信息收集

信息收集

引言

信息收集是渗透测试中一个必要的环节，在一些src中，厂商只会给出几个主要域名，所以需要我们进行信息收集来扩大测试范围。本人作为一个网络安全方面的小白，通过对一些大佬的文章和课程的学习以及自己的总结，简单介绍了信息收集一些方法和工具，如有侵权，将立即删除，如有错误的地方，望大家指出，会立即进行修改。

BGP网站获取asn码

ASN码

‌ASN码（Autonomous System Number）是一个在互联网中用于标识自治系统（Autonomous System）的唯一编号。‌自治系统是由一个单一的网络运营机构管理的一组IP网络和路由器，这些网络和路由器共享相同的路由策略。ASN在互联网的边界网关协议（Border Gateway Protocol, BGP）中扮演着关键角色，用于网络间的路由信息交换

获取ASN码

通过bgp网站如https://bgp.he.net/来查找ASN码

可以从证书中提取组织名来查询ASN


也可以直接通过关键字，如公司名称或者域名来进行查找

获取asn码之后，可以用asnmap工具获取ip范围

cat asn.txt | asnmap | tee ipscope.txt

接下来将ip范围变成ip列表

cat ipscope.txt | mapcidr | tee ips.txt

关联域名的收集

反向WHOIS

反向WHOIS是通过注册信息，像组织名或者所有者邮箱，来获取发现目标厂商的关联域的一种方法，适用于收录范围是大范围的厂商

常用的查询工具：https://tools.whoisxmlapi.com/reverse-whois-search

https://whois.chinaz.com/

但在一些情况下，厂商提供广泛的产品和服务，包括网站开发、应用程序托管和DNS服务，因此，厂商只拥有一些网站的一部分。还有些情况下，厂商只负责托管这些网站并拥有域名，但并不对其安全性负责。

TLDs扫描

TLDs(Top-level Domain)，就是顶级域，拿www.jd.com举例，.com 就是TLD，但如果对于 www.jd.com.cn来说，.com.cn 就是TLD

当你遇到资产范围写着 .example. 的时候，说明厂商业务遍布全球，有时候厂商会明确告诉你区 域，但有时候是不告诉你，而不同地区的业务一般都存在差异性

对原本的www.example.FUZZ 进行爆破，获取这个厂商更广泛的业务以及某些区域的才有的业务， 扩大测试面

枚举Apex域名

-Apex域名，就是根域名，例如www.baidu.com里面，baidu.com就是Apex域名

ICP备案查询

ICP备案查询是一项对事业单位，企业和个人的网站进行监管的措施，其中“ICP备案”指“互联网内容提供商备案”，是指在国内从事互联网信息服务的企业，事业单位或个人必须按照相关规定向管理部门备案并获取许可证，才可以向公众提供商业互联网信息服务。

我们可以通过国家提供的ICP备案查询网站去进行域名的收集

地址：https://beian.miit.gov.cn/#/Integrated/index

不过在进行查询的时候，我们需要提供网站域名的备案号

一般来说，该备案号会在网站的底部，以百度为例

还有站长之家备案查询：https://icp.chinaz.com/

企业关系查询

通过平台如 天眼查、爱企查、企查查 等查询目标公司及其子公司，可以揭示更多的关联域名。常用的平台包括：

天眼查：https://www.tianyancha.com/
爱企查：https://aiqicha.baidu.com/
企查查：https://www.qcc.com/

通过查询股权结构及关联公司，可以挖掘更多相关域名。

shodan

https://www.shodan.io/dashboard

shodan作用是快速测试根域名的可测试性和可行性

语法：

- ssl.cert.subject.cn:*.tesla.com 

- ssl:.tesla.com - ssl:"Tesla Inc." - org:"Tesla Inc."

- ssl:"Tesla Inc."

- org:"Tesla Inc."

这边以tesla为例

通过ssl.cert.subject.cn:*.tesla.com 在 搜索特斯拉的资产

页面显示有4k+的结果

所以我们需要进行适当的过滤

通过浏览一部分，找到无效的关键词，这边无效的关键词就是Invalid

通过添加!http.title:Invalid语法过滤

只剩155个结果

如何进一步筛选呢

可以通过View Report功能

比如这边

可以很直观的看到资产的标题统计

shodan还有很多非常强大实用的功能，包括还有shodan命令行

这边可以参考一下其他师傅写的文章

https://www.cnblogs.com/zha0gongz1/p/12950736.html

https://www.cnblogs.com/tomyyyyy/p/13889986.html

子域名收集

利用证书透明度收集

https://crt.sh/

通过浏览器知道组织名之后，通过网站获取厂商更多的资产信息

搜索引擎域名收集（Bing ，Gooogle收集域名）

例如，在 Google 中可以使用 site:baidu.com 语法来查找子域名。

网络空间测

Fofa：https://fofa.info/

如果是学生或者老师也可以通过学校邮箱注册会员账号https://fofa.info/SchoolRegister

鹰图 https://hunter.qianxin.com/

旁站

ip138https://www.ip138.com/

前端域名收集

推荐bp插件：domain hunter pro - https://kgithub.com/bit4woo/domain_hunter_pro

DNS查询

https://dnsdumpster.com/

子域名爬取

就是通过第三方API或者开源情报信息，或者互联网留存的公开信息和历史流量数据里获取子域名，整个过程不涉及对域名的爆破，这样收集的子域名也叫做种子域名或者初始域名

这边推荐两个工具(以tesla.com为例)

Amass

amass enum --passive -d tesla.com

Subfinder

subfinder -d tesla.com -all

端口扫描

提到端口扫描，最先想到的应该就是Nmap，但由于其扫描速度，一般不作为检查端口开放的首选。有人推荐Masscan，这个工具确实很快，但有时候会产生误报。

那有没有一个方法可以兼得准确和效率呢？

这边推荐用Naabu和Namp一起使用

Naabu用于初始端口扫描先检查一下端口的开放情况，然后调用Nmap进行服务识别