渗透测试（10）- 目标资产被动信息收集

        信息收集可以分为两类: 主动信息搜集 和被动信息收集: 主动信息收集在上一篇文章也做了介绍， 被动信息搜集 : 指不与目标主机进行直接交互，通过搜索 引擎或者社会工程等方式间接的获取目标主机的信息。

总结一下需要收集的信息 :

(1) 网站服务器方面 : 服务器系统及版本，端口信息， IP 地址

(2) 站点信息 : 中间件、编程语言、数据库、后台目录、敏感目录、敏感文件、旁站、 C 段 (3) 子域名信息收集 : 注册信 息、备案信息、子域名信息收集 (4) 网站维护人员信息 : 姓名、职位、邮件信息、联系方式 (5) 公司信息 : 公司地址、 公司法人、公司性质、公司服务等

1、fofa 搜索引擎使用方法

        Fofa 是白帽汇推出的一款网络空间搜索引擎，它可以通过进行网络空间测绘，能够帮助

研究人员或者企业迅速进行网络资产匹配，例如进行漏洞影响范围分析、应用分布统计、

应用流行度排名统计等。

官网： https://fofa.info 需要注册

官方使用帮助 : 登录后，在页面右下方点击 “ 帮助中心 ” 在 “ 帮助中心 ” 页面中的搜索框输入 “help” 并键入回车可以在帮助页面中下拉找到 “ 新手教程 ” 教程中都是中文注释和对应的查询方法。

具体使用案例：

例一 : 搜索页面标题中含有 “ 后台管理 ” 关键词的网站和主机。 title=" 后台管理 ”

例二 : 搜索 html 正文中含有 “ 管理后台 ” 关键词的网站和主机 body=" 后台管理 ”

例三 : 搜索网站根域名带有 qq.com 的网站 domain="qq.com“

例四 : 搜索域名中带有 “weibo” 关键词的网站 host="weibo"

例五 : 搜索服务器位置在中国 并开放 3389 端口 country=CN && port="3389'

例七 : 等于号表示模糊匹配，搜索同时但不仅限于开放 21 ， 22 ， 23 端口的主机 ports="21,22,23“

例八 : 两个等于号，表示精准匹配，搜索只开放 21 ， 22 ， 23 ， 80 端口的主机 ports="21,22,23,80"

相似网站：

钟馗之眼：zoomeye.org

Shodan 搜素引擎 ： https://www.shodan.io

​

2、查询网站的域名注册、备案信息

  2.1、查询域名注册信息

通过web 接口查询域名注册信息 阿里云 : https://whois.aliyun.com /

2.2、常见的查询企业的网站

(1) Web 接口查询 : 站长之家 : http://whois.chinaz.com/

Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期等）。通过域名Whois服务器查询，可以查询域名归属者联系 方式，以及注册 和到期时间,可以用 whois.chinaz.com 访问！

(2)天眼查 https://www.tianyancha.com / 进入天眼查查看企业一些信息，找到一些网址和子域名.  

2.3、Whois 命令查询

​

2.4、nslookup 命令：查询 DNS 记录，一个 IP 地址对应的域名信息

​

同时，也可以指定域名服务器解析域名

国内服务使用：

1、114DNS  114.114.114.114

2、阿里DNS 主用：223.5.5.5 备用：223.6.6.6

3、腾讯DNS 主用：119.29.29.29

国外服务使用：

1、谷歌DNS 主用：8.8.8.8 备用：8.8.4.4

​

3、子域名介绍和使用

1 、主域名和子域名

顶级域名是域名的最后一个部分，即是域名最后一点之后的字母，例如在 http://www.example.com 这个域名中，顶级域是 .com ( 或 .COM) ，大小写视为相同

 

常见的顶级域主要分 2 类 :

（ 1 ）通用顶级类别域名共 6 个，主域名（顶级域名）：

用于科研机构的 .ac; 用于工商金融企业的 .com: 用于教育机构的 .edu; 用于政府部门的 .gov; 用于互联网络信息中心 和运行中心的 .net; 用于非盈利组织的 .org

（ 2 ）国家及地区顶级域如 “.cn” 代表中国， “.uk” 代表英国等，地理顶级域名一般由各个国家或地区负责管理, 子域名 (Subdomain Name) ，凡顶级域名前加前的都是该顶级域名的子域名，而子域名根据技术的多少分为二级子域名，三级子域名以及多级子域名。

2 、挖掘子域名信息的重要性

子域名是某个主域的二级域名或者多级域名，在防御措施严密情况下无法直接拿下主域，那么就可以采用迁回战术拿下子域名，然后无限靠近主域。例如 : www.baidu.com 主域不存在漏洞，并且防护措施严密。而二级域名 js.baidu.com 存在漏洞，并且防护措施松散。

3 、子域名挖掘信息网站

• 1.Layer 子域名挖掘机 ，Layer 子域名挖掘机是一款域名查询工具，可提供网站子域名查询服务;拥有简洁的界面、简单的操作模式，支持服务接口、暴力搜索、同服挖掘三种模式，支持打开网站、复制域名、复制P、复制 CDN导出域名、导出 IP、导出域名+IP、导出域名+IP+WEB 服务器以及导出存活网站!
• 搜索引擎挖掘 如: 在 Google 中输入 site:qq.com
• 第三方网站查询: http://tool.chinaz.com/subdomain、https://dnsdumpster.com/
• 证书透明度公开日志枚举: https://crtsh/ 、http://censys.io/
• 其他途径: https://phpinfo.me/domain 、域名反查查询: http://dns.aizhan.com

4、搜索引擎搜集 Web 信息

         Google 是强大的搜索引擎，但是在黑客手中。它也是一个秘密武器，它能搜索到一些你意想不到 的信息 ,例如： 利用 Google 搜索网站子域名是一件非常简单也非常复杂的事情，在搜索框输入 : site:baidu.com （百度也适用）

总结：本篇内容简单介绍了被动信息收集的一些方法，下一篇针对子域名挖掘再做进一步的介绍。