1、信息搜集
主动信息收集:通过直接访问、扫描网站,这种流量将流经网站,能获取更多的信息,但是目标主机可能会记录你的操作记录。
被动信息收集:利用第三方的服务对目标进行访问了解,比例:Google搜索、Shodan搜索、钟馗之眼等,你收集的信息会相对较少,但是你的行动并不会被目标主机发现。
1、Google Hacking
常用语法:
逻辑与:and
逻辑或:or
逻辑非:-
完整匹配:"关键词"
通配符:* ?
返回正文中含有关键字的网页 intext:
寻找标题中含有关键字的网页 intitle:
用法和intitle类似,可以指定多个词 allintitle:登录 管理
返回url中含有关键词的网页 inurl:
用法和inurl类似,可以指定多个词 allinurl:
指定站点 site:
指定文件类型 filetype:
指定链接的网页 link:
相似类型的网页 related:
网页快照 cache:
返回站点的指定信息 info:
返回某个词语的定义 define:
查找网站后台
-
site:xx.com intext:管理
-
site:xx.com inurl:login
-
site:xx.com intitle:后台
查看服务器使用的程序
-
site:xx.com filetype:asp
-
site:xx.com filetype:php
-
site:xx.com filetype:jsp
-
site:xx.com filetype:aspx
查看上传漏洞
-
site:xx.com inurl:file
-
site:xx.com inurl:load
Index of
利用 Index of 语法去发现允许目录浏览的web网站,就像在本地的普通目录一样。下面是一些有趣的查询:
-
index of /admin
-
index of /passwd
-
index of /password
-
index of /mail
-
"index of /" +passwd
-
"index of /" +password.txt
-
"index of /" +.htaccess
-
"index of /root"
-
"index of /cgi-bin"
-
"index of /logs"
-
"index of /config"
2、判断域名的真实IP
使用在线ping来测试是否存在CDN
当存在多个IP时,说明存在CDN
(1)查询子域名:毕竟 CDN 还是不便宜的,所以很多站长可能只会对主站或者流量大的子站点做了 CDN,而很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。
https://tools.ipip.net/cdn.php
(2)查询主域名:以前用CDN的时候有个习惯,只让WWW域名使用cdn,秃域名不适用,为的是在维护网站时更方便,不用等cdn缓存。所以试着把目标网站的www去掉,ping一下看ip是不是变了,您别说,这个方法还真是屡用不爽。
(3)邮件服务器:一般的邮件系统都在内部,没有经过CDN的解析,通过目标网站用户注册或者RSS订阅功能,查看邮件,寻找邮件头中的邮件服务器域名IP,ping这个邮件服务器的域名,就可以获得目标的真实IP(必须是目标自己的邮件服务器,第三方或者公共邮件服务器是没有用的)。
(4)查看域名历史解析记录:也许目标很久之前没有使用CDN,所以可能会存在使用 CDN 前的记录。所以可以通过网站https://www.netcraft.com 来观察域名的IP历史记录。
(5)国外访问:国内的CDN往往只对国内用户的访问加速,而国外的CDN就不一定了。因此,通过国外在线代理网站https://asm.ca.com/en/ping.php 访问 ,可能会得到真实的ip地址。
(6)Nslookup查询:查询域名的NS记录、MX记录、TXT记录等很有可能指向的是真实ip或同C段服务器。传送门:各种解析记录
(7)网站漏洞:利用网站自身存在的漏洞,很多情况下会泄露服务器的真实IP地址
(8)Censys查询SSL证书找到真实IP:利用“Censys网络空间搜索引擎”搜索网站的SSL证书及HASH,在https://crt.sh上查找目标网站SSL证书的HASH,然后再用Censys搜索该HASH即可得到真实IP地址。
3、域名的whois信息
4、子域名
Layer子域名爆破机
subDomainBrute
利用google查询
通过DNS查询
https://tools.ipip.net/cdn.php
只需输入baidu.com type:A就能收集百度的子域名和ip
5、敏感信息网上搜集
百度、谷歌、Github、码云等平台上查找
6、指纹识别
在线指纹识别
-
BugScaner:http://whatweb.bugscaner.com/look/
-
WhatWeb:https://whatweb.net/
7、主机扫描
Goby
Nessus
8、站点扫描
AWVS
OWASP
9、端口扫描
nmap
10、网站敏感目录和文件
网站敏感文件:robots.txt、crossdomin.xml、sitemap.xml、源码泄漏文件(.git/.svn)、网站备份文件
目录扫描工具:
御剑、dirb
11、旁站和C段
旁站:是和目标网站在同一台服务器上的其它的网站。
C段:比如192.168.1.0-255的设备都处于同一个c段。
12、Shodan
官网地址为:https://www.shodan.io
1、基本用法
直接搜索ssh、apache
点击相应的IP,可以查看主机详细信息
搜索语法 | ||
---|---|---|
hostname | 搜索指定的主机或域名 | 例如hostname:"sina.com" |
port | 搜索指定的端口 | 例如 port:"80" |
port | 搜索指定的端口 | 例如 port:"80" |
country | 搜索指定的国家 | 例如country:"China" |
city | 搜索指定的城市 | 例如city:"Beijing" |
product | 搜索指定的操作系统/软件 | 例如product:"apache" |
version | 搜索指定的软件版本 | 例如version:"7.1.4" |
net | 搜索指定的IP地址或子网 | 例如 net:"117.44.67.0/24" |
2、实例演示
1.查找位于北京的apache服务器
apache city:"Beijing"
2.位于美国的Nginx服务器
Nginx country:"United states"
3.查找新浪的服务器
hostname:"sina.com"
除了通过搜索以外,我们还可以点击shodan右侧的“explore”,就可以看到别人分享的搜索语法。
13、钟馗之眼
ZoomEye - Cyberspace Search Engine