最全Web信息搜集,持续更新~

发布于 2019-04-12  1.5k 次阅读


今天给公司写Wiki,信息搜集模块的,写了一下午还没写完,因为信息搜集这块太多了,文章中复制粘贴和借鉴了很多大佬的文章,这里忘记总结出那些文章了,所以,先感谢网络上不认识的大佬!我会持续更新并把一些错误修正,欢迎随时来加QQ1805656080来反馈建议!

主机信息搜集:

子域名搜集:

子域名搜集是信息搜集中最传统最重要的一个环节,厂商将经常会把一些重要的业务系统放到其他子域下面,所以信息搜集的时候搜集的子域名越多越好。

以下为子域名的搜集方法:

一、DNS域传送漏洞

利用域传送漏洞获取子域名是最快速最全的方式。

假设test.com的DNS服务器为192.168.5.6,并且该DNS服务器有域传送的漏洞
手工检测方法,使用dig直接请求
dig @192.168.5.6 test.com axfr
自动检测方法,调用nmap进行扫描
nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=test.com -p 53 -Pn 192.168.5.6

使用nslookup进行检测

1.在命令行输入nslookup进入交互shell

2.ls 域名,如果没有列出域名和ip说明不存在此漏洞

二、子域名爆破

如果域名没有域传送漏洞的话,可以采用最原始的爆破方式,例如尝试mail.test.comtest.test.com等等。
现已有开源工具可供爆破子域名,如:dnsmap,目录下有程序自带的爆破的子域名列表,也可以自己添加。
也可以使用白帽子写的开源工具,还可以递归爆破三级四级域名subDomainsBrute

子域名爆破依靠强大的字典,可以使用工具进行生成字典

这里提供一个在线的子域名爆破:https://phpinfo.me/domain

三,搜索引擎

Google与Baidu爬虫可能会爬到一些域名的子域名,可以使用site语法来限定域名查看结果中的子域名。
例如Google中搜索:
site:qq.com
常用搜索技巧
intitle 标题关键字包含
site 所在域
inurl 链接包含

不仅限于Google,也可以使用Bing或百度

四、IP反查域名

某些情况下确定一个IP为某企业之后,可以利用一些网站的域名反查接口,查询有哪些绑定在该IP上的域名。
例如:IP反查域名(在有CDN的情况下会不准确)。
这样有可能查询到相关的子域名甚至该公司的其他域名,便可获得更多寻找更多信息的机会。

五、使用大数据平台进行搜集

在线的大数据平台有FOFA、钟馗之眼、Shoda、Censys

还可以使用DNS数据库进行查询(DNSDB:https://dnsdb.io/zh-cn/

https://dnsdumpster.com/

如果搜集的子域名出现打不开的情况,可以使用其他的端口去访问,会有意想不到的收获,或者在后面猜路径尝试子域名接管漏洞

端口扫描:

端口扫描是信息搜集中重要的一个环节,可以和其他的资产信息进行搭配(如:子域名 端口)

一、使用NMAP进行端口扫描

如果不想下载,可以是用在线的NMAP扫描:http://www.scanip.cn/

常用的NMAP扫描参数

  • --iL //导入一个txt文件进行批量扫描
  • --exclude //排除某个主机地址进行扫描
  • --excludefile //排除txt文档里面某一个地址进行扫描
  • -sL //列表扫描,只把目标ip列出来,不进行主机发现
  • --Pn //扫描所有,不管目标是否开启
  • -PS TCP SYN ping //发送一个SYN标志位的空TCP报文,默认端口:80,也可以指定端口
  • -PA TCP ACK ping //发送一个ACK标志位的TCP报文,默认端口:80,也可以指定端口
  • -PU UDP ping //发送一个空的UDP报文到指定端口,穿透过滤TCP的防火墙
  • -sF //不使用SYN扫描,不完成第三次握手,不会产生日志,可能绕过防火墙
  • -P0 //使用IP协议ping
  • -PR //使用ARP ping
  • -n/-R //-n不用域名解析,加速扫描,-R为目标IP做反向域名解析,扫描慢一些
  • -dns-server //自定义域名解析服务器地址
  • -traceroute //目标主机路由追踪

二、使用SSRF漏洞进行端口探测

从一个服务端访问另一个服务端的资源
可进行端口扫描,指纹识别、使用file协议读取本地文件内容、运行内网的应用程序
容易出现的业务点:
分享,远程加载图片,翻译
使用google语法要挖掘的关键字:

  • share
  • wapf
  • url
  • image
  • link
  • src
  • source
  • target
  • u
  • 3g
  • display
  • sourceURL
  • imageURL
  • domain

 容易出现的业务场景:
1.应用从用户指定的URL获取图片,然后把它用一个随机文件名保存在硬盘上,并显示用户
2.应用获取用户指定URl数据(文件或html),这个函数会使用socket跟服务器建立tcp连接,传输原始数据
3.应用根据用户提供的URL,抓取用户的web站点,并且生成一个wap站
4.应用提供册数功能,能够使用户提供的URL,访问目标站点,以获取其对应的经纬度的访问速度

C段扫描:

IP C段是由NIC根据用户单位的网络规模和近期 发展计划,分配IP地址空间。从概念上说,每个IP地址可以由两部分组成,即网络标识与netid和主机标识hostid。 A 类地址分配给给少数规模很大的网络,由该网的管理者自行分配。 B 类分配给中等规模的网络,也由该网的管理者自行分配。

一、使用在线工具进行C段扫描

https://phpinfo.me/bing.php

http://www.webscan.cc

二、使用工具

Cwebscanner(Github开源的一款C段扫描工具)

K8C段扫描(国人编写的一款工具)

NMAP扫描:nmap -sS 1.1.1.1-30 -p 80

其他信息搜集:

一、Whois信息:

Whois信息可以查询到注册人,域名商,以及注册人邮箱,可进行密码组合方便爆破

通过账号关联查找其他社交账号,通过社交账号(如:朋友圈,QQ空间)更深一步了解目标的业务

Linux下,使用whois命令可以查询到Whois信息

推荐使用在线工具进行查询:

https://www.benmi.com/ (笨米网Whois查询)

https://who.is/(Whois查询)

http://whois.chinaz.com/(站长工具Whois查询)

二、网站真实IP查询

目前大部分信息使用了CDN,这样导致了网站的真实IP被隐藏了起来,这些CDN都是自带防护的,这样会影响渗透的效率,所以要找出真实IP

判读是否使用了CDN,最简单的方法就是多地ping,可在下面的网站中进行多地ping

http://ping.chinaz.com/

http://ping.aizhan.com/

http://ce.cloud.360.cn/

常规的CDN绕过方式:

1.查找DNS历史解析记录

查询DNS历史解析记录,有可能查询到使用CDN之前的记录,通过历史的记录找到真实的IP

查询网站有:

http://site.ip138.com

https://dnsdb.io/zh-cn/不仅可以查看历史解析记录还可以搜集子域名

2.使用RSS订阅,让服务器自动发给我们邮件,获得真实IP

很多网站都自带 sendmail,会发邮件给我们,此时查看邮件源码里面就会包含服务器的真实 IP 了。

3.使用国外的IP对网站进行ip探测(如ping)

很多CDN只对国内进行了CDN加速,并没有对国外使用CDN加速

如果没有国外的服务器,可以使用在线ping等网站,获得真实ip

也可以使用国外的查询网站信息的平台,原理一样,因为国外的网站使用的国外的主机,如:

https://toolbar.netcraft.com/site_report?url=域名

4.通过子域名进行绕过

有些网站的子域名很多,管理员有可能疏忽,没有给子域名进行CDN配置,或者为了经济问题只给主站设置了CDN,通过ping子域名获得真实ip

5.通过Web漏洞来获得

可用的比如XSS盲打,命令执行反弹shell,SSRF等等。

6.使用DDOS来突破CDN(不推荐)

通过对网站使用DDOS攻击,使网站CDN流量被耗光,最后来获得真实IP,一般情况下,不推荐这种方法,可能会对目标业务造成影响,而且大部分CDN自带抗D保护

7.目录信息泄露

可通过查找敏感信息文件记录来找到真实IP(如php探针)

三、目录与源码信息

通过暴力破解或者目标存在目录遍历漏洞来进行查找网站备份文件

常用工具:

御剑后台扫描(这个不用多说,常规的一款工具)

ihoneyBakFileScan(Tools的一位大佬写的,会根据网站特征自动生成可能存在的备份文件名,然后进行扫描是否存在)

git泄露(在域名后面直接写/.git,返回403也可以)利用工具:GitHack

SVN泄露利用工具:

svnExploit(比图形化的那个好用多了)

四、指纹信息

Web指纹信息包括,数据库,中间件,CMS等信息

在线指纹识别:

云悉:http://www.yunsee.cn

https://toolbar.netcraft.com/site_report?url=域名

查看网站报错页面来获得中间件信息

查看开放端口来查看开启了什么服务,来判断使用了什么数据库

查看返回包头部,可能会泄露中间件信息

持续更新中~