web渗透之信息收集【完整版】

1. 域名收集

1.1 主域名信息收集

1.whois查询
2.备案信息查询

1.2 子域名信息收集

1.子域名检测工具
2.在线查询
3.搜索引擎枚举
4.第三方聚合应用枚举
5.证书透明度公开日志枚举

2. 网络信息搜集

2.1 C段扫描

C段指的是同一内网段内的其他服务器，每个IP有ABCD四个段，举个例子192.168.0.1，A段就是192，B段是168，C段是0，D段是1，而C段嗅探的意思就是拿下它同一C段中的其中一台服务器，也就是说是D段1-255中的一台服务器，然后利用工具嗅探拿下该服务器。
1.获得真实IP后，可以百度查看是不是云上资产
2.阿里云或者腾讯云等云上资产的话扫C段容易出现扫C段扫出一大片东西。
3.没有一个是目标资产的情况。不是云上资产的话就正常扫C段就可以。
4.C段推荐灯塔和goby

2.2 旁站

旁站指的是同一服务器上的其他网站，若主站拿不下。那么，可以查看该网站所在的服务器上是否还有其他网站。如果有其他网站的话，可以先拿下其他网站的webshell，然后再提权拿到服务器的权限，最后拿下主网站。
常用工具：
web：k8旁站、御剑1.5
K8Cscan大型内网渗透自定义插件化扫描神器，包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用，程序采用多线程批量扫描大型内网多个IP段C段主机，目前插件包含: C段旁注扫描、子域名扫描、Ftp密码爆破、Mysql密码爆破、Oracle密码爆破、MSSQL密码爆破、Windows/Linux系统密码爆破、存活主机扫描、端口扫描、Web信息探测、操作系统版本探测、Cisco思科设备扫描等,支持调用任意外部程序或脚本，支持Cobalt Strike联动
下载地址：https://github.com/k8gege/K8CScan
最新版Ladon https://github.com/k8gege/Ladon

2.3 获取真实IP

2.3.1 有无CDN

ping 一下对方域名，若如图两个地方的域名不一样则说明有CDN。若域名一至则没有。

使用在线工具检测

2.3.2 查找真实IP

如果www开头的域名有CDN，那就把域名前面的www去掉，然后再ping一下，很大可能得到真实IP。

2.3.3 通过网站证书寻找真实IP

适用于https的站
打开查找到的网页，按f12打开开发者模式，点击查看序列号并复制。

在下面的网站中进行进制转换。
在线转换工具
https://tool.lu/hexconvert/

打开fofa输入cert"此处输入转换过后的值"。

2.4 验证IP

• 使用御剑高速扫描工具
• 批量扫描IP段所有开放目标端口的主机

2.5 服务器信息

2.5.1 操作系统判断

通过ping来探测：

• Windows的TTL值都是一般是128，Linux则是64。所以大于100的肯定是
• Windows，而几十的肯定是Linux。

通过大小写的敏感字:

• Windows大小写不敏感，Linux大小写敏感。
• 表现如www.xxxx.com/index.php和www.xxxx.com/index.phP打开的一样就说明是Windows\n\n

2.5.2 主机扫描及端口信息

• 扫描主机开放什么端口

2.5.3 探测防火墙状态

利用FIN扫描的方式探测防火墙的状态:

• 代码：nmap-sF-T4192.168.0.100z。
• FIN扫描用于识别端口是否关闭，收到RST回复说明该端口关闭，否则就是open或filtered状态。

利用kali下的wafw00f 也可对目标站点进行探测

2.6 应用信息

2.6.1 指纹识别

常见CMS：

• Dedecms （织梦），Discuz，PHPWEB，PHPWind，PHPCMS，ECShop，
• Dvbbs，SiteWeaver，ASPCMS，帝国，Z-Blog，WordPress等。

扫描工具：

• 御剑web指纹识别，whatweb，webRobo，椰树，轻量web指纹识别等

在线查询CMS：

• [BugScaner][http://whatweb.bugscaner.com/look/]
• [云悉指纹][http://www.yunsee.cn/finger.html]
• [whatweb][https://whatweb.net/]

2.7 收集敏感信息

2.7.1 使用google语法进行搜索

常用语法：

• site：可限制你搜索范围的域名
• inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用
• intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)
• filetype：搜索文件的后缀或者扩展名
• intitle：限制你搜索的网页标题
• link: 可以得到一个所有包含了某个指定URL的页面列表
  语句使用：
• 查找后台地址：site:域名
  inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
• 查找文本内容：site:域名
  intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
• 查找可注入点：site:域名 inurl:aspx|jsp|php|asp
• 查找上传漏洞：site:域名 inurl:file|load|editor|Files找eweb
• 编辑器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit
• 存在的数据库：site:域名 filetype:mdb|asp|#
• 查看脚本类型：site:域名 filetype:asp/aspx/php/jsp
• 迂回策略入侵：inurl:cms/data/templates/images/index/
• 迂回策略入侵：inurl:cms/data/templates/images/index/
• 意思为搜索网页正文中包含有“后台管理” 并且域名后缀是edu.cn的网站，

2.7.2 使用扫描工具对目录进行扫描

• DirBuster、御剑后台扫描珍藏版、wwwscan、Spinder.py、Sensitivefilescan、Weakfilescan

2.7.3源代码泄露

• github信息收集

2.7.4漏洞平台

• [乌云漏洞表][https://wooyun.shuimugan.com]
• https://www.exploit-db.com/

2.8 社会工程学

2.8.1懂得都懂

3 关于打不开资产

搜到打不开但仍然属于目标单位资产，如果能ping出IP，说明服务器还存活，只是web服务没开。
**IP:**可以扫全端口+C段，
**域名且没有CDN:**可以全端口+C段。