信息收集-扩大攻击面

信息收集

声明

学习视频来自B站UP主 泷羽sec,如涉及侵权马上删除文章
笔记的只是方便各位师傅学习知识,以下网站只涉及学习内容,其他的都与本人无关,切莫逾越法律红线,否则后果自负

目的：增加攻击面

一般情况下，主站点的防护工作更加全面，渗透难度大。我们可以转换思路，通过信息收集，增加攻击面，从多方面入手。

拿到一个站点，如何去做信息收集？

1. 域名信息收集

首先，可以通过第三方工具（如爱站、站长之家等）查询目标站点注册过的域名及其关联的其他域名。通过对比这些域名之间的关系，确定是否存在子域名或其他相关资产，以全面评估目标网络的边界。

另外，可以使用一些高级工具如 微步社区 进行域名反查，获取更多的子域名信息，逐一排查这些子域名是否属于同一站点或组织。这些子域名有时会暴露出新的潜在攻击面。

2. CDN 和真实IP的检测

通过 nslookup 工具（如按 “Win + R” 输入 nslookup 域名）可以检测站点是否使用了 CDN。如果返回多个 IP 地址，说明该站点极有可能使用 CDN 加速或防护。为了获取真实 IP，可以借助 微步社区 或其他 DNS 解析工具进行深度分析，找到站点未隐藏的真实 IP。

同时，也可以通过 who.is ，查询网站在全球范围内的 IP 地址分布，尤其对于拥有国内外服务器的站点。这一信息有助于了解站点的全球架构，进一步收集有价值的资产信息。

3. Whois 及企业信用信息查询

利用如 腾讯的 Whois 查询等网站，可以针对目标进行 Whois 查询，获取注册人、联系方式等关键信息，尤其对 .edu 和 .gov 的网站，由于国内信息过滤严格，通常需要借助多个平台确保信息的全面性。

在获取到注册邮箱等信息后，可以根据实际情况利用社会工程学（例如通过钓鱼攻击）进行进一步的渗透尝试。当然，这种方法在国内法律框架下应谨慎使用，避免违法操作。

此外，通过 国家企业信用信息公示系统 可以查询目标企业的背景、ICP 备案等信息，这有助于全面了解企业的合法身份、注册情况以及背后的基础架构。借助 企查查、天眼查 等工具，也能进一步挖掘出企业的法人、联系电话等详细信息。

4. 搜索引擎与谷歌语法

在完成基本信息收集后，可以通过搜索引擎进行进一步的信息扩展。例如，利用谷歌语法通过指定关键词来查找可能泄露的敏感信息：

intext:“身份证” intext:“电话” filetype:xlsx
filetype:pdf inurl:合同
这种方法可以通过精确的关键词组合，寻找泄露的文件、合同或其他敏感数据。

同样，通过 SEO 综合查询 工具（如爱站、站长之家等）可以分析目标站点的 SEO 排名、收录页面以及历史信息，这些数据有助于了解站点的曝光情况及潜在的弱点。

5. 测绘引擎、端口服务挖掘

使用资产测绘引擎如 FOFA 等，可以帮助我们快速定位目标站点的暴露资产，特别是开放的端口或服务。通过 Nmap 等工具扫描端口，了解目标站点提供的服务类型，并对其特殊端口（如 SSH、RDP、数据库等）进行直接访问，可能会意外发现一些未被妥善防护的服务。

在扫描过程中，还可以查看页面底部的版权或框架信息，了解站点使用的后台管理系统或搭建信息。

6. 中间件、CMS 和历史漏洞检测

通过经验或使用插件，可以检测目标站点是否使用了特定的 CMS（如 WordPress、Joomla）、中间件或框架，进一步了解其可能存在的历史漏洞。类似的组件（如 Java 的 Jar 包、PHP 框架等）经常暴露出高危漏洞，能够为渗透测试提供直接的突破口。

7. 字典爆破与后台查找

对于目标站点的后台登录页面，可以使用字典爆破技术，通过庞大的字典库，暴力尝试各种用户名和密码组合，寻找弱口令或默认配置。

同样，浏览站点的 robots.txt 文件，可能会发现其中隐藏的敏感信息或被禁用爬取的路径。通过分析这些路径，可以进一步定位潜在的后台页面。

8. WAF（Web 应用防火墙）检测

在执行测试时，确定站点是否启用了 WAF 非常重要。使用 Nmap 或其他专门的工具，可以探测目标站点是否部署了 WAF。简单的 XSS 测试也可以用于判断页面是否存在 WAF 保护。例如，通过检测 XSS 回显来判断是否拦截了恶意请求。

总结

对于信息收集，乃至于整个渗透，细心最重要，多平台相互配合，同时，查询站内中的信息泄露（跳转超链接等），检测框架、waf等，尽可能地扩大攻击面，以达到信息收集的全面性，同时在全面性的前提下追加时效性。