內(nèi)容來源：HACK學(xué)習(xí)呀

這篇文章是21年中旬記錄的，平安夜p牛的直播中也談到，對于滲透測試來說最好有一個checklist，為了避免忘記測試某一部分的內(nèi)容而錯過一些重要信息，同時有了checklist也容易利用自己喜歡的語言實現(xiàn)自動化，突然想起了這篇信息搜集相關(guān)的文章所以就分享出來。

1.獲取真實IP

為了保證網(wǎng)絡(luò)的穩(wěn)定和快速傳輸，網(wǎng)站服務(wù)商會在網(wǎng)絡(luò)的不同位置設(shè)置節(jié)點服務(wù)器，通過CDN（Content Delivery Network，內(nèi)容分發(fā)網(wǎng)絡(luò)）技術(shù)，將網(wǎng)絡(luò)請求分發(fā)到最優(yōu)的節(jié)點服務(wù)器上面。如果網(wǎng)站開啟了CDN加速，就無法通過網(wǎng)站的域名信息獲取真實的IP，要對目標的IP資源進行收集，就要繞過CDN查詢到其真實的IP信息。

2.如何判斷是否是CDN

在對目標IP信息收集之前，首先要判斷目標網(wǎng)站是否開啟了CDN，一般通過不同地方的主機ping域名和nslookup域名解析兩種方法，通過查看返回的IP是否是多個的方式來判斷網(wǎng)站是否開啟了CDN，如果返回的IP信息是多個不同的IP，那就有可能使用了CDN技術(shù)。

使用ping域名判斷是否有CDN

直接使用ping域名查看回顯地址來進行判斷，如下回顯cname.vercel-dns.com，很明顯使用了cdn技術(shù)。

使用不同主機ping域名判斷是否有CDN

如果自己在多地都有主機可以ping域名，就可以根據(jù)返回的IP信息進行判斷?；ヂ?lián)網(wǎng)有很多公開的服務(wù)可以進行多地ping來判斷是否開啟了CDN，比如以下幾個：

可以發(fā)現(xiàn)對www.的全球ping測試，有76.223.126、76.76.21.21這兩個不同的解析IP，說明www.可能使用了CDN。

使用nslookup域名解析判斷是否有CDN

通過系統(tǒng)自帶的nslookup命令對域名解析，發(fā)現(xiàn)其中的Name字段直接指向cname.vercel-dns.com，毫無疑問使用了CDN技術(shù)。

又比如www.baidu.com，其中Address字段也是指向兩個不同IP，即www.baidu.com可能使用了CDN。

3.如何繞過CDN獲取真實IP

查詢子域名

由于CDN加速需要支付一定的費用，很多網(wǎng)站只對主站做了CDN加速，子域名沒有做CDN加速，子域名可能跟主站在同一個服務(wù)器或者同一個C段網(wǎng)絡(luò)中，可以通過子域名探測的方式，收集目標的子域名信息，通過查詢子域名的IP信息來輔助判斷主站的真實IP信息。

查詢歷史DNS記錄

通過查詢DNS與IP綁定的歷史記錄就有可能發(fā)現(xiàn)之前的真實IP信息，常用的第三方服務(wù)網(wǎng)站有：

dnsdb：https://dnsdb.io/zh-cn/viewdns：https://viewdns.info/iphistory/微步在線：https://x.threatbook.cn/

使用國外主機請求域名

部分國內(nèi)的CDN加速服務(wù)商只對國內(nèi)的線路做了CDN加速，但是國外的線路沒有做加速，這樣就可以通過國外的主機來探測真實的IP信息。

探測的方式也有兩種，可以利用已有的國外主機直接進行探測；如果沒有國外主機，可以利用公開的多地ping服務(wù)（多地ping服務(wù)有國外的探測節(jié)點），可以利用國外的探測節(jié)點返回的信息來判斷真實的IP信息。

網(wǎng)站信息泄露漏洞

利用網(wǎng)站存在的漏洞和信息泄露的敏感信息、文件（如：phpinfo文件、網(wǎng)站源碼文件、Github泄露的信息等）獲取真實的IP信息。

phpinfo頁面中有一個SERVER_ADDR字段會顯示該主機真實IP。

郵件信息

一般的郵件系統(tǒng)都在內(nèi)部，沒有經(jīng)過CDN的解析，通過利用目標網(wǎng)站的郵箱注冊、找回密碼或者RSS訂閱等功能，接收到發(fā)來的郵件后，查看郵件源碼就可以獲得目標的真實IP。

目標網(wǎng)站APP應(yīng)用

如果目標網(wǎng)站有自己的App，可以嘗試利用Burp Suite等流量抓包工具抓取App的請求，從里面可能會找到目標的真實IP。

4.旁站查詢（IP反查）

旁站是與攻擊目標在同一服務(wù)器上的不同網(wǎng)站，獲取到目標真實IP的情況下，在攻擊目標沒有可利用漏洞的情況下，可以通過查找旁站的漏洞攻擊旁站，然后再通過提權(quán)拿到服務(wù)器的最高權(quán)限，拿到服務(wù)器的最高權(quán)限后攻擊目標也就拿下了。

旁站信息收集也稱為IP反查，主要有以下方式：

Nmap掃描獲取旁站信息

使用命令

對目標IP進行全端口掃描，確保每個可能開放的端口服務(wù)都能識別到。

第三方服務(wù)獲取旁站信息

旁站信息可以通過第三方服務(wù)進行收集，比如在線網(wǎng)站與搜索引擎等。以下是幾個在線搜集網(wǎng)站：

站長工具同IP網(wǎng)站查詢：http://s.tool.chinaz.com/samewebscan：https://www.webscan.cc/云悉：https://www./微步在線：https://x.threatbook.cn/在線旁站查詢|C段查詢|必應(yīng)接口C段查詢：http://www.bug8.me/bing/bing.php

也可以利用搜索引擎語法來實現(xiàn)查詢：

bing

fofa

ip='x.x.x.x'

5.C段主機查詢

C段主機是指與目標服務(wù)器在同一C段網(wǎng)絡(luò)的服務(wù)器。攻擊目標的C段存活主機是信息收集的重要步驟，很多企業(yè)的內(nèi)部服務(wù)器可能都會在一個C段網(wǎng)絡(luò)中。在很難找到攻擊目標服務(wù)器互聯(lián)網(wǎng)漏洞的情況下，可以通過攻擊C段主機，獲取對C段主機的控制權(quán)，進入企業(yè)內(nèi)網(wǎng)，在企業(yè)的內(nèi)網(wǎng)安全隔離及安全防護不如互聯(lián)網(wǎng)防護健全的情況下，可以通過C段的主機進行內(nèi)網(wǎng)滲透，這樣就可以繞過互聯(lián)網(wǎng)的防護，對目標進行攻擊。但是這種攻擊方式容易打偏。

Nmap掃描C段

使用命令nmap -sn x.x.x.x/24，對目標IP的C段主機進行存活掃描，根據(jù)掃描的結(jié)果可以判斷目標IP的C段還有哪些主機存活。

nmap -Pn這個命令在實際工作中的使用很多，該命令不通過ICMP協(xié)議進行主機存活判斷，會直接對端口進行掃描。這樣在開啟了防火墻禁Ping的情況下，也可以利用這個命令正常掃描目標是否存活及對外開啟的相關(guān)服務(wù)。

搜索引擎語法收集C段信息

Google

site:x.x.x.*

ip='x.x.x.x/24'

在線旁站查詢|C段查詢|必應(yīng)接口C段查詢：http://www.bug8.me/bing/bing.php查旁站：https://chapangzhan.com/云悉：https://www./

本地C段掃描工具（其中某些工具不只是C段掃描）

6.子域名查詢

子域名是父域名的下一級，比如blog.和tools.這兩個域名是的子域名。一般企業(yè)對于主站域名的應(yīng)用的防護措施比較健全，不管是應(yīng)用本身的漏洞發(fā)現(xiàn)、漏洞修復(fù)，還是安全設(shè)備相關(guān)的防護都做得更加及時和到位，而企業(yè)可能有多個、幾十個甚至更多的子域名應(yīng)用，因為子域名數(shù)量多，企業(yè)子域名應(yīng)用的防護可能會沒有主站及時。攻擊者在主站域名找不到突破口時，就可以進行子域名的信息收集，然后通過子域名的漏洞進行迂回攻擊。子域名信息收集主要包含枚舉發(fā)現(xiàn)子域名、搜索引擎發(fā)現(xiàn)子域名、第三方聚合服務(wù)發(fā)現(xiàn)子域名、證書透明性信息發(fā)現(xiàn)子域名、DNS域傳送發(fā)現(xiàn)子域名等方式。

枚舉發(fā)現(xiàn)子域名

子域名收集可以通過枚舉的方式對子域名進行收集，枚舉需要一個好的字典，制作字典時會將常見子域名的名字放到字段里面，增加枚舉的成功率。子域名暴力破解常用的工具以下：

在線子域名查詢：https://phpinfo.me/domain/OneForAll：https://github.com/shmilylty/OneForAllknock：https://github.com/guelfoweb/knocksubDomainsBrute：https://github.com/lijiejie/subDomainsBruteLayer子域名挖掘機：https://github.com/euphrat1ca/LayerDomainFinder

搜索引擎發(fā)現(xiàn)子域名

使用搜索引擎語法，如

Google或者百度等

Fofa

第三方聚合服務(wù)發(fā)現(xiàn)子域名

第三方聚合平臺 Netcraft、Virustotal、ThreatCrowd、DNSdumpster 和 ReverseDNS 等獲取子域信息。

證書透明性信息發(fā)現(xiàn)子域名

證書透明性（Certificate Transparency，CT）是Google的公開項目，通過讓域所有者、CA和域用戶對SSL證書的發(fā)行和存在進行審查，來糾正這些基于證書的威脅。具體而言，證書透明性具有三個主要目標：

使CA無法（或至少非常困難）為域頒發(fā)SSL證書，而該域的所有者看不到該證書；提供一個開放的審核和監(jiān)視系統(tǒng)，該系統(tǒng)可以讓任何域所有者或CA確定證書是錯誤的還是惡意頒發(fā)的；盡可能防止用戶被錯誤或惡意頒發(fā)的證書所欺騙。

證書透明性項目有利有弊。通過證書透明性，可以檢測由證書頒發(fā)機構(gòu)錯誤頒發(fā)的SSL證書，可以識別惡意頒發(fā)證書的證書頒發(fā)機構(gòu)。因為它是一個開放的公共框架，所以任何人都可以構(gòu)建或訪問驅(qū)動證書透明性的基本組件，CA證書中包含了域名、子域名、郵箱等敏感信息，存在一定的安全風(fēng)險。

利用證書透明性進行域名信息收集，一般使用CT日志搜索引擎進行域名信息收集，如在線網(wǎng)站：

本地工具：

ctfr：https://github.com/UnaPibaGeek/ctfrOneForAll：https://github.com/shmilylty/OneForAll

DNS域傳送發(fā)現(xiàn)子域名

DNS服務(wù)器分為：主服務(wù)器、備份服務(wù)器和緩存服務(wù)器。在主備服務(wù)器之間同步數(shù)據(jù)庫，需要使用“DNS域傳送”。域傳送是指備份服務(wù)器從主服務(wù)器拷貝數(shù)據(jù)，并用得到的數(shù)據(jù)更新自身數(shù)據(jù)庫。

若DNS服務(wù)器配置不當，可能導(dǎo)致攻擊者獲取某個域的所有記錄。造成整個網(wǎng)絡(luò)的拓撲結(jié)構(gòu)泄露給潛在的攻擊者，包括一些安全性較低的內(nèi)部主機，如測試服務(wù)器。同時，黑客可以快速的判定出某個特定zone的所有主機，收集域信息，選擇攻擊目標，找出未使用的IP地址，繞過基于網(wǎng)絡(luò)的訪問控制。目前來看'DNS域傳送漏洞'已經(jīng)很少了。

利用nmap漏洞檢測腳本dns-zone-transfer進行檢測

Linux dig命令進行測試

7.端口掃描

最常用的就是nmap

-sS (TCP SYN掃描)-sT (TCP connect()掃描)-sU (UDP掃描)-sN; -sF; -sX (TCP Null，F(xiàn)IN，and Xmas掃描)-Pn (不通過ICMP探測)

https://nmap.org/man/zh/

其次可能還會用到masscan：

常見端口及對應(yīng)服務(wù)表：

8.目錄探測

在信息搜集中，目錄掃描是一個很重要的步驟，可以幫助我們獲得如網(wǎng)站的測試頁面、后臺地址、常見第三方高危組件路徑等。但是目前多數(shù)網(wǎng)站都有云waf、主機防護等，對于頻繁訪問的IP會封禁處理。對于云waf，找到網(wǎng)站真實IP是很關(guān)鍵的，其余的情況基本都可以修改開源工具代碼利用IP代理池或控制訪問頻率的方式進行探測。

常用目錄掃描工具如下：

dirsearch：https://github.com/maurosoria/dirsearchdirmap：https://github.com/H4ckForJob/dirmap御劍目錄掃描：https://github.com/foryujian/yjdirscandirb：https://tools./web-applications/dirb

IP代理池推薦：

9.指紋識別

常見的指紋識別內(nèi)容有CMS識別、框架識別、中間件識別、WAF識別。CMS識別一般利用不同的CMS特征來識別，常見的識別方式包括特定關(guān)鍵字識別、特定文件及路徑識別、CMS網(wǎng)站返回的響應(yīng)頭信息識別等。

服務(wù)器信息搜集

服務(wù)版本識別、操作系統(tǒng)信息識別都可以利用nmap實現(xiàn)識別

nmap -sV -p 1-65535 x.x.x.xnmap -O x.x.x.x

CMS識別

識別CMS的目的在于，方便利用已公開漏洞進行滲透測試，甚至可以到對應(yīng)CMS的官網(wǎng)下載對應(yīng)版本的CMS進行本地白盒代碼審計。

特定關(guān)鍵字識別

CMS的首頁文件、特定文件可能包含了CMS類型及版本信息，通過訪問這些文件，將返回的網(wǎng)頁信息（如Powered by XXCMS）與掃描工具數(shù)據(jù)庫存儲的指紋信息進行正則匹配，判斷CMS的類型。

也可能前端源碼中或meta標簽中的content字段存在一些CMS特征信息，下圖很明顯能得知是WordPress框架。

特定文件及路徑識別

不同的CMS會有不同的網(wǎng)站結(jié)構(gòu)及文件名稱，可以通過特定文件及路徑識別CMS。如WordPress會有特定的文件路徑/wp-admin、/wp-includes等，有些CMS的robots.txt文件也可能包含了CMS特定的文件路徑，與掃描工具數(shù)據(jù)庫存儲的指紋信息進行正則匹配，判斷CMS的類型。

CMS會有一些JS、CSS、圖片等靜態(tài)文件，這些文件一般不會變化，可以利用這些特定文件的MD5值作為指紋信息來判斷CMS的類型。

響應(yīng)頭信息識別

應(yīng)用程序會在響應(yīng)頭Server、X-Powered-By、Set-Cookie等字段中返回Banner信息或者自定義的數(shù)據(jù)字段，通過響應(yīng)頭返回的信息，可以對應(yīng)用進行識別，有些WAF設(shè)備也可以通過響應(yīng)頭信息進行識別判斷。當然Banner信息并不一定是完全準確的，應(yīng)用程序可以自定義自己的Banner信息。

例如Shiro的響應(yīng)頭信息中包含rememberMe字段：

指紋識別工具

指紋識別常用的工具如下：

whatweb：https://github.com/urbanadventurer/WhatWebwappalyzer：https://github.com/AliasIO/wappalyzerGlass：https://github.com/s7ckTeam/Glass

還有兩款只支持如WordPress, Joomla, Drupal的工具

10.Google hacking

目錄遍歷: site:$site intitle:index.of
配置文件泄露: site:$site ext:xml | ext:conf | ext:cnf | ext:reg | ext:inf | ext:rdp | ext:cfg | ext:txt | ext:ora | ext:ini
數(shù)據(jù)庫文件泄露: site:$site ext:sql | ext:dbf | ext:mdb
日志文件泄露: site:$site ext:log
備份和歷史文件: site:$site ext:bkf | ext:bkp | ext:bak | ext:old | ext:backup
登錄頁面: site:$site inurl:login
SQL錯誤: site:$site intext:'sql syntax near' | intext:'syntax error has occurred' | intext:'incorrect syntax near' | intext:'unexpected end of SQL command' | intext:'Warning: mysql_connect()' | intext:'Warning: mysql_query()' | intext:'Warning: pg_connect()'
公開文件信息: site:$site ext:doc | ext:docx | ext:odt | ext:pdf | ext:rtf | ext:sxw | ext:psw | ext:ppt | ext:pptx | ext:pps | ext:csv
phpinfo(): site:$site ext:php intitle:phpinfo 'published by the PHP Group'
搜索粘貼站點: site:pastebin.com | site:paste2.org | site:pastehtml.com | site:slexy.org | site:snipplr.com | site:snipt.net | site:textsnip.com | site:bitpaste.app | site:justpaste.it | site:heypasteit.com | site:hastebin.com | site:dpaste.org | site:dpaste.com | site:codepad.org | site:jsitor.com | site:codepen.io | site:jsfiddle.net | site:dotnetfiddle.net | site:phpfiddle.org | site:ide.geeksforgeeks.org | site:repl.it | site:ideone.com | site:paste.debian.net | site:paste.org | site:paste.org.ru | site:codebeautify.org | site:codeshare.io | site:trello.com $site
搜索Github、Gitlab: site:github.com | site:gitlab.com $site.

11.社工信息收集

主要是對目標企業(yè)單位的關(guān)鍵員工、供應(yīng)商和合作伙伴等相關(guān)信息進行收集。通過社工可以了解目標企業(yè)的人員組織結(jié)構(gòu)，通過分析人員組織結(jié)構(gòu)，能夠判斷關(guān)鍵人員并對其實施社會工程學(xué)魚叉釣魚攻擊。收集到的相關(guān)信息還可以進行社工庫查詢或字典的制作，用于相關(guān)應(yīng)用系統(tǒng)的暴力破解。

whois信息

whois是用來查詢域名的IP及所有人等信息的傳輸協(xié)議。whois的本質(zhì)就是一個用來查詢域名是否已經(jīng)被注冊，以及注冊域名的詳細信息的數(shù)據(jù)庫（如域名所有人、域名注冊商），可以通過whois來實現(xiàn)對域名信息的查詢。whois查詢可以通過命令行或網(wǎng)頁在線查詢工具。

whois命令

whois xxx.com

在線工具

站長工具whois查詢：http://tool.chinaz.com/ipwhois愛站網(wǎng)whois查詢：https://whois.aizhan.com/

12.社會工程學(xué)

社會工程學(xué)收集的信息有很多，包含網(wǎng)絡(luò)ID（現(xiàn)用和曾用）、真實姓名、手機號、電子郵箱、出生日期、身份證號、銀行卡、支付寶賬號、QQ號、微信號、家庭地址、注冊網(wǎng)站（貼吧、微博、人人網(wǎng)等）等信息。

在目標相關(guān)網(wǎng)頁中可能會存在招聘信息、客服聯(lián)系等，可以利用招聘或客服聊天的方式進行釣魚、木馬植入等。

搜集到相關(guān)的人員信息后可以制作社工字典，有如下在線或本地工具：

除了制作社工字典進行暴破外，還可以用已知信息進行社工庫查詢，涉及敏感信息了，所以不給出鏈接，在Telegram軟件中充斥著大量免費或付費的社工查詢。

最后

補充一個網(wǎng)址：https://gitbook./

信息收集在線工具集合網(wǎng)站