全网最全信息收集，看这一篇就够了

公众号：渗透师老A
专注分享渗透经验，干货技巧….

什么是信息搜集

信息搜集也称踩点，信息搜集毋庸置疑就是尽可能的搜集目标的信息，包括端口信息、DNS信息、员工邮箱等等看似并不起眼的一些信息都算是信息搜集，这些看似微乎其微的信息，对于渗透测试而言就关乎到成功与否了。

信息搜集的重要性

信息搜集是渗透测试的最重要的阶段，占据整个渗透测试的60%，可见信息搜集的重要性。根据收集的有用信息，可以大大提高我们渗透测试的成功率。

信息搜集的分类

1、主动式信息搜集（可获取到的信息较多，但易被目标发现）

2、通过直接发起与被测目标网络之间的互动来获取相关信息，如通过Nmap扫描目标系统。

3、被动式信息搜集（搜集到的信息较少，但不易被发现）

4、通过第三方服务来获取目标网络相关信息。如通过搜索引擎方式来搜集信息。

信息收集哪些东西:

1. whois信息
2. 子域名
3. 旁站
4. 端口
5. 目录,敏感信息泄露
6. C段
7. 网站架构
8. 判断WAF
9. 判断CMS
10. 真实IP
11. DNS信息
12. 社工利用

信息收集流程:

网站由域名,服务器,WEB应用组成。

可以先从域名开始

1. 域名:whois,备案,子域名等
2. 服务器:真实IP,DNS信息,端口,等
3. WEB:网站框架,目录信息敏感信息泄露,旁站,C段,WAF,CMS等
4. 企业:天眼查,信用信息等

信息收集脑图:

域名信息收集:

Whois查询:

Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期、DNS等）。通过域名Whois服务器查询，可以查询域名归属者联系方式，以及注册和到期时间

可以通过whois信息进行反查,邮箱,联系人等信息来反查到更多的信息

查询域名注册邮箱通过域名查询备案号通过备案号查询域名反查注册邮箱反查注册人通过注册人查询到的域名在查询邮箱通过上一步邮箱去查询域名查询以上获取出的域名的子域名

查询方式:

主动查询:

kali 自带whois查询
命令:whois + ip/域名

被动查询:

1. http://tool.chinaz.com/ipwhois/
2. http://whois.xinnet.com/
3. https://whois.cloud.tencent.com/
4. https://site.ip138.com/
5. https://www.whois.net/
6. https://whois.aizhan.com/IP反查:Dnslytics地址:https://dnslytics.com/

利用Dnslytics反查IP可以得到如下信息:

IP informationNetwork informationHosting informationSPAM database lookupOpen TCP/UDP portsBlocklist lookupWhois informationGeo informationCountry informationUpdate information 

利用Dnslytics反查域名可以得到如下信息:

Domain and Ranking InformationHosting Information{ A / AAAA Record NS Record MX Record SPF Record}Web InformationWhois Information

浏览器插件:

通过Google、FireFox等插件的使用，收集域名信息

myip.ms:

TCPIPUTILS:

DNSlytics:

子域名收集:

子域名收集可以发现更多目标，以增加渗透测试成功的可能性，探测到更多隐藏或遗忘的应用服务，这些应用往往可导致一些严重漏洞。当一个主站坚不可摧时，我们可以尝试从分站入手。

查询方式:

主动收集:

1. layer子域名挖掘机5.0:https://pan.baidu.com/s/1wEP_Ysg4qsFbm_k1aoncpg 提取码:uk1j
2. subDomainsBrute:https://github.com/lijiejie/subDomainsBrute
3. wydomain:https://github.com/ring04h/wydomain
4. broDomain:https://github.com/code-scan/BroDomain
5. ESD:https://github.com/FeeiCN/ESD
6. aiodnsbrute:https://github.com/blark/aiodnsbrute
7. OneForAll:https://github.com/shmilylty/OneForAll
8. subfinder:https://github.com/projectdiscovery/subfinder
9. Sublist3r:https://github.com/aboul3la/Sublist3r

被动收集:

1. ip138:https://site.ip138.com/
2. 站长工具:http://tool.chinaz.com/subdomain/?domain=
3. hackertarget:https://hackertarget.com/find-dns-host-records/
4. phpinfo:https://phpinfo.me/domain/
5. t1h2ua:https://www.t1h2ua.cn/tools/
6. dnsdumpster:https://dnsdumpster.com/
7. chinacycc:https://d.chinacycc.com/index.php?m=Login&a=index
8. zcjun:http://z.zcjun.com/
9. 搜索引擎语法:(site:域名)

工具使用

layer子域名挖掘机5.0:使用这款工具首先要安装.net framework 4.0以上,否则会出现:

备案信息

备案信息分为两种，一种是IPC备案信息查询，一种是公安部备案信息查询。如果是国外的服务器是不需要备案的，因此可以忽略此步骤，国内的服务器是需要备案的，因此可以尝试获取信息。

查询方式:

被动收集:

1. ICP备案查询网:http://www.beianbeian.com/
2. ICP备案查询-站长工具:http://icp.chinaz.com/
3. SEO综合查询-爱站:https://www.aizhan.com/cha/
4. 批量查询-站长工具:http://icp.chinaz.com/searchs
5. 美国企业备案查询:https://www.sec.gov/edgar/searchedgar/companysearch.html
6. 公安部备案查询:http://www.beian.gov.cn/portal/recordQuery
7. 主动收集

社工

服务器信息收集

DNS信息收集

通过查询DNS信息，我们可能可以发现网站的真实ip地址，也可以尝试测试是否存在DNS域传送漏洞。

查询方式

主动收集

1. Kali（host、big命令）
2. windows（nslookup命令）

被动收集

1. dnsdb:https://www.dnsdb.io/zh-cn/
2. viewdns:https://viewdns.info/
3. 站长工具:http://tool.chinaz.com/dns/
4. tool:https://tool.lu/dns/

端口信息收集

查询方式

主动收集

1. Nmap:https://github.com/nmap/nmap
2. Masscan:https://github.com/robertdavidgraham/masscan
3. masnmapscan:https://github.com/hellogoldsnakeman/masnmapscan-V1.0
4. ZMap:https://github.com/zmap/zmap

被动收集

1. FOFA:https://fofa.so/
2. 钟馗之眼:https://www.zoomeye.org/
3. shodan:https://www.shodan.io/

浏览器插件

1. Shodan
2. TCPIPUTILS
3. DNSlytics
4. fofa-view

工具使用

通过不同的协议(TCP半连接、TCP全连接、ICMP、UDP等)的扫描绕过Firewalld的限制

nmap -sP 192.33.6.128nmap -sT 192.33.6.128nmap -sS 192.33.6.128nmap -sU 192.33.6.128nmap -sF 192.33.6.128nmap -sX 192.33.6.128nmap -sN 192.33.6.128