信息收集

  • 域名信息
    • whois
    • google hack
      • robots.txt
      • 敏感文件
        • site:xxx.com filetype:doc intext:pass
        • site:xxx.com filetype:xls intext:pass
        • site:xxx.com filetype:conf
        • site:xxx.com filetype:inc
      • 后台
        • site:xxx.com 管理
        • site:xxx.com admin
        • site:xxx.com login
    • IP地址段
      • 端口–nmap
      • 端口对应的服务–msf
    • 旁站c段
      • bing查询
      • vps注意权限
    • CDN
      • Cloudflare
      • 从子域入手
        • mail, postfix
        • i.links.cn(查看ip,分析是否使用了CDN)
        • 爬虫
        • 路径爆破
      • SSRF漏洞
      • 查看邮件发送者源ip
      • APP客户端
      • DOS CND可能设置为回源模式
      • 查找域名历史解析ip
      • 破解CND帐号
    • 域名商
      • 找域名商漏洞,越权影响目标域名
      • 社工域名商客服
      • 社工帐号,修改解析地址
    • dns
      • 渗透dns服务器
      • dns域传送漏洞(使用nslookup)
      • 子域名接管漏洞
    • 敏感目录
      • robots.txt
      • 后台目录
      • 安装包
      • 上传目录
      • mysql管理接口
      • 安装页面
      • phpinfo
      • 编辑器
      • iis短文件名
  • 服务器、组件(指纹)
    • 服务器
      • 操作系统
        • 版本
        • 位数
        • 补丁
        • 安装的软件
        • 防护软件
        • 支持的脚本类型
      • web server
        • 版本号
        • url采集
        • 敏感目录
      • 程序语言
      • banner
      • hostname
      • 数据库类型
      • waf
    • 同服网站
      • http://dns.aizhan.com
      • http://www.114best.com/ip/114.aspx?w=IP
      • http://www.cnwzml.com/IP
    • 备案反查
    • 指纹识别
      • 特殊文件md5
      • cookie
      • 相应头
  • 信息泄漏
    • github泄漏
    • 网盘泄漏
    • qq群文件泄漏
    • 公司地址
    • 文档图片数据
    • 公司组织架构
    • 公开的商业信息
    • 人员姓名,职务
    • 联系电话,传真号码
  • 目标系统使用的技术架构
主机内信息收集
  • 服务
  • 端口
  • 软件安装
  • 文件目录
  • cookie
  • 文件共享缓存信息
  • 远程桌面登录缓存
  • ftp登录缓存
  • 软件下载目录
  • 管理员信息
  • 用户信息
  • sam密码信息
  • 帐号信息
  • 开机启动信息
  • 防护信息
  • 查看删除的资料
敏感文件

windows:

  • C:\boot.ini
  • C:\Windows\System32\inetsrv\MetaBase.xml \IIS配置文件
  • C:\Windows\repair\sam \存储系统初次安装的密码
  • C:\Program Files\mysql\my.ini \Mysql配置
  • C:\Program Files\mysql\data\mysql\user.MYD \Mysql root
  • C:\Windows\php.ini \php配置信息
  • C:\Windows\my.ini \Mysql配置信息

Linux:

  • /root/.ssh/authorized_keys
  • /root/.ssh/id_rsa
  • /root/.ssh/id_rsa.keystore
  • /root/.ssh/known_hosts
  • /etc/passwd
  • /etc/shadow
  • /etc/my.cnf
  • /etc/httpd/conf/httpd.conf
  • /root/.bash_history
  • /root/.mysql_history
  • /proc/mounts
  • /proc/config.gz
  • /proc/self/fd/fd*
查找网站根路径的方法
  • 报错显示
  • 谷歌搜索
  • site:www.xxx.xxx warning
  • 遗留文件:phpinfo、info、test、php
  • 漏洞爆路径
  • 读取配置文件
流程

资产信息:layer子域名爆破机、subDomainsBrute、Zoomeye、微步情报、Routerscan、S扫描器、superscan、nmap、portscan(Cobalt Strike)
用户目标信息:姓名、性别、电话号、出生日期、工作类别、qq、微信、虚拟活动范围、物理活动范围、亲人信息
邮箱信息:社工库、泄露数据、Google、百度、单位官网、群发邮件收件人列表
账号信息:常用账号、常用密码
供应商信息:提供服务者、合作厂商、招标合作、软硬件资产来源 –> 供应链攻击
目标业务环境:操作系统信息、浏览器信息、安装服务、安装应用、在线时段、端口开放等。

子域名收集
  • 子域名罗列:
    amass enum -passive -d -o
  • 子域名爆破
    amass enum -brute -w -d -o
  • whois反向查询
    viewdns.info和whoisxmlapi.com

  • 关联域名筛选
    ./bin/massdns -r lists/resolvers.txt -o S | grep -e ‘ A ‘ | cut -d ‘A’ -f 1 | rev | cut -d “.” -f1 –complement | rev | sort | uniq >

  • 子域名继续罗列
    amass enum -passive -df -o

  • 子域名爆破
    amass enum -brute -w -df -o
文章目录
  1. 1. 主机内信息收集
  2. 2. 敏感文件
  • 查找网站根路径的方法
  • 流程
  • 子域名收集
  • ,