目录

信息收集基础指南

简易流程

whois查询

子域名收集

隐藏域名hosts碰撞

CDN识别

端口扫描

旁站和C段

敏感目录扫描

网站文件

CMS指纹识别

敏感文件搜索

头信息收集

社工库

js敏感信息

SSL/TLS证书查询

查询厂商ip段

移动及社交资产收集

防护软件收集

其他资产信息

自动化工具

信息收集基础指南

信息收集的工具简介和常见操作_coleak的博客-CSDN博客

简易流程

whois查询

和基础篇一样，测试了国内几个线上whois网站，几乎均未提供邮箱等重要信息，建议直接使用kali或者下面的推荐，然后可以根据信息（邮箱，注册人，备案号，天眼查等）进行反查

• kali（推荐）：whois +域名。kali中可以显示更详细的信息，如邮箱号等
• 线上推荐在线域名Whois查询,网站Whois反查-在线站长工具 bugscaner
• 效果如下

子域名收集

• 域名信息

A记录、别名记录(CNAME)、MX记录、TXT记录、NS记录

• 别名查询

nslookup -q=cname

• 语法查询【FOFA，钟馗之眼，google...】(inurl，insite,domain)

例如domain="qq.com"

• 工具查询

layer

• dnsdumpster

dnsdumpster

很好用的一个国外的网站，提供Domain map等一系列详细信息

• 138

超全的查询（子域名，ip解析，备案号...）

ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名

• 查旁站（超全的消息收集集成网站）

ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名

隐藏域名hosts碰撞

如Nginx、Apache中，都可通过配置文件进行域名绑定，如Nginx的default_server，Apache的httpd.conf配置中的ServerName。直接访问IP是无法访问成功的，而访问其绑定的域名才可以访问成功。在访问域名的时候能够直接重定向服务器相关站点的目录下，即可成功访问。

• 搜集指向目标内网IP的域名

• 搜集目标IP资产

• 进行碰撞

目标域名历史解析IP

正则提取ip

正则表达式测试-正则表达式生成器-在线正则表达式校验工具

填入对应文件执行python脚本

CDN识别

多地ping确认是否使用CDN,外国多地区ping查找遗漏cdn服务的ip，查询历史DNS解析记录,​​​​​​phpinfo,绕过CDN,批量 子域名解析+穷举，ico图片搜索，二级域名、80,443配置不当，主动连接，证书搜寻(hash->censys)，邮箱获取真实IP,网站敏感文件获取真实IP,

识别到真实ip后设置hosts文件让域名直接映射到对应的真实ip,然后扫描waf

海外网速测试 - 站长工具

域名解析记录

What's that site running? | Netcraft

端口扫描

masscan，namp

sudo masscan -p 21,22,23,1433,152,3306,3389,5432,5900,50070,50030,50000,27017,27018,11211,9200,9300,7001,7002,6379,5984,873,443,8000-9090,80-89,80,10000,8888,8649,8083,8080,8089,9090,7778,7001,7002,6082,5984,4440,3312,3311,3128,2601,2604,2222,2082,2083,389,88,512,513,514,1025,111,1521,445,135,139,53

masscan的常用命令记录_coleak的博客-CSDN博客

旁站和C段

ip反查域名站点

同IP网站查询,C段查询,IP反查域名,在线C段,旁站工具 - WebScan

138

c段

ip查询 查ip 网站ip查询 同ip网站查询 iP反查域名 iP查域名 同ip域名

Nmap,Msscan

nmap -p 80,443,8000,8080 -Pn 192.168.0.0/24

网络空间搜索引擎

旁站：ip="192.168.0.1"

C段：ip="192.168.0.0/24"

敏感目录扫描

• 代码泄露漏洞

这里建议用python脚本（code_search）进行扫描，便于自己配置和更新字典

• 目录扫描

dirmap(yyds，快速又精准),dirsearch（yyds，快速又精准）,7kbscan,bbscan，御剑(不推荐)

这里以vul的扫描靶场为例，测试上面不同工具的效果

网站文件

常见的16种网站文件，可以手动测试或者用脚本进行扫描

CMS指纹识别

1、 CMS信息 ：比如Discuz、织梦、帝国CMS、PHPCMS、ECshop等；
2、前端技术：比如HTML5、jquery、bootstrap、Vue、ace等；
3、开发语言：比如PHP、Java、Ruby、Python、C#等；
4、Web服务器：比如Apache、 Nginx、IIS、lighttpd等；
5、应用服务器：比如Tomcat、Jboss、Weblogic、Websphere等；
6、操作系统信息：比如Linux、win2k8、win7、Kali、Centos等；
7、 CDN信息 ：是否使用CDN，如cloudflare、帝联、蓝讯、网宿、七
牛云、阿里云等；
8、 WAF信息 ：是否使用WAF，如D盾、云锁、宝塔、安全狗、360等

• 潮汐指纹
• 覆盖的类型非常全面，包含多有用的信息
• 

TideFinger 潮汐指纹 TideFinger 潮汐指纹

• wappalyzer插件
• 快捷方便，一目了然
• 
•  kali（cmseek和whatweb）
• 信息详细
• 

敏感文件搜索

• GitHub搜索

in:readme

in:name

in:descripton

关键词监控

• Google-hacking

site:域名

inurl: url中存在的关键字网页

intext：网页正文中的关键词

filetype:指定文件类型

例如:

site:nsfocus.com filetype:"pdf"

inurl:"admin.php"

site:freebuf.com filetype:"pdf"

inurl:"baidu.com"  filetype:"doc"

• 网盘搜索

十大网盘搜索引擎 - 凌风云

• 乌云库 

WooYun公开漏洞查询

头信息收集

指纹识别，curl...

网站组件，中间件

社工库

一般有以下内容被记录（查查自己往往有惊喜）

结合网站的注册信息，到注册过的被脱裤的网站进行社工库查询，或者搞定其中一个网站

newx007 登录

js敏感信息

url连接写到js里面

js的api接口 里面包含用户信息 比如 账号和密码

工具：JSFinder，Packer-Fuzzer

python3 JSFinder.py -u url -d -ou mi_url.txt -os mi_subdomain.txt

python3 PackerFuzzer.py -u url

SSL/TLS证书查询

结合证书中的信息，可以更快速地定位到目标资产，获取到更多目标资产的相关信息

亚数信息-SSL/TLS安全评估报告

crt.sh | Certificate Search

查询厂商ip段

Whois

这里拿上面证书查到的ip进行查询47.93.254.74

移动及社交资产收集

app软件搜索，微信小程序，支付宝小程序，QQ，公众号，手机号，招聘网，开发者团队及团队的其他产品

七麦数据 -专业移动产品商业分析平台-关键词优化-ASA优化-七麦科技

防护软件收集

安全防护 云waf、硬件waf、主机防护软件、软waf

• wafw00f

wafw00f url

其他资产信息

FOFA

• 官网

网络空间测绘，网络空间安全搜索引擎，网络空间搜索引擎，安全态势感知 - FOFA网络空间测绘系统

• reference

巧用fofa挖到你的第一个漏洞 - FreeBuf网络安全行业门户

• 语法 

其他资产

• 百度 intitle=绿盟
• Google intitle=绿盟

• 钟馗之眼ZoomEye - Cyberspace Search Engine

钟馗之眼语法查询

自动化工具

• goby

• 灯塔