信息收集對于滲透測試可以說是重中之重，正所謂“知己知彼，百戰(zhàn)不殆”。所以我們的信息收集也是一樣，收集的信息自然也是越多越好，滲透測試中信息收集也是占到了差不多60%的樣子，可見滲透測試中信息收集的重要，廢話不多說進(jìn)入正題。

一、信息前期收集

1.1?域名信息收集

Whois查詢：

愛站工具網(wǎng)和站長網(wǎng)都可以查詢到域名的相關(guān)信息如域名服務(wù)商，域名擁有者，以及郵箱電話，地址等信息）

網(wǎng)站的關(guān)于頁面／網(wǎng)站地圖（可查詢到企業(yè)的相關(guān)信息介紹，如域名

備案信息查詢：

點擊?查看

域傳輸漏洞：dig?http://baidu.com。

用途：

利用以上收集到的郵箱、QQ、電話號碼、姓名、以及域名服務(wù)商可以用來社工客戶或者滲透域服務(wù)商，拿下域管理控制臺，然后做域劫持；通過收集到郵箱，可以在社工庫查找到是否有出現(xiàn)泄漏密碼以及通過搜索引擎搜索到社交賬號等信息,通過社交和社工得到的信息構(gòu)造成密碼字典，然后對 mail 和 oa 進(jìn)行爆破或者撞褲。

1.2?子域名信息收集

子域名爆破：

layer，K8，subDomainsBrute，dnsmaper，Sublist3r，google搜索語法，MaltegoCE。

在線子域名

http://i.links.cn/subdomain/

https://phpinfo.me/domain/

用途：

這里重點推薦 layaer 和 k8 以及 subDomainsBrute 工具，可以從子域名入侵到主站。

1.3?敏感信息收集

github 源 代 碼 信 息 泄 露 收集（ Github_Nuggests ， GitHack ，GitPrey-master 以及 GitHarvester，gitscan，github 語法信息收集）

svn 信息泄漏收集（svn_git_scanner，seekret（目錄信息搜索），Seay SVN 漏洞利用工具）

DS_Store 泄露（ds_store_exp）

批量信息泄露掃描：bbscan（可以用小字典快速掃描網(wǎng)站的泄露和它的旁站網(wǎng)段的所有信息泄露）

.hg 源碼泄漏：dvcs-ripper-master

Metagoofil 收集敏感的文檔文件

用途：

主要從 github 以及 google 語法入手收集的敏感的信息如賬號和密碼等。

1.4?敏感文件

通過爬蟲和掃描工具以及 googel 語法搜索到敏感的如配置信息，數(shù)據(jù)庫連接文件，以及備份文件等。

1.5?敏感目錄

批量掃描 C 段和旁站目錄：御劍修改版

單個網(wǎng)站目錄掃描：

御劍后臺掃描，DirBuster，wwwscan spinder.py(輕量快速單文件目錄后臺掃描），sensitivefilescan（輕量快速單文件目錄后臺掃描），weakfilescan(輕量快速單文件目錄后臺掃描）。

用途：

可掃描敏感的文件以及目錄或者后臺或者網(wǎng)站備份文件和數(shù)據(jù)庫文件。

1.6?Email收集

通過 teemo，metago，burpusit,awvs,netspker 或者 google 語法收集。

收集對方的郵箱賬號命名習(xí)慣（因為好多官方后臺都是用內(nèi)部郵箱賬號登錄的）。

用途：

可用來進(jìn)行爆破或者弱口令登錄以及撞褲攻擊。

1.7 IP段信息收集

通過子域名得到的 IP 然后整合出整個目標(biāo)暴露在公網(wǎng)的 IP 通過 nessuess 或者 nexpose 對整個 IP 段進(jìn)行批量掃描端口，然后導(dǎo)入到 amiage 中進(jìn)行滲透 通過對 C 段或者 B 段進(jìn)行 IP 常用的 4000 個端口進(jìn)行爆破掃描，最后整理出能正常訪問的端 口，這里一般用腳本解決。

1.8?常用端口信息收集

C?段掃描(web 和常用應(yīng)用）端口：

F-NAScan，K8,fenghuangscanner_v3 腳本，F(xiàn)-NAScan.py ,lanscan

SRC 開發(fā)常用的端口、以及一些域名的命名習(xí)慣（GitHub 上面有很多現(xiàn)成的端口，平時收集信息的時候，可以多注意一下）

可以通過 NMAP 掃描常用的開放端口進(jìn)行滲透

HSCAN,HYDRA 進(jìn)行爆破

web?類(web 漏洞/敏感目錄)：

中間件探測：f-middlerwarescan(只能批量掃描整個 C 段開放的常用中間件端口）

第三方通用組件漏洞 struts thinkphp jboss ganglia zabbix cacti

80

80-89

8000-9090

特殊服務(wù)類(未授權(quán)/命令執(zhí)行類/漏洞)：

1099 ? ? ? ? ? ? ? rmi ? ? ? ? ? ? 命令執(zhí)行 8000 ? ? ? ? ? ? ? jdwp java ? ? ? 調(diào)試接口命令執(zhí)行 443 ? ? ? ? ? ? ? ?SSL ? ? ? ? ? ? 心臟滴血 873 ? ? ? ? ? ? ? ?Rsync ? ? ? ? ? 未授權(quán) 5984 ? ? ? ? ? ? ? CouchDB http://xxx:5984/_utils/ 6379 ? ? ? ? ? ? ? redis ? ? ? ?未授權(quán) 7001,7002 ? ? ? ? ?WebLogic ? ? 默認(rèn)弱口令，反序列 9200,9300 ? ? ? ? ?elasticsearch 11211 ? ? ? ? ? ? ?memcache ? ? 未授權(quán)訪問 27017,27018 ? ? ? ?Mongodb 未授權(quán)訪問 50000 ? ? ? ? ? ? ?SAP ? ? 命令執(zhí)行 50060,50070,50030 ?hadoop ? ? 默認(rèn)端口未授權(quán)訪問 2375 ? ? ? ? ? ? ? docker ? ? 未授權(quán)訪問 3128 ? ? ? ? ? ? ? squid ? ? ? ?代理默認(rèn)端口 2601,2604 ? ? ? ? ?zebra ? ? ? ?路由，默認(rèn)密碼 zebra 4440 ? ? ? ? ? ? ? rundeck 4848 ? ? ? ? ? ? ? glassfish ? ? ? ?中間件弱口令 admin/adminadmin 9000 ? ? ? ? ? ? ? fcigphp ? ? ?代碼執(zhí)行 9043 ? ? ? ? ? ? ? websphere ? ?弱口令 admin/admin

常用端口類(掃描弱口令/端口爆破)：

21 ? ? ftp 22 ? ? SSH 23 ? ? Telnet ? 161 ? ?SNMP ? 389 ? ?LDAP ? 445 ? ?SMB 1433 ? MSSQL 1521 ? Oracle 3306 ? MySQL 3389 ? 遠(yuǎn)程桌面 5432 ? PostgreSQL 5900 ? vnc

1.9?收集賬號信息

通過說明文檔以及 google 或者網(wǎng)站這個頁面收集，或者網(wǎng)站發(fā)表者以及留言板信息處收集賬號，可對 oa,erp,um,sso 等系統(tǒng)賬號進(jìn)行爆破。

搜索相關(guān) QQ 群收集相關(guān)企業(yè)員工的社交賬號。

1.10?利用google和bing等語法語句進(jìn)行批量搜索

數(shù)據(jù)庫文件，SQL 注入，配置信息，源代碼泄露，未授權(quán)訪問，CMS的 install 和后臺地址，robots.txt 等信息。

1.11?爬蟲收集

spiderfoot(可爬蟲出RUL 鏈接以及JS 以及DOC 以及郵箱和子域名等信息）

Sn1per（自動化信息收集框架）

通過 avws,netpsker,burpsuit 可進(jìn)行爬蟲掃描

Recon-ng（自動化信息收集框架）

instarecon 自動化信息爬蟲收集

1.12?Cms指紋識別

CMS 指紋識別：御劍 web 指紋識別，WebRobot。

利用第三方漏洞平臺（烏云歷史漏洞和 seebug 以及補天漏洞），查看相關(guān)漏洞。

1.13?大數(shù)據(jù)平臺信息收集

點擊?查看1

點擊?查看2

點擊?查看3

點擊?查看4

1.14?服務(wù)器信息以及腳本類型

通過 whatweb,p0f,httprint，httprecon 可得到網(wǎng)站指紋識別

通過 avws 也可以得到服務(wù)器信息

1.15?查找到真實ip地址

通過郵件(看郵箱頭源 ip)找真實 ip（可靠）。

通過查詢域名歷史 ip，http://toolbar.netcraft.com（借鑒）。

通過 zmpap 全網(wǎng)爆破查詢真實 ip（可靠）。

子域名爆破，現(xiàn)在越來越不靠譜了。

通過掃描出網(wǎng)站測試文件如 phpinfo，test 等配置文件，路徑字典強度，很容易跑出來的。

掃到備份,有時候查看配置。

主站使用 CND，二級域名不一定使用 CDN，二級域名不一定和主站同一個 IP 有可能是同 C 段，可以掃描整個 C 段 WEB 端口。

通過國外冷門的 DNS 的查詢：nslookup?http://xxx.com?國外冷門 DNS 地址 。

做 CDN 配 置 解 析 不 完 全 ， ping?http://backlion.org?和 ping?http://www.baklion.org?的 IP 不同 。

rss 訂閱一般也會得到真實 IP 。

常用查歷史記錄真實 IP:

https://asm.ca.com/en/ping.php http://www.cdnplanet.com/tools/cdnfinder/ http://toolbar.netcraft.com/site_report http://viewdns.info/iphistory/?domain= http://www.hosterstats.com/historicaldns.php http://whoisrequest.com/history/ http://map.norsecorp.com/#/ http://crimeflare.com（查 cloudflare 真實 ip 百試不爽）

1.16?信息整理

一般通過 word 進(jìn)行信息整理，如：網(wǎng)站采用什么模板 cms,有哪些敏感的 url 連接，是否有 WAF，注冊2 個賬號和 2個郵箱， 2 個手機號碼，那些網(wǎng)站曾經(jīng)在漏洞平臺上暴露過漏洞。

二、業(yè)務(wù)安全漏洞挖掘

內(nèi)容太多無法一一列舉，通過文檔的形式免費分享給各位同學(xué)，各位同學(xué)可認(rèn)真研讀，熟練掌握所有內(nèi)容后，從事安全工程師職業(yè)及挖掘漏洞將不成問題。