信息收集

一、域名探测

        在正规渗透测试的工作中，销售人员与甲方谈合同的时候，一般都会给出IP&域名，这个时候在信息收集的时候可以省略很多东西。

        如果没有给出的话，首先使用扫描器对目标进行环境漏洞的扫描（如：AWVS、APPSCAN、Netspark、WebInspect、Nmap、Nessus、天镜、明鉴、WVSS、RSAS等）探测是否有高危漏洞，如果发现高危漏洞，直接利用高危漏洞拿webshell进入企业。如果没有，进入第二步。

        ！！！需要注意的是：扫描器只能解决40%—50%的问题，剩下的需要手工检测。

二、子域名探测（收集目标二级地址包括ip地址的一些资产）

        1、DNS区域传送漏洞（大型企业刚搭建DNS服务时可能有）

                a）kali中的dnsenum工具

                        dnsenum baidu.com -f /dns.txt --dnsserver 114.114.114.114

                        dns.txt就是像跑字典一样，但是一般只用114.114.114.114就可以了

                b）kali中的dig工具

                        指定DNS服务器：dig @114.114.114.114 mail.163.com

                        显示简要信息：dig +noall +answer @8.8.8.8 mail.163.com

        ！！！注：114.114.114.114是国内的手工添加的dns，以前也有使用的是谷歌的8.8.8.8

                        DNS记录类型介绍(A记录、MX记录、NS记录等)参考：                                                 https://wenku.baidu.com/view/d2d597b669dc5022aaea0030.html

        2、 备案号查询（任何网站都需要备案）

                百度搜索域名备案（任何公司没有备案号不能对外提供服务）

                网站备案查询地址：http://beian.miit.gov.cn/、http://icp.bugscaner.com/、http://www.beianbeian.com、http://icp.bugscaner.com/

                查询到了网站备案号，可以用来反推目标公司的其他域名，且域名备案只需要一级域名即可，但是可以在主域名之前加上其他域名如bbs、vip等。

                也可以使用网站备案号查询域名。

        3、SSL证书（安全法规定需要走https）

                查询网址:https://myssl.com/ssl.html  和https://www.chinassl.net/ssltools/ssl-checker.html

        4、Google搜索C段（国内被禁封，需要挂VPN）

              Googlehack（浏览器语法）

               a）site（制定查询）

                        site:baidu.com（指定某一个网站）

                        site:*.com（所有网站）

                        site:tw（制定某一地理区域）

               b）filetype（文件类型）

                        filetype:doc（后缀名或者扩展名）

                        filetype:mdb（access数据库文件）

               c）后接关键字符

                        site:baidu.com admin（搜索关键字:管理，登陆，内部等敏感信息）

               d）intext:login（文本中含有管理的）

               e）inurl:file（文件上传漏洞）

               f）site:tw inurl:asp?id= （？id= 指的是数据库里的某一条信息）

！！！注：百度禁用了搜索引擎语法，google网站需要设置成全英文才能使用Googlehack语法，简体中文也会自动屏蔽该语法。

        5、C段旁注

                可以使用k8（解压密码k8team）或者dotnetscan（推荐dotnetscan）

                        a）解析主域名

                        b）查询二级、三级域名

                        c）使用dotnetscan（填写扫描地址段&端口号）

        6、APP提取（提供下载站内app，尤其金融业的网站居多）

            可以下载之后反编译，提取内网ip地址&其他敏感信息（大部分apk都是可以反编译）

            使用Android killer对apk反编译（查看源代码内的敏感信息）

                        搜索关键字（二级域名&ip地址，账号密码）

        ！！！注：使用Android killer可能会反编译失败是因为加密了，移动安全分为：反编译和信息安全。

        7、微信公众号（公司的门户网站，app下载并且需要手机与电脑在同一个WiFi下）

            a）ipconfig查看电脑ip地址

            b）设置手机的代理为电脑的ip，端口为8080

            c）电脑使用burp=》add（添加本地的ip地址）

            d）将burp的证书传到手机根目录，并且安装

            e）手机查看受信任的证书，有了就可以抓包了

        8、js文件查找（js文件中有很多地址）

                JSFinder（kali使用）工具：https://github.com/Threezh1/JSFinder，下载解压拖到kali中

                运行python3 JSFinder.py -u http://www.baidu.com（提取出js文件中的二、三级域名）

        8、字典枚举法

            使用Demon工具进行暴力破解，根据状态码来查看二级域名是否存在

                ！！！注：目标开启泛域名解析，暴力破解搜集域名失效

注意事项：

扫描器只能解决40%-50%的问题，其他的要手工

114.114.114.114是国内的手工添加的dns，以前使用的是谷歌的8.8.8.8

域名备案只需要一级域名即可

wcdn是阿里云，全国就近原则

网站刚上线的时候，后台管理没有封杀，对外也是公布的

百度禁用了搜索引擎语法

可以在域名后面加上地区（如：.tw）

site:tw inurl:asp?id= （？id= 指的是数据库里的某一条信息）

tengine是阿里单独针对Nginx二次开发的中间件

使用Android killer可能会反编译失败（加密了）

移动安全分为：反编译和信息安全

大型门户网站，不仅仅针对中国，也有对海外的二级域名

没有单一的一种方法可以将目标的全部信息搜集到，需要结合各种工具使用

目标开启泛域名解析，暴力破解搜集域名失效

开启泛域名解析后，在域名之前随意输入任何错误的域名都可以解析到门户网站，但是无法隐藏真实的ip

使用cdn地址可以提升连接速度，按照流浪收取费用，跟waf一样

如果没有源设备，客户端就直接跟服务器设备交互，相当不安全