信息收集

本文章由GeekY编写，仅供学习和研究使用,请勿使用项目的技术手段用于非法用途,任何人造成的任何负面影响,与本人无关。
本文档所有内容、新闻皆不代表本人态度、立场
不会收取任何广告费用,展示的所有工具链接与本人无任何利害关系

理论部分

渗透流程

1.明确目标

确定范围：渗透测试的目标范围、IP、域名、内外网

确定规则：可以渗透到什么程度、时间有什么要求？是否可以修改上传（木马是否允许上传）？能否提权等

确定需求：web应用的漏洞（新上线的程序）？业务逻辑漏洞（针对业务的）？

通知客户数据库备份、源代码备份

禁止登陆扫描

降低扫描线程

增删改一定要手工进行

禁止脱裤、跑数据、传shell、发起DOS、DDOS攻击

2.信息收集

收集方式：主动扫描、开放搜索（利用搜索引擎获得后台、未授权页面、敏感URL等）

基础信息：IP，网段，域名，端口

系统信息：操作系统版本

应用信息：各端口的应用，如web应用、邮件应用、DNS服务等

版本信息：所有这些探测到的版本

人员信息：域名注册人员信息，web应用中网站发帖人ID，管理员姓名等

防护信息：是否能测试到防护设备

3.漏洞探测

漏扫：AWVS、IBM appscan

系统漏洞：未及时打补丁

web漏洞：web应用开发问题

结合漏洞寻找poc

4.漏洞验证（需要确认）

将上述所有漏洞全部验证一遍

自动化验证：结合自动化工具进行验证

手工验证：SQL注入，XSS测试

登录猜解：弱密码

5.信息分析

用漏洞实行精准打击

定制攻击路径、绕过检测机制、攻击代码

6.获取所需

获取内部信息：基础设施（网络连接、vpn、路由、拓扑）

进一步渗透：内网入侵，敏感目标

清理痕迹：清理相关日志和木马、上传文件等

7.信息整理

整理渗透工具：用的代码，poc，exp等

整理收集信息：整理收集到的信息

整理漏洞信息：整理渗透过程中的漏洞

8.形成报告

漏洞成因，验证过程，带来的危害分析、修补建议

信息收集

二级域名二级域名、C端、旁站、

二级域名

收集子域名方法一： DNS域传送漏洞

#通过kail 的dnsenum工具获取dns域中域名

kali> dnsenum 【域名】

#注意收集的域名信息包含CDN的IP地址，需要进行过滤
CDN：简单理解为WEB网站的缓存服务器，分布在不同节点实现网站的快速访问

收集子域名方法二：备案号查询

查询网址：

ICP网站域名备案查询网

https://www.tianyancha.com/

icp备案查询_网站备案查询_域名备案查询_APP备案查询_小程序备案查询_快应用备案查询_爱站网

http://cha.fute.com/index

零零信安 | ASM | 攻击面 | 外部攻击面管理专家 | 比攻击者更快一步了解您自己的风险

注意：备案号一般存放在门户网站的最底部

收集子域名方法三：SSL证书

SSL证书查找方法：

寻找方法：

①找到渗透门户网站，点击锁图标查看https的证书信息

②点击右上角证书图标，找到证书字段中的序列号

③需要将改字段值转换为十进制，通过Burp Suit软件、在线转换工具直接转换即可

查询网站：

SSL状态检测

SSL证书在线检测工具-中国数字证书CHINASSL

收集子域名方法四：利用反编译工具收集域名信息

通过AndroidKiller反编译器，里面可以查找相关的公司域名和ip地址信息

收集子域名方法五：微信公众号提取

通过开启手机代理，实现BurpSuit与手机的联动，抓包分析

搜狗：https://weixin.sogou.com

收集子域名方法六：暴力破解

即利用枚举法通过字典的形式，进行暴力破解，获取二级域名

查询网站：

在线子域名爆破-JAVASEC

Subdomain - RapidDNS Rapid DNS Information Collection

子域名查询查子域名查子站子域名大全二级域名查询查子域

子域名查询 - dnsgrep

DNSDumpster - Find & lookup dns records for recon & research

工具：

OneForAll：https://github.com/shmilylty/OneForAll
ksudbomain：https://github.com/knownsec/ksubdomain
subDomainsBrute：https://github.com/lijiejie/subDomainsBrute
Sublist3r: https://github.com/aboul3la/Sublist3r
子域名挖掘机：https://github.com/euphrat1ca/LayerDomainFinder
dirsearch：https://github.com/maurosoria/dirsearch

收集子域名方法七：利用域名信息历史注册记录

查询网站：

域名Whois查询 - 站长工具

WHOIS 域名查询 - 查找网站所有者 - GoDaddy CN

通过WHOIS历史信息查询访问域名历史 | WhoisXML API

收集子域名方法八：利用域名信息历史注册记录

1）百度谷歌

site:oldboyedu.com –根据主域信息进行检索

intitle：老男孩教育 –根据企业名称进行检索

2） 空间搜索引擎

FOFA: https://fofa.info
Quake：https://quake.360.cn/quake/#/index
Shadon：https://www.shodan.io
- 基础语法：https://blog.csdn.net/Vdieoo/article/details/109622838
ZoomEye：https://www.zoomeye.org

收集子域名方法九：利用网站js文件提取二级域名

工具：

jfFinder

C端、旁站收集

获取其他域名信息/获取其他局域网主机地址信息

在线网站：

网站IP查询_IP反查域名_同IP网站查询 - 站长工具

域名查iP 域名解析 iP查询网站 iP反查域名 iP反查网站同一iP网站同iP网站域名iP查询

工具：

Goby— 资产绘测及实战化漏洞扫描工具

御剑

Nmap: the Network Mapper - Free Security Scanner

K8、IISPutScanner (前提条件要获取到网站的真实ip)

威胁分析

微步在线X情报社区-威胁情报查询_威胁分析平台_开放社区

360安全大脑

奇安信威胁情报中心

敏感信息收集

Web源代码泄露

1）收集源代码备份信息

利用7kbscan工具

2）收集特定站点目录中的扩展文件

.git 目录信息泄露，也可以通过（GitHack）.git目录获取源代码

.DS_store 仿照7kbscan字典形式创建/【目录名】/.DS_store字典并进行扫描

通过 ds_store_exp.py 【.DS_store路径】递归下载到本地

.svn 仿照7kbscan字典形式创建.svp字典并进行扫描

通过seay svn添加网站实现源码下载

.hg等……

3）社工信息泄露

泄露敏感信息注册到一些网站（手机号身份号 QQ 微信）

GooleHack

https://cn.bing.com/

1.后台地址

site:xxx.com 管理后台/登录/管理员/系统，可以通过添加双引号增加精确度
site:xxx.com inurl:login/admin/system/guanli/demglu

2.敏感文件

site:xxx.com filetype:pdf/doc/xls/txt
site:xxx.com filetype:log/sql.conf

3.测试环境

site: xxx.com inurl:test/ceshi
site: xxx.com intitle:测试/后台

4.邮箱/QQ/群

site: xxx.com 邮件/email
site: xxx.com qq/群/企鹅/腾讯
site: xxx.com intitle:”Outlook Web App” 邮件服务器web界面
site: xxx.com intitle:”mail”
site: xxx.com intitle:”webmail”

5.其他

site:xxx.com inurl:api
site:xxx.com inurl:uid=/id=
site:xxx.com intitle:index of “server at”

历史漏洞信息收集

在线网站：

补天地址：https://www.butian.net/

漏洞银行：https://m.bugbank.cn/

乌云网址：https://wy.zone.ci/index.php

CNVD: https://www.cnvd.org.cn/

CNNVD：http://www.cnnvd.org.cn

Seebug：https://www.seebug.org

Exploit Database：https://www.exploit-db.com

Sploitus：https://sploitus.com

网盘引擎

指纹识别

指纹识别就是识别搭建网站的方式（dedecms、wordpress、edusoho、wencenter 、jira）

cms平台：完整内容管理平台（适合搭建官方网站）

dz 平台：论坛

edusoho ：线上视频网站

wecenter ：线上社交平台

JIRA : 项目管理平台

confluence ：企业内部网盘

wordpress ：博客系统

在线网站：

火狐插件：Wappalyzer
云悉：http://www.yunsee.cn
whatweb：https://www.whatweb.net
在线：http://whatweb.bugscaner.com/look
Nucle：https://github.com/projectdiscovery/nuclei
潮汐：http://finger.tidesec.net/

使用御剑增强版也可以识别网站指纹信息

网站安全程序识别方法

kali自动集成

https://github.com/EnableSecurity/wafw00f

进行程序安装：python setup.py install

软件程序测试：进入wafw00f目录执行main.py www.safedog.cn

CDN识别

通过Ping一个不存在的二级域名获取真实ip或没有挂cdn的域名（主要是通过泛域名解析）
利用fofa语法title标签获取真实ip
DNS历史记录
- https://sitereport.net.craft.com/?url=https://www.oldboyedu.com
是否存在phpinfo.php（在phpinfo中的SERVER_ADDR或者SERVER[“”SERVER_ADDR]）找到真实IP
通过国外VPS Ping

在线工具

真实ip

工具参考

Dnsenum（DNS域传输漏洞）

工具介绍：DNS域传送漏洞（KALI）收集一个域的信息，通过谷歌或者字典文件猜测可能存在的域名

#用法
dnsenum 【选项】 <域>

常用选项：
	--dnsserver <server>	选择解析的DNS服务器
	-v 						显示详细信息
	-f						从此文件中读取子域进行暴力破解
	--noreverse				跳过反向查找操作

oneForAll 子域名收集器

项目地址：https://github.com/shmilylty/OneForAll

oneforall 依赖安装

cd OneForAll/
python3 -m pip install -U pip setuptools wheel -i https://mirrors.aliyun.com/pypi/simple/
pip3 install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/
python3 oneforall.py --help

oneforall使用方法

#运行示例
python3 oneforall.py --target example.com.cn run

#使用字典进行搜集
python3 oneforall.py --targets ./example.txt run

运行结束后会在相应文件夹产生结果文件

需要python 3.6.0以上环境才能运行

使用 python 3.11 及以上版本时oneforall会出现一个 cannot import name ‘sre_parse’ from ‘re’ 的报错：

修复方法

pip uninstall exrex

pip install exrex

ksubdomain 无状态子域名爆破工具

工具特点：ksubdomain的发送和接收是分离不依赖系统的，所以速度快

项目地址：knownsec/ksubdomain: 无状态子域名爆破工具

#常用命令：
使用内置字典爆破
ksubdomain -d seebug.org

使用字典爆破域名
ksubdomain -d seebug.org -f subdomains.dict

字典里都是域名，可使用验证模式
ksubdomain -f dns.txt -verify

爆破三级域名
ksubdomain -d seebug.org -l 2

通过管道爆破
echo "seebug.org"|ksubdomain

通过管道验证域名
echo "paper.seebug.org"|ksubdomain -verify

仅使用网络API接口获取域名
ksubdomain -d seebug.org -api

完整模式,先使用网络API，在此基础使用内置字典进行爆破
ksubdomain -d seebug.org -full

Summary整理功能
ksubdomain -d seebug.org -summary

#相关参数
  -api
        使用网络接口
  -b string
        宽带的下行速度，可以5M,5K,5G (default "1M")
  -check-origin
        会从返回包检查DNS是否为设定的，防止其他包的干扰
  -csv
        输出excel文件
  -d string
        爆破域名
  -dl string
        从文件中读取爆破域名
  -e int
        默认网络设备ID,默认-1，如果有多个网络设备会在命令行中选择 (default -1)
  -f string
        字典路径,-d下文件为子域名字典，-verify下文件为需要验证的域名
  -filter-wild
        自动分析并过滤泛解析，最终输出文件，需要与'-o'搭配
  -full
        完整模式，使用网络接口和内置字典
  -l int
        爆破域名层级,默认爆破一级域名 (default 1)
  -list-network
        列出所有网络设备
  -o string
        输出文件路径
  -s string
        resolvers文件路径,默认使用内置DNS
  -sf string
        三级域名爆破字典文件(默认内置)
  -silent
        使用后屏幕将仅输出域名
  -skip-wild
        跳过泛解析的域名
  -summary
        在扫描完毕后整理域名归属asn以及IP段
  -test
        测试本地最大发包数
  -ttl
        导出格式中包含TTL选项
  -verify
        验证模式

subDomainsBrute 暴力域名枚举工具

工具特点：高并发的DNS暴力枚举工具，支持Python3.6+和Python2.7，建议使用Python3.8+。

项目地址：lijiejie/subDomainsBrute: A fast sub domain brute tool for pentesters

使用方法：

Usage: subDomainsBrute.py [options] target.com

Options:
  --version             show program's version number and exit
  -h, --help            show this help message and exit
  -f FILE               File contains new line delimited subs, default is
                        subnames.txt.
  --full                Full scan, NAMES FILE subnames_full.txt will be used
                        to brute
  -i, --ignore-intranet
                        Ignore domains pointed to private IPs
  -w, --wildcard        Force scan after wildcard test failed
  -t THREADS, --threads=THREADS
                        Num of scan threads, 500 by default
  -p PROCESS, --process=PROCESS
                        Num of scan process, 6 by default
  --no-https            Disable get domain names from HTTPS cert, this can
                        save some time
  -o OUTPUT, --output=OUTPUT
                        Output file name. default is {target}.txt

Sublist3r 子域名枚举工具

工具特点：Sublist3r 是一个 python 工具，旨在使用 OSINT 枚举网站的子域。它可以帮助渗透测试人员和错误猎人收集和收集他们所针对的域的子域。Sublist3r 使用许多搜索引擎（如 Google、Yahoo、Bing、Baidu 和 Ask）列举子域。Sublist3r 还使用 Netcraft、Virustotal、ThreatCrowd、DNSdumpster 和 ReverseDNS 枚举子域。

项目地址：aboul3la/Sublist3r：用于渗透测试人员的快速子域枚举工具

使用方法：

获取基本选项帮助
python sublist3r.py -h

要枚举特定域的子域
python sublist3r.py -d example.com

要枚举特定域的子域并仅显示具有开放端口 80 和 443 的子域 
python sublist3r.py -d example.com -p 80,443

要枚举子域并启用 bruteforce 模块
python sublist3r.py -b -d example.com

Layer 子域名挖掘机

项目地址：euphrat1ca/LayerDomainFinder: Layer子域名挖掘机

输入对应的域名直接开始扫描即可

jsFinder 扫描js文件提取二级域名

JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具。

项目代码：Threezh1/JSFinder: JSFinder is a tool for quickly extracting URLs and subdomains from JS files on a website.

使用方法：

#简单爬取（爬取这单个页面的所有js连接，并在其中发现url和子域名）
python JSFinder.py -u http://www.mi.com

#深度爬取（使用-ou和-os 指定保存的URL和子域名的文件名）
python JSFinder.py -u http://www.mi.com -d -ou mi_url.txt -os mi_subdomain.txt

subfinder 子域发现工具

subfinder是一种子域发现工具，它使用被动在线资源返回网站的有效子域。它具有简单的模块化架构，并针对速度进行了优化。专为只做一件事 - 被动子域枚举，它做得很好

项目地址：projectdiscovery/subfinder: Fast passive subdomain enumeration tool.

使用方法：

Usage:
  ./subfinder [flags]

Flags:
INPUT:
  -d, -domain string[]  domains to find subdomains for
  -dL, -list string     file containing list of domains for subdomain discovery

SOURCE:
  -s, -sources string[]           specific sources to use for discovery (-s crtsh,github). Use -ls to display all available sources.
  -recursive                      use only sources that can handle subdomains recursively (e.g. subdomain.domain.tld vs domain.tld)
  -all                            use all sources for enumeration (slow)
  -es, -exclude-sources string[]  sources to exclude from enumeration (-es alienvault,zoomeyeapi)

FILTER:
  -m, -match string[]   subdomain or list of subdomain to match (file or comma separated)
  -f, -filter string[]   subdomain or list of subdomain to filter (file or comma separated)

RATE-LIMIT:
  -rl, -rate-limit int  maximum number of http requests to send per second
  -rls value            maximum number of http requests to send per second for providers in key=value format (-rls "hackertarget=10/s,shodan=15/s")
  -t int                number of concurrent goroutines for resolving (-active only) (default 10)

UPDATE:
  -up, -update                 update subfinder to latest version
  -duc, -disable-update-check  disable automatic subfinder update check

OUTPUT:
  -o, -output string       file to write output to
  -oJ, -json               write output in JSONL(ines) format
  -oD, -output-dir string  directory to write output (-dL only)
  -cs, -collect-sources    include all sources in the output (-json only)
  -oI, -ip                 include host IP in output (-active only)

CONFIGURATION:
  -config string                flag config file (default "$CONFIG/subfinder/config.yaml")
  -pc, -provider-config string  provider config file (default "$CONFIG/subfinder/provider-config.yaml")
  -r string[]                   comma separated list of resolvers to use
  -rL, -rlist string            file containing list of resolvers to use
  -nW, -active                  display active subdomains only
  -proxy string                 http proxy to use with subfinder
  -ei, -exclude-ip              exclude IPs from the list of domains

DEBUG:
  -silent             show only subdomains in output
  -version            show version of subfinder
  -v                  show verbose output
  -nc, -no-color      disable color in output
  -ls, -list-sources  list all available sources

OPTIMIZATION:
  -timeout int   seconds to wait before timing out (default 30)
  -max-time int  minutes to wait for enumeration results (default 10)

EHole棱洞系统指纹探测工具

EHole是一款对资产中重点系统指纹识别的工具，在红队作战中，信息收集是必不可少的环节，如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic…)。EHole旨在帮助红队人员在信息收集期间能够快速从C段、大量杂乱的资产中精准定位到易被攻击的系统，从而实施进一步攻击。

项目地址：EdgeSecurityTeam/EHole: EHole(棱洞)3.0 重构版-红队重点攻击系统指纹探测工具

参数信息

E:\tools\collection\EHole_windows_amd64>EHole_windows_amd64.exe finger -h
从fofa或者本地文件获取资产进行指纹识别，支持单条url识别。

Usage:
  ehole finger [flags]

Flags:
  -f, --fip string      从fofa提取资产，进行指纹识别，仅仅支持ip或者ip段，例如：192.168.1.1 | 192.168.1.0/24
  -s, --fofa string     从fofa提取资产，进行指纹识别，支持fofa所有语法
  -h, --help            help for finger
  -l, --local string    从本地文件读取资产，进行指纹识别，支持无协议，列如：192.168.1.1:9090 | http://192.168.1.1:9090
  -o, --output string   输出所有结果，当前仅支持json和xlsx后缀的文件。
  -p, --proxy string    指定访问目标时的代理，支持http代理和socks5，例如：http://127.0.0.1:8080、socks5://127.0.0.1:8080
  -t, --thread int      指纹识别线程大小。 (default 100)
  -u, --url string      识别单个目标。

Global Flags:
      --config string   config file (default is $HOME/.ehole.yaml)




###############################################################################################

E:\tools\collection\EHole_windows_amd64>EHole_windows_amd64.exe fofaext -h
从fofa api提取资产并保存成xlsx，支持大批量ip提取,支持fofa所有语法。

Usage:
  ehole fofaext [flags]

Flags:
  -s, --fofa string     从fofa提取资产，支持fofa所有语法，默认保存所有结果。
  -h, --help            help for fofaext
  -l, --ipfile string   从文本获取IP，在fofa搜索，支持大量ip，默认保存所有结果。
  -o, --output string   指定输出文件名和位置，当前仅支持xlsx后缀的文件。 (default "results.xlsx")

Global Flags:
      --config string   config file (default is $HOME/.ehole.yaml)

使用方法

#本地识别
EHole_windows_amd64.exe finger  -l url.txt

#url.txt文件格式：
	http://192.168.100.1:10086/
	https://192.168.100.1:10086/
	

#fofa识别（需要配置FOFA密钥以及邮箱信息，在config.ini内配置好密钥以及邮箱即可使用）
Email=om2bg0rl5cgyxdxtj2nhybfedmgo@open_wechat
Fofa_token=7e067ef287ebdb200d523d181cd724bd

#支持单ip或IP段
EHole_windows_amd64.exe finger -f 192.168.1.1
EHole_windows_amd64.exe finger -f 192.168.1.0/24


#将结果输出到指定文件
EHole_windows_amd64.exe -l url.txt -json export.json

dirsearch Web路径发现

dirsearch是一个基于python的命令行工具，用于暴力扫描页面结构，包括网页中的目录和文件。

项目地址：https://github.com/maurosoria/dirsearch

1	pip3 install -r requirements.txt //安装依赖

使用方法：

python3 dirsearch.py -u https://target

python3 dirsearch.py -e php,html,js -u https://target

python3 dirsearch.py -e php,html,js -u https://target -w /path/to/wordlist

参数信息：

-u URL 						指定URL目标
-L URLLIST 					指定URL列表目标
-e	EXTENSIONS				指定扩展列表
-R RECURSIVE_LEVEL_MAX	 	最大递归级别（子目录）（默认值：1[仅限根目录+1目录]）
-r							递归暴力
-t	THREADSCOUNT			指定线程数
-w	WORDLIST				指定自定义单词表

HTTP 405 “Method Not Allowed” 是一个客户端错误响应状态码，表示请求中指定的方法（如GET、POST、PUT等）对于目标资源来说是不允许的。

Router Scan路由器扫描

RouterScan v2.51是我用过的路由器扫描软件中最容易使用，效果最好的，功能最全面的一个工具，成功率可以达到90%，非常适合新手和脚本小子使用。最为一款路由器安全测试工具，其最核心的功能当然还是在路由器扫描。

扫描模块功能：

Router Scan(main)模块是新版本中默认选择运行的模块，要想做快速检测时，可以单独选择此功能模块就行，但是它的缺点就是，成功获取认证帐号和密码的概率会降低，因为很多路由器单靠暴力破解是行不通的。

Detect proxy servers，从字面上意思是检测代理服务器，但是它的具体作用，我暂时还没弄清楚，还请高手出来指点一二。我想应该是扫描检测可以作为代理的主机，以方便架设属于自己的VPN吧。

Use HNAP 1.0，使用HNAP协议里的漏洞对路由器进行安全检测。HANP是

Home Network Administration Protocol的缩写，即家庭网络管理协议。是一种基于 HTTP-SOAP 实现的网络管理协议，具有其它大多数网络管理协议的相同特征:远程认证登陆、远程配置、信息获取，配置执行生效等。这个协议允许设备厂商通过该协议对自己设备进行远程管理和配置，以方便更好得管理自己的设备，给消费者用户提供更好的技术支持。但是某些路由器厂商也因这个协议而爆出漏洞：HNAP命令远程权限提升漏洞。这个扫描工具正是集合了该漏洞的POC，成功得提升了路由器爆破的成功率，选择该模块之后，一些字典里没有的密码也可以被直接捕获到！

SQLite Manager RCE，利用SQLite Manager 远程连接设备中的数据库，进行配置信息的检索，以达到爆破的目的。

Hudson Java Servlet. 此功能还没测试过，因此具体作用未知。一般用上面这几个功能，它的爆破成功率已经高达80%，比市面上的很多扫描器要好很多，可称之为神器！

使用案例

1、路由器安全测试

1、设置软件参数，最大线程数使用默认的300就可以了，太高了会影响扫描成功率，建议在100-300之间，当然这也跟你的个人电脑的配置还有带宽等因素有关，如果配置带宽都很高，可以适当调高；设置超时时间，使用默认的2000就可以了；扫描端口：80、8080、1080；Scanning modules : Router Scan(main)，Use HNAP 1.0 ，就勾选这两个就足够了。最后再设置一个你想要测试的地址段，设置参数就完成了。如图：

技术分享