前言
写这篇文章是总结一下思路,思考接下来的信息收集工具应该怎么开发。
借着这次课设的机会,刚好能够开发一个具备子域名搜集和站点地图探查的工具。
理想的应该是带上目标IP,指纹,端口等等一系列的集成工具。
信息收集
通常将信息收集分为主动和被动。主动信息搜集是与目标主机进行直接交互,从而拿到我们的目标信息,而被动信息搜集恰恰与主动信息搜集相反,不与目标主机进行直接交互,通过搜索引擎或者社交等方式间接的获取目标主机的信息。
whois
whois通常能够发现一些有用的信息
IP确定
首先应该确定的是IP
判断是否使用CDN
使用nslookup进行检测,如果返回域名解析对应多个IP,那么多半是使用了CDN.nslookup aa.com
或者直接使用多地ping网站http://ping.chinaz.com/
给一个在线IP工具https://www.ipip.net/
如果使用CDN就要绕过CDN获取真实IP,常用以下方法
查询DNS记录
1
2
3
4
5
6
7https://dnsdb.io/zh-cn/
https://x.threatbook.cn/
http://toolbar.netcraft.com/site_report?url=
http://viewdns.info/查询子域名
子域名可能没有CDN,但是和主站处于同一服务器或者C段- 网站漏洞
fopen 、 file_get_contents 这些函数,将文件参数改成自己服务器的IP,让对方服务器主动连接我们,然后从日志找到对方真实IP
或者铭感文件,敏感信息泄露 - 利用Zgrab绕CDN找真实IP
- 邮件可能是个可以利用的点
服务器信息
IP其实也涵盖在服务器信息之中 IP地址,结合上面的CDN绕过,获取到IP
服务器的系统类型 (windows、linux(Ubuntu、ContentOS))
支持的脚本类型 (asp、aspx、php、jsp)
Web容器 (apache 、IIS 、nginx)
开放端口情况 (21,22,80,1433,5900,3306,3389,8080,43958)
绝对路径 (报错页面显示、探针显示)
子域名发掘
- github上有一些现成的工具
例如subDomainsBrute,layer - 一些资产平台,例如
roomeye - 谷歌百度等搜索引擎收录,有特定搜索语法
指纹验证
- 扫描器 不过暂时没有什么顺手的扫描器,大概没什么开源的
- 云悉之类也可以查到
Waf探测
手动感觉要靠谱一点
漏洞扫描
- AWVS大概是我能想到的
- burp其实还有漏洞扫描功能
敏感文件泄露
- dirsearch在进行目录扫描的同时已经扫描了敏感文件
写得很粗略。。长期更新