run

DNS公开数据

https://searchdns.netcraft.com/

HOST碰撞

3.端口探测 -p -A

cdn绕过：

1.海外ping
2.历史dns信息，查到的ip能直接访问就是真实ip
https://www.dnsdb.io/zh-cn/
https://securitytrails.com/
https://sitereport.netcraft.com/?url=
3.多地ping，如果是同个ip就是 ipchaxun.com）
4.从源代码获取真实ip
5.从fofa等搜索引擎
6.证书：https://crt.sh/

验证是否为真实ip：

1.直接访问ip
2.端口扫描看与目标是否一致
3.绑定hosts访问
4.view-source:xxx.xxx.xxx.xxx，表明这是真实ip，如果是真，则返回网站源代码。如果是假，则返回cdn信息

端口扫描

1、nmap

nmap -sS -Pn -n --open --min-hostgroup 4 --min-parallelism 1024 --host-timeout 30 -T4 -v -oG result.txt -iL ip.txt
nmap -sS -Pn --open --min-hostgroup 1024 --min-parallelism 10 --host-timeout 30 -p 1-65535 -v 192.168.1.1/24 -T5 >port.txt
-sS：使用SYN方式扫描，默认用的是-sT方式，即TCP方式，需要完成完整的三次握手，比较费时，SYN就比较快一些了；
-Pn：禁用PING检测，这样速度快，并且可以防止有些主机无法ping通而被漏掉不扫描；
-n：功能未知；
–open：只输出检测状态为open的端口，即开放的端口；
–min-hostgroup 4：调整并行扫描组的大小；
–min-parallelism 1024：调整探测报文的并行度；
–host-timeout 30：检测超时的跳过
-T4：总共有T0-T5，貌似T4比较折中
-v：打印详细扫描过程
-oG：输出为比较人性化的格式，一条记录一行，后期好处理
-iL：载入ip段文件，批量扫，不用一条条执行了。

扫描c段：
nmap -sn 192.168.0.107/24
nmap -sn -PE -n 58.20.60.0/24
这个两个命令都是进行主机发现，-sP/-sn 关闭主机扫描实现ping 功能，可加-v
操作系统指纹识别：-O
服务版本探测：-sV
使用小数据包发送，避免被识别出：-f
全端口扫描：-sS -p 1-65535 -v 192.168.1.254
参数：
-sS TCP SYN扫描 nmap -sS 192.168.1.254
-P 指定端口扫描 nmap -sS -P 1-65535 192.168.1.254
-V 详细信息 nmap -V -sS 192.168.1.254
-sn 不扫描端口
-PE ICMP扫描
-n 不进行dns解析

2、naabu

./naabu -p - -list hosts.txt -o 1.cvs

3.被动查询c段和端口，使用各种空间测绘引擎

fofa，谷歌，鹰图

4.目录扫描

dirsearch工具

python3 dirsearch.py -u "[https://zs.csmu.edu.cn"](https://zs.csmu.edu.cn") --delay=1 -e* -x 301,403,404 -o xml
python3 dirsearch.py -l url.txt -e* -x 301,302,403,404,500,400 -o 1.xml
python dirsearch.py -u url -e * (或[指定后缀]) -s[延迟] -X[去掉的后缀] -i[保留状态码] -x[删除状态码]-w[字典目录]
--timeout=2 --random-agent
kali自带字典https://blog.csdn.net/qq_43093288/article/details/130360951

5.指纹识别

finger

python3 Finger.py -f url.txt

allin

1、cdnscan：使用场景: 大量IP需要确认是否为CDN节点时
python AlliN.py -f AllIP.txt -m cdnscan
2、sscan：tscan-安全版本，去掉了tscan自动识别shiro的功能。
python AlliN.py --host 10.1.1.1/24 -p 80 -m sscan
3、subscan：子域名扫描
python AlliN.py --host "xx.com" -m subscan
4、tscan：标题扫描，如果只要tscan不需要加任何参数
python AlliN.py --host 10.1.1.1/24 -p 80
5、pscan：指端口扫描，-p 指定端口全端口使用参数-p-
python AlliN.py --host 10.1.1.1/24 -p 80 -m pscan
6、fscan：指利用fofa扫描。
-q 输入查询语法，查询语法参考fofa搜索规则。
--fs 指fofa搜索记录，默认10000条
python AlliN.py -q domain="baidu.com" -m fscan --fs 200
7、infoscan：
查询各种信息，目前有：
DNS记录(vt)
DNS对应IP解析历史（vt)
whois信息
cnnic信息（ip运营商信息）
shodan 收集的相关ip（按C段分类）
fofa 收集的相关ip（按C段分类）
检查ip是否为阿里云服务器（or 腾讯云服务器）
python AlliN.py --host "baidu.com" -m infoscan

潮汐在线指纹识别

http://finger.tidesec.net/

EHole工具

./Ehole3.0-linux -l urls.txt -json export.json

云悉在线指纹识别

https://www.yunsee.cn/

开发语言识别思路

  1. 通过爬虫获取动态链接然后进行正则匹配判断
  2. header头中X-Powered-By信息
  3. Set-Cookie特征信息
  4. 如包含PHPSSIONID说明是php、包含JSESSIONID说明是java、包含ASP.NET_SessionId说明是aspx。
     <a name="nSItH"></a>

服务器系统识别思路

  1. 通过ping命令根据回显中的ttl值来判断是win还是linux，但值可被修改精准度不高。默认Linux是64，win是128
  2. 页面回显、报错回显、header头等站点泄露的系统信息。
  3. nmap -O IP
     <a name="QRBaR"></a>

CMS识别思路

请求头信息关键字

通过匹配http响应包中的banner信息来识别。
如：

X-Powered-By字段
Cookies 特征
Server信息
WWW-Authenticate
Meta特征

url关键字（搜索路径

将url中存在路由、robots.txt、爬虫结果与规则库做对比分析来判断是否使用了某CMS
如：

wordpress默认存在目录：wp-includes、wp-admin
织梦默认管理后台：dede
帝国常用目录：login/loginjs.php
weblogic常用目录：wls-wsat
jboss常用目录：jmx-console

6.旁站查询

同ip站点

站长之家http://stool.chinaz.com/

7.搜索引擎语法

谷歌语法

（site：指定域名 filetype:xls 指定文件）

fofa语法

IP=“XXX”
搜索标题为特定内容——title="后台登录"
搜索正文中含有为特定内容——body="账号"
搜索url中含有为特定内容——host="xxx"
搜索具体端口——port="8080"
搜索所有子域名，如：domain="qq.com"
搜索中国的服务器 country=”CN” 全球国家缩写如下链接:

https://zhidao.baidu.com/question/538403206.html

过滤状态码status_code=""

8.邮箱收集

爬取邮箱

验证邮箱准确

9.waf识别

wafw00f

https://github.com/EnableSecurity/wafw00f

10.敏感信息收集

1.目录扫描

dirseach工具

2.GitHub信息收集

(全意识薄弱的同事经常会将公司的代码、各种服务的账户等极度敏感的信息『开源』到github中) 域名公司名等搜索
工具：https://github.com/obheda12/GitDorke

3.google配合github

1.邮件配置信息收集
site:github.com smtp
site:github.com pop
site:github.com smtp @qq.com
site:github.com smtp @163.com
site:github.com smtp password
site:github.com String password smtp
site:github.com String protocol = "pop3"
结合厂商域名，灵活运用
sit:github.com smtp @sina.com
2.数据库收集
site:github.com sa password
site:github.com root password
site:github.com User ID='sa';Password
site:github.com inurl:sql
3.综合收集
site:github.com password
site:github.com ftp ftppassword
site:github.com 密码
site:github.com 内部

4.在线云盘搜索（百度各大在线云盘搜索公司名域名等）

某些安全意识薄弱的人员可能上传资料到一些网盘中，没有加密码或者密码泄露，然后被一些在线云盘抓取收录了，导致信息泄露。
凌风云搜索：https://www.lingfengyun.com/

5.历史页面

https://web.archive.org/

6.js收集

  - 介绍

  - 工具

python3 linkfinder.py -i https://zkaq.cn/js/jquery-1.11.3.min.js -o results.html
python3 linkfinder.py -i https://zkaq.cn -d -o cli

  - 手工小技巧

1.搜索“/”,"path:","http"等关键字
2.点花括号整理代码
3.有的js下面会配置POST或者GET包，需要构造

  - 例子

1.https://cn-sec.com/archives/1133137.html
2.https://cn-sec.com/archives/952137.html
3.https://www.cnblogs.com/BOHB-yunying/p/15074535.html（api接口信息泄露）

11.寻找绝对路径

插入一句话木马时是需要知道网站绝对路径的，这里总结一下爆路径的方法。

单引号爆路径

直接在URL后面加单引号，要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。
www.xxx.com/news.php?id=1′

错误参数值爆路径

将要提交的参数值改成错误值，比如-1。-99999单引号被过滤时不妨试试。
www.xxx.com/researcharchive.php?id=-1

空间搜索引擎爆路径

结合关键字和site语法搜索出错页面的网页快照，常见关键字有warning和fatal error。注意，如果目标站点是二级域名，site接的是其对应的顶级域名，这样得到的信息要多得多。

Site:xxx.edu.tw warning
Site:xxx.com.tw “fatal error”

测试文件爆路径

很多网站的根目录下都存在测试文件

www.xxx.com/test.php
www.xxx.com/ceshi.php
www.xxx.com/info.php
www.xxx.com/phpinfo.php
www.xxx.com/php_info.php
www.xxx.com/1.php

phpmyadmin爆路径

一旦找到phpmyadmin的管理页面，再访问该目录下的某些特定文件，就很有可能爆出物理路径。至于phpmyadmin的地址可以用wwwscan这类的工具去扫，也可以选择google。

/phpmyadmin/libraries/lect_lang.lib.php
/phpMyAdmin/index.php?lang[]=1
/phpMyAdmin/phpinfo.php
load_file

标签：总结,攻防,github,收集,--,xxx,site,https,com
From： https://www.cnblogs.com/xiaoxin07/p/18097071

攻防中的信息收集总结