1.信息收集

whois xx.com

        域名注册信息

        注册人、电话、email

        Whois.chinaz.com

        kali自带whois工具

        域名备案信息

Beian.miit.gov.cn

Tianyancha.com

Icp.chinaz.com

爱站

Sou.xiaolanben.com

2.子域名收集

收集方式

1. 枚举：基于字典
2. 搜索引擎：googlehacking、bing、fofa、hunter
3. 第三方聚合服务：dns数据集大量子域名信息

枚举

方法：字典、接口

子域名收集存在的问题：泛解析

泛解析：用户输入了错误的子域名，就会无法访问，因此为了避免输入错误导致的用户流失，就会使用泛解析

使用特殊的域名解析方式：通配符解析  *.域名 解析到同一个ip上

工具收集：

Layer子域名挖掘机

Subdomainsbrute

Oneforall

搜索引擎：

百度/必应/谷歌 (可组合使用)：

site:sss.com

Intext:网页中包含xxx

Intitle:标题中包含xxx

Inurl：url中包含xxx

Filetype：文件类型 filetype:doc,ppt,asp,pdf

空间搜索引擎：fofa.info、hunter.qianxin.com、shodan.io

3. 真实ip地址

端口信息扫描，每个端口存在服务对应指纹信息，历史漏洞

历史ip地址记录，历史解析记录，都可以帮我们拓展很多资产

Cdn服务Content Delivery Network

内容分发网络：通常存在用户比较多的大型流量网站

优势：隐藏源主机IP地址，降低延迟，提供服务器响应速度，增加网络冗余，减少服务器压力

判断是否存在cdn：ping.chinaz.com  IP地址不唯一  

4. 绕过cdn查找真实ip

域名解析历史记录

                Ip138.com

分站ip地址，cdn贵，分站可能不使用

邮件发送，注册功能，邮件服务器是真实ip

探针文件 phpinfo.php中的IP地址   inurl:phpinfo.php

1. Sitereport.netcraft.com 国内cdn加速，国外线路访问可能是真实ip

5.针对真实ip地址进行端口扫描

端口扫描工具

masscan

Masscan -p 1-65535 ip

Nmap:

主机发现 -sn

端口扫描 -sS

系统扫描 -O

版本扫描 -sV

综合扫描 -A

脚本存放路径：nmap/script

常用命令

Nmap -T4 -A -v -p1-65535 192.168.0.1 强扫描

Nmap -sS -sU -v -p1-65535 192.168.0.1 udp扫描

Nmap -Pn 不做ping扫描，将所有主机视为在线 - 跳过主机发现

Nmap -sn -F:

-sn:Ping Scan - disable port scan

-F: Fast mode - Scan fewer ports than the default scan只扫描常见端口

全扫描

        比较慢，准确，但会在流量日志中留下大量记录

半扫描

        Syn/ack 开放

Fin扫描

        不会被记录，比较隐蔽

Coolaf.com在线端口扫描网站

常见端口及漏洞

ftp 21：匿名上传漏洞 弱口令爆破

Ssh 22：弱口令爆破 ssh隧道转发--内网代理，内网可以用作内网喷洒

Telnet 23：嗅探，弱口令爆破

Smtp 25

Dns 53：dns劫持

Tftp 69/udp：匿名上传漏洞 弱口令爆破

Pop3 110：爆破嗅探

Samba服务 1 39：未授权漏洞，远程代码执行

Ldap服务 389：匿名访问，弱口令

Smb 445：MS08-067 MS17_010

Mssql 1433:注入 提权

Oracle 15 21

Mysql 3306:注入 提权

Tdp 3389:注入 提权 rdp

Redis 6379

Zabbix 8069：getshell漏洞

Tomcat 8080

Mq服务 8161：弱口令 任意文件写入

Elastic 9200：未授权 代码执行

6.cms 识别 指纹识别

1、部分cms存在url的关键字

wordpress默认后台路径:wp-admin、wp-includes

dedemcs默认后台:dede2、

2、开发语言识别

php jsp asp请求包和响应包

x-powerer-by:asp.net php/7.11

set-cookie :phpsessionid jsessionid java

3、cms

wordpress dedecms(织梦) 74cms(招聘网站) discuz

1、企业建站:metinfo 蝉知

2、商城:ecshop

3、门户网站:dedecms 帝国cms

4、博客:wordpress z-blog

5、论坛:discuz

6、招聘网站:74cms phpyun6、

识别工具：

Chrome扫描插件： wappalyzer

在线识别：

        潮汐

        360finger

本地识别：

        Tidefinger

        P1finger64

7.源码泄露

Git源码泄露

用户误上传了.git文件夹，用githack恢复源码，获取敏感信息

Svn源码泄露

在使用SVN管理本地代码过程中，会自动生成一个名为.svn的隐藏文件夹，其中包含重要的源代码信息。一些网站管理员在发布代码时，不愿意使用‘导出’功能，而是直接复制代码文件夹到WEB服务器上，这就使.svn隐藏文件夹被暴露于外网环境，黑客可以借助其中包含的用于版本信息追踪的entries文件，获取站点信息。使用svnexploit还原代码

其他信息

旁站：同服务器其他站点

c站：同网段其他服务器

目录：扫描站点的目录，寻找敏感文件，如目录名，后台，robots.txt、备份文件等，站点结构，权限控制不严格，弱口令，万能密码，爆破

探针文件:服务器配置信息，1.php、phpinfo.php、readme.txt、支config.txt

js代码

现如今越来越多的网站使用webpack技术，开发人员通常会把api路由打包进JS文件，JS文件中往往会暴露出许多信息，比如一些注释中的敏感信息，内网ip地址泄露，还有一些绝对路径或者相对路径的ur1，这些ur1中很有可能就存在一些未授权访问或者其他漏洞，进行jS文件扫描对于渗透工作是非常有必要的

工具：jsfinder、packer-fuzzer(针对webpack)