大家好,今天小编来为大家解答以下的问题,关于怎么查网站源码分享有没有后门,如何查看一个网页的源码这个很多人还不知道,现在让我们一起来看看吧!
从个人的角度去简单整理下打点前的信息收集那些事。从信息收集本质上来说多数内容都是大同小异,遇到坚壁时,不用死磕,毕竟条条大路通罗马(大佬们也可以说说看法~向各位大佬学习!
红队知识点大致流程:
外网信息收集——>打点——>权限维持——>提权——>内网信息收集——>横向移动——>痕迹清理
打点关键资产数据信息:
找出网站真实IP,挖掘相邻网段、绕过安全设备判断目标是否为蜜罐定位内网IP和系统定位关键的应用系统定位关键企业信息
目录
TellMe\n外网信息收集\n0x00常用工具、资源简记:\n0x01主域名信息\n1.ICP备案\n备案信息查询:\n备案反查主域名\n2.Whois\n3.IP反查\n如何查询\n4.HOST碰撞\n5.DNS共享记录\n关于DNS\n利用价值\n手法\n6.Google\n7.配置信息\n8.众测\n9.企业资产信息\n股权投资信息\n公众号信息\n小程序\n应用信息\n关于工具\n0x02子域名信息\n1.枚举爆破\n手法介绍\n关于泛解析\n枚举爆破常用工具:\n关于字典\n2.DNS域传送\n检测方法:\nnslookup\nDig\n其他\n3.证书透明度收集子域\n收集方法:\n在线查询:\n浏览器查询\n工具:\n4.公开数据集\n5.第三方聚合服务\n6.搜索引擎\n介绍\n搜索方法:\n主流搜索引擎\nGoolge:\n网络空间引擎\nfofa\nShodan\n0.zone\nhunter\n其他\n7.工具自动化\nOneForAll\nsubfinder\nksubdomain\nJSINFO-SCAN\nURLFinder\nLayer子域名挖掘机\nESD\nEyeWitness\n0x03IP信息收集\n1.绕过CDN获取真实ip\n简述\n常见CDN服务商\nCDN判断\n0x01多ping\n0x02nslookup\n0x03header头信息\n0x04在线检测工具\n获取真实IP\n0x01dns历史绑定记录\n0x02网络空间测绘搜索引擎\n0x03子域名\n0x04异地ping\n0x05SSL证书\n在线:\n命令行\n工具:\n0x06敏感文件泄露\n0x07CDN配置问题\n0x08漏洞\n0x09邮件头信息\n0x10vhost碰撞\n0x11应用程序\n0x12通过F5LTM解码\n0x13其他\n真实ip验证:\ncdn节点判断\n真实IP使用:\n2.组织IP段\n3.C段\nC段主要收集点:\n扫描常用工具:\n网络空间搜索引擎(fofa、quake…)\nnmap\nmsscan\nGoby\nshuize\nfscan\nALLin\n4.旁站(ip反查域名)\n常见查询方法:\n5.端口\n端口渗透思路表\n6.IP定位\n0x04指纹信息\n1.CMS\n开发语言识别思路\n服务器系统识别思路\nCMS识别思路\n特定文件的MD5\n页面关键字\n请求头信息关键字\nurl关键字\n在线平台\n工具\n浏览器插件\n2.WAF\n手工\n工具\n3.组件\n4.信息处理\nEhole\nAlliN\nBufferfly\nHKTools\nEyeWitness\nanew(去重)\n0x05敏感信息\n1.目录结构及敏感文件\n常见敏感目录及文件\n工具推荐\ndirsearch\nferoxbuster\nyjdirscan\n字典推荐\nfuzzDicts\nWeb-Fuzzing-Box\nXXE暴力枚举字典\n2.JS信息收集\nJS信息查找方法\n1.手工\n2.半自动\n3.工具:\n4.其他辅助工具\n历史界面\n反混肴\nurl采集\njs中关键信息简记\n3.GoogleHacking\n说明\nhacking常用语法\n管理后台地址\n上传类漏洞地址\n注入页面\n编辑器页面\n目录遍历漏洞\nSQL错误\n公开文件泄露\n邮箱信息\n社工信息\ntips:\n百度语法\n图片反查\n百度识图、googleimage、tineye等识图引擎\n从图片原图获取坐标\n在线查看器\n经纬度转地址\n4.Github信息收集\nGithub搜索语法\n收集工具\nGitDorker\ntrufflehog\n其他检索方法:\n代码仓库在线搜索平台\npinatahub\nsearchcode\n其他仓库\n5.邮箱信息收集\n邮箱入口查找方法\nC段扫描寻找入口\n通过子域名扫描寻找入口\n通过搜索引擎寻找入口\n邮箱收集方法\n搜索引擎\nGoogleHacking\n网络空间搜索引擎\n在线收集平台\nSnov.io\nhunter\nphonebook\nintelx\nskymem\n爱企查、企查查等批量查询\n邮箱泄露信息查询\n其他\n工具收集\ntheHarvester\n验证邮箱\n在线平台\n工具\n邮箱爆破\n常用字典组合\n工具\n临时邮箱\n匿名邮箱\n6.网盘信息收集\n在线平台\n搜索关键词\n爬虫\n0x06其他信息\n1.APP\nApp查找入口\n搜索引擎\n在线聚合平台\nApp敏感信息收集\n手工收集\n工具推荐:\n2.OSINT\n情报相关资源\nOSINT情报工具\n3.个人隐私信息\n从邮箱查询\n从用户名查询\n从IP查询\n混合查询\n从注册信息查询\n4.历史漏洞\n5.蜜罐识别\n工具向\n参考
外网信息收集
对于外网信息收集主要有几点:ip、域名、企业等资产信息以及相应端口/服务、指纹、敏感信息、社工碰撞等易受攻击面信息。
tips:
挂代理池,走负载均衡,防止被锁IP。
确定目标后,析缕分条,找到突破及利用点。
关于打点时隐匿:攻击前:虚拟机做全局代理、浏览器隐私模式或Tor,脚本、账号啥的非本人攻击后:Rootkit……
0x00常用工具、资源简记:
工具、网站
备注
爱站、站长工具
Whois、备案号、权重、公司名称等
天眼查、企查查、搜狗搜索引擎
公司注册域名、微信公众号、APP、软件著作权等
ZoomEye、Shodan、FOFA、0.Zone、quake
网络空间资产搜索引擎
ENScanGo、ICP备案
主域名收集
OneForAll、Layer、Rapid7的开源数据项目、ctfr、EyeWitness
子域名收集
Kscan、ShuiZe_0x727、ARL灯塔、Goby
自动化、批量信息收集
Bufferfly、Ehole
资产处理、信息筛选
dnsdb、CloudFlair
CDN相关
VirusTotal、微步、ip2domain
C段、域名/ip情报信息
Nmap、Masscan
端口服务信息
GoogleHacking、dirsearch、URLFinder
WEB站点信息、api接口等
wafw00f
waf识别
云悉、潮汐、WhatWeb
在线CMS识别
七麦、小蓝本
APP资产
ApkAnalyser
App敏感信息
乌云漏洞库、CNVD、waybackurls
历史漏洞、历史资产等
n0tr00t/Sreg、reg007
个人隐私信息
GitDorker
资产信息、源码泄露
theHarvester、Snov.io
邮箱信息收集
OSINT开源情报和侦擦工具
开源情报资源导航
anti-honeypot、HoneypotHunter
蜜罐识别
0x01主域名信息
域名用来代替IP使其更容易被用户找到、记住。
对于&34;来说,通过域名信息获取:主域名、存活站点、关联信息、钓鱼信息。为漏洞挖掘提供数据支撑。
1.ICP备案
国内服务器线上运营都必须先办理ICP备案后才能上线。
备案信息查询:
ICP备案查询
https://beian.miit.gov.cn/查询nameserver\nnslookup-type=nsnhtc.wiki8.8.8.8\nServer命令参数设定查询将要使用的DNS服务器\nservercloudy.dnspod.net\n找到NS服务器\ndignhtc.wikins\n
DNS库\nxfr=dns.query.xfr(where=server,zone=self.domain,timeout=5.0,lifetime=10.0)\nzone=dns.zone.from\\_xfr(xfr)\n
一般情况下,DNS服务器配置都正常,关闭了域传送或设置白名单,利用率低。推荐交给自动化。
3.证书透明度收集子域
证书透明度(CertificateTransparency)是谷歌力推的一项拟在确保证书系统安全的透明审查技术。其目标是提供一个开放的审计和监控系统,可以让任何域名的所有者,确定CA证书是否被错误签发或恶意使用。TLS的缺点是你的浏览器隐性包含了一个大型受信任CA列表。如果任何这些CA恶意为域创建新证书,则你的浏览器都会信任它。CT为TLS证书信任提供了额外的安全保障:即公司可以监控谁为他们拥有的域创建了证书。此外,它还允许浏览器验证给定域的证书是否在公共日志记录中。
————————Google的证书透明度项目
因为证书透明性是开放架构,可以检测由证书颁发机构错误颁发的SSL证书,也可以识别恶意颁发证书的证书颁发机构,且任何人都可以构建或访问,CA证书又包含了域名、子域名、邮箱等敏感信息,价值就不言而喻了。
收集方法:
一般使用CT日志搜索引擎进行域名信息收集,因为是日志收集,只增不减,可能会有一些失效域名。
在线查询:
crtshentrustcensysfacebook(需要登录)spysecertspotter(每小时免费查100次)
浏览器查询
点击浏览器网站小锁–>安全连接–>更多信息–>查看证书–>查看主题替代名称处,有时候会有主域名和子域名信息。
工具:
ctfrOneForAll
4.公开数据集
利用已有公开的全网扫描数据集,对子域名信息进行收集。
Rapid7的开源数据项目threatcrowd
收集方法:
FindDNSHostRecords(Subdomains)|hackertargetnetcraft命令进行快速查找wgethttps://scans.io/data/rapid7/sonar.fdns\\_v2/20170417-fdns.json.gzcat20170417\\-fdns.json.gz|pigz\\-dc|grep&34;|jq\\`
5.第三方聚合服务
通过第三方平台提供的一些服务,快速发现子域名信息。
VirusTotal
VirusTotal会运行DNS复制功能,通过存储用户访问URL时执行的DNS解析来构建数据库。
FindDNSHostRecords|SubdomainFinder|HackerTarget.comnetcraftDNSdumpster.com域名查iP域名解析iP查询网站iP反查域名iP反查网站同一iP网站同iP网站域名iP查询threatminerSubdomainFinderthreatbook(需要高级权限)子域名查询-站长工具(需要登录)namecheap其他工具:Sublist3rOneForAll
6.搜索引擎
介绍
搜索引擎是用于查找和排名与用户搜索匹配的Web内容的工具。
搜索引擎通过“蜘蛛”对全网进行大量爬行并处理后,建立索引*(索引是将抓取页面中的信息添加到叫做搜索索引的大型数据库中。)*。在此期间往往收集了大量的域名信息,需要对应的语法,即可从这数据库中获取想要的信息。
搜索方法:
主流搜索引擎
一份国外调查表:
Goolge:
俗称GoogleHacking大法,有十几种语法,混合使用可以更加准确地查找信息。
Google检索技巧大全:https://sites.google.com/site/hopeanwang/google%E6%A3%80%E7%B4%A2%E6%8A%80%E5%B7%A7%E5%A4%A7%E5%85%A8
搜索子域名信息
site:360.cn\n
搜索一个域名后台信息
site:xx.cominurl:id=1intext:后台\n
网络空间引擎
fofa
FOFA是白帽汇推出的一款网络空间搜索引擎,它通过进行网络空间测绘,能够帮助研究人员或者企业迅速进行网络资产匹配,例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。
逻辑连接符
具体含义
\\=
匹配,=&34;时,可查询不存在字段或者值为空的情况
\\=\\=
完全匹配,==&34;时,可查询存在且值为空的情况
&&
与
|
或者
!\\=
不匹配,!\\=&34;时,可查询值为空的情况
~\\=
正则语法匹配专用(高级会员独有,不支持body)
()
确认查询优先级,括号内容优先级最高
目前FOFA支持了多个网络组件的指纹识别,包括建站模块、分享模块、各种开发框架、安全监测平台、项目管理系统、企业管理系统、视频监控系统、站长平台、电商系统、广告联盟、前端库、路由器、SSL证书、服务器管理系统、CDN、Web服务器、WAF、CMS等等,详细信息见https://fofa.info/library
常用语法可通过”查询语法“功能获取:
https://fofa.info/
例句(点击可去搜索)用途说明注
例句(点击可去搜索)
用途说明
注
title=&34;
从标题中搜索“北京”
–
header=&34;
从http头中搜索“jboss”
–
body=&34;
从html正文中搜索abc
–
domain=&34;
搜索根域名带有qq.com的网站。
–
icon_hash=&34;
搜索使用此icon的资产。
仅限高级会员使用
host=&34;
从url中搜索”.gov.cn”
搜索要用host作为名称
port=&34;
查找对应“443”端口的资产
–
ip=&34;
从ip中搜索包含“1.1.1.1”的网站
搜索要用ip作为名称
ip=&34;
查询IP为“220.181.111.1”的C网段资产
–
status_code=&34;
查询服务器状态为“402”的资产
–
protocol=&34;
查询https协议资产
搜索指定协议类型(在开启端口扫描的情况下有效)
city=&34;
搜索指定城市的资产。
–
region=&34;
搜索指定行政区的资产。
–
country=&34;
搜索指定国家(编码)的资产。
–
cert=&34;
搜索证书(https或者imaps等)中带有google的资产。
–
banner=users&&protocol=ftp
搜索FTP协议中带有users文本的资产。
–
type=service
搜索所有协议资产,支持subdomain和service两种。
搜索所有协议资产
os=windows
搜索Windows资产。
–
server==&34;
搜索IIS7.5服务器。
–
app=&34;
搜索海康威视设备
–
after=&34;&&before=&34;
时间范围段搜索
–
asn=&34;
搜索指定asn的资产。
–
org=&34;
搜索指定org(组织)的资产。
–
base_protocol=&34;
搜索指定udp协议的资产。
–
is_ipv6=true
搜索ipv6的资产
搜索ipv6的资产,只接受true和false。
is_domain=true
搜索域名的资产
搜索域名的资产,只接受true和false。
ip_ports=&34;
搜索同时开放80和161端口的ip
搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)
port_size=&34;
查询开放端口数量等于&34;的资产
仅限FOFA会员使用
port_size_gt=&34;
查询开放端口数量大于&34;的资产
仅限FOFA会员使用
port_size_lt=&34;
查询开放端口数量小于&34;的资产
仅限FOFA会员使用
ip_country=&34;
搜索中国的ip资产(以ip为单位的资产数据)。
搜索中国的ip资产
ip_region=&34;
搜索指定行政区的ip资产(以ip为单位的资产数据)。
搜索指定行政区的资产
ip_city=&34;
搜索指定城市的ip资产(以ip为单位的资产数据)。
搜索指定城市的资产
ip_after=&34;
搜索2019-01-01以后的ip资产(以ip为单位的资产数据)。
搜索2019-01-01以后的ip资产
ip_before=&34;
搜索2019-07-01以前的ip资产(以ip为单位的资产数据)。
搜索2019-07-01以前的ip资产
基础了解后,可以试试规则专题,官方有提供相应的指纹、组件查找,包含“数据库专题”、“工控专题”和“区块链专题”。也可以自己提交。
https://fofa.info/library查询”致远互联-OA“系统:
Shodan
Shodan是一个搜索接入互联网的设备的搜索引擎,2009年由约翰·马瑟利发布。学生会员可以每个月下载1w条数据,黑五可能会有优惠价格。
ps:Shodan侧重于主机设备
规则列表
0.zone
它是一个免费的外部攻击面管理SaaS平台,供红蓝队使用,为防御者提供攻击者视角下的企业外部攻击面数据,减少攻防信息差,以促进企业攻击面的收敛和管理。
语法参考
搜索企业名称示例(需要会员才能获取企业黄页)
可查看此公司下匹配到的信息系统、移动端应用、敏感目录、邮箱、文档、代码、人员信息数据。这个功能定向查找单位资产非常方便好用。
不同于fofa,该平台做了收录信息归纳,感觉还不错。
使用参考:https://mp.weixin.qq.com/s/0Nf_HJr-Rn4mZEC3QYKtwg
hunter
全球鹰是奇安信的一款产品。通过网络空间测绘技术,全球鹰测绘平台可以提供IP、域名、开放端口、应用/组件、所属企业等关键安全信息,同时结合攻防场景绘制了资产画像与IP画像,实现互联网资产的可查、可定位、操作可识别的检索,助力企业日常的安全运营工作,例如未知资产发现、风险识别、漏洞修复等。目前全球鹰网络空间测绘平台已有3亿独立IP,资产(剔除历史重复数据)总数超过20亿,已实现全端口覆盖。在全球我们已覆盖了261个国家,96%ASN域。国内web资产最快4天更新,最慢7天更新。
语法参考
其他
还有一些不错的检索平台,就不一一介绍,可以去官网瞧瞧语法和规则这块,这块还是api用得多。(没会员没法爽玩。。)
zoomeyequake谛听知风binaryedgecensysdnsdbgreynoisehunterProjectSonarintelxdnsdumpsterphonebook.czfullhuntnetlas
关于搜索引擎详细可以参考下:
网络空间检索平台对比零零信安攻击面管理系统|企业信息泄露情报平台盘点一下在渗透测试中可能用到的网络搜索引擎
7.工具自动化
总的来说,信息收集有很多重复性查询筛选,手工相对费时费力,因此可以借助半自动化工具来达到事半功倍的效果。
OneForAll
https://github.com/shmilylty/OneForAll
解决大多传统子域名收集工具不够强大、不够友好、缺少维护和效率问题的痛点,是一款集百家之长,功能强大的全面快速子域收集终极神器。
subfinder
https://github.com/projectdiscovery/subfinder
brewinstallsubfinder
Subfinder是一个子域发现工具,它通过使用被动在线资源来发现网站的有效子域。它具有简单的模块化架构,并针对速度进行了优化。subfinder是为只做一件事而构建的——被动子域枚举,它做得很好。
ksubdomain
https://github.com/knownsec/ksubdomain
ksubdomain是一款基于无状态子域名爆破工具,支持在Windows/Linux/Mac上使用,它会很快的进行DNS爆破,在Mac和Windows上理论最大发包速度在30w/s,linux上为160w/s的速度。
JSINFO-SCAN
https://github.com/p1g3/JSINFO-SCAN
递归爬取域名(netloc/domain),以及递归从JS中获取信息的工具
URLFinder
https://github.com/pingc0y/URLFinder
URLFinder是一款用于快速提取检测页面中JS与URL的工具。
功能类似于JSFinder,但JSFinder好久没更新了。
Layer子域名挖掘机
https://github.com/euphrat1ca/LayerDomainFinder
Layer子域名挖掘机是一款子域名收集工具,拥有简洁的界面和简单的操作模式,支持服务接口查询和暴力枚举获取子域名信息,同时可以通过已获取的域名进行递归爆破。
ESD
https://github.com/FeeiCN/ESD
支持泛解析功能较全的枚举子域工具
EyeWitness
https://github.com/FortyNorthSecurity/EyeWitness
Eyewitness可自动查询URL对应网站的截图、RDP服务、OpenVNC服务器以及一些服务器title、甚至是可识别的默认凭据等,最终会生成一个详细的html报告。
0x03IP信息收集
通过ip或域名获取到一些基本信息(端口、服务、架构、目录等)后,也可以通过ip段目标扩大攻击面,也有可能找到一些未分配的边缘资产。
1.绕过CDN获取真实ip
简述
CDN是IP信息探测或打点必不可绕过的一个话题。当目标使用了CDN加速,获取到的目标ip不一定是真实ip。所以通常在实施端口、漏扫等测试之前,需判断下是否真实IP,是否使用了CDN或其他代理等等,避免无效操作、蜜罐、非目标点。
CDN的全称是ContentDeliveryNetwork,即内容分发网络。其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节,使内容传输的更快、更稳定。通过在网络各处放置节点服务器所构成的在现有的互联网基础之上的一层智能虚拟网络,CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。其目的是使用户可就近取得所需内容,解决Internet网络拥挤的状况,提高用户访问网站的响应速度。
常见CDN服务商
一、国内CDN服务商
阿里云CDN百度云CDN七牛云CDN又拍云CDN腾讯云CDNUcloud360CDN网宿科技ChinaCache帝联科技
二、国外CDN服务商
CloudFlareStackPathFastlyAkamaiCloudFrontEdgecastCDNetworksGoogleCloudCDNCacheFlyKeycdnUdomainCDN77
CDN判断
确定CDN加速解析后,那就要考虑如何绕过来获取真实ip,以进一步攻击利用。
0x01多ping
通过多地ping目标域名,如果没有使用CDN,只会显示一个IP地址,或者双线接入情况的两个不同运营商ip。
多ping在线站点:
http://ping.chinaz.com/https://ping.aizhan.com/http://www.webkaka.com/Ping.aspxhttps://www.host-tracker.com/v3/check/
如图,不同地区访问有不同ip,一般存在CDN:
0x02nslookup
获取到的DNS域名解析结果中返回多个ip的,一般都是存在CDN服务。
0x03header头信息
请求响应包header头中是否存在cdn服务商信息报错信息若asp或者asp.net网站返回头的server不是IIS、而是Nginx,则多半使用了nginx反向代理到CDN
0x04在线检测工具
https://www.cdnplanet.com/tools/cdnfinder/https://tools.ipip.net/cdn.phphttps://whatsmycdn.com/
获取真实IP
0x01dns历史绑定记录
查询域名历史解析记录,可能会存在未使用cdn之前的真实ip记录:
https://dnsdb.io/zh-cn/https://securitytrails.com/https://x.threatbook.cn/http://toolbar.netcraft.com/site_report?url=https://viewdns.info/iphistory/?domain=https://site.ip138.com/www.xxx.com/
CDN判断:
存在CDN,利用微步查询获取历史记录,然后将每个ip都测试一篇
通过源代码获取,确定真实ip
0x02网络空间测绘搜索引擎
网络空间测绘,一般都会定时把全网资产扫一遍存在数据库里。
通过网络空间测绘搜索引擎搜索其收录的目标相关信息,有概率获取到目标真实IP。
fofashodanquakeCensys.io
大概从以下几个关键因素去搜索验证:
ip域名titlelogoicpbodyjs/css/html等静态特征值
通过获取logoicon指纹哈希特征,搜索其相同的主机结果,进一步探测真实IP:
未找到~
0x03子域名
考虑到CDN成本问题,一些重要站点会采用cdn加速,而一些子域名则没有使用。一般情况下,一些子域名与主站的真实ip在同一c段或同一台服务器上,这时就可以通过发现子域名c段ip、端口信息,逐个探测定位主站真实ip地址。
常见查找方法和工具:
各大搜索引擎微步在线oneforallksubdomainJsinfo-scan
0x04异地ping
部分国内cdn广商只做了国内的线路,而没有铺设对国外的线路,这时就可以通过海外解析直接获取到真实IP。
可以使用:
http://ping.chinaz.com/https://asm.ca.com/zh_cn/ping.phphttp://host-tracker.com/http://www.webpagetest.org/https://dnscheck.pingdom.com/https://www.host-tracker.com/v3/check/
0x05SSL证书
证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中,SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此可以利用SSL/TLS证书来发现目标站点的真实IP地址。
CDN在提供保护的同时,也会与服务器之间进行加密通信(SSL)。当通过服443端口去访问服务器ip或域名时,就会暴露其SSL证书,也就可以通过证书比对发现服务器的真实IP地址。
在线:
https://crt.sh/
通过https://crt.sh进行快速证书查询收集
Censys引擎Censys搜索引擎能够扫描整个互联网,每天都会扫描IPv4地址空间,以搜索所有联网设备并收集相关的信息,可以利用Censys进行全网方面的SSL证书搜索,找到匹配的真实IP。
通过Censys引擎搜索证书信息,发现多个有效或无效的证书:
https://search.censys.io/certificates?q=www.roken-niji.jp
ps:并不是有效的证书才是有价值的,无效的证书中也会有很多服务器配置错误依然保留着的信息。
精准定位有效SSL证书:
parsed.names:xxx.comandtags.raw:trusted\n
逐个打开,根据sha1签名反查主机
无果~~~
命令行
openssl
openssls\\_client-connectroken-niji.jp:443|grepsubject\n
curl
curl-vhttps://www.roken-niji.jp/|grep&39;\n
工具:
CloudFlair
项目地址:https://github.com/christophetd/CloudFlair
使用来自Censys的全网扫描数据查找CloudFlare背后网站的源服务器。
0x06敏感文件泄露
包括但不限于:
服务器日志文件探针文件,例如phpinfo网站备份压缩文件.DS_Store.hg.gitSVNWeb.xml
0x07CDN配置问题
某些站点只做了wwwcname到CDN上,导致www.xxx.com和xxx.com是两条独立的解析记录,所以可以通过直接ping域名xxx.com获取到未加入cdn的真实IP,同理http协议和https协议配置也是有可能出现这种问题。
0x08漏洞
网站本身存在一些漏洞时,如XSS/SSRF/XXE/命令执行等,通过带外服务器地址注入,使服务器主动连接,被动获取连接记录。部分本身功能,如url采集、远程url图片、编辑器问题等。异常信息、调式信息等都有可能泄露真实IP或内网ip的。ThinkPHP报错/SpringBoot变量/phpinfo
0x09邮件头信息
一般邮件系统都在内部,没有经过CDN解析,通过邮件发送、RSS订阅等sendmail功能去获取到服务器与邮箱系统交互的邮件源码,在源文件头信息或者源代码中就会包含服务器真实ip。但需注意该ip是否第三方邮件服务器(如腾讯企业邮件、阿里企业邮箱),一般只有应用与网站在同一服务器上时,才获取到当前服务器的真实ip。
常见交互功能点:
RSS订阅邮箱注册、激活处邮箱找回密码处产品更新的邮件推送某业务执行后发送的邮件通知员工邮箱、邮件管理平台等入口处的忘记密码
可以通过查mx记录确定下是否第三方邮件服务器,当然这里这个邮箱很明显了。。
大佬分享的奇淫技巧:通过发送邮件给一个不存在的邮箱地址,比如000xxx@domain.com,因为该用户不存在,所以发送将失败,并且还会收到一个包含发送该电子邮件给你的服务器的真实IP通知。
foxmail导出的邮件可以用编辑器打开查看其内容。
0x10vhost碰撞
只要字典够强大,数据够多,通过IP和子域的碰撞,总会有所收获。
在线工具:
https://pentest-tools.com/information-gathering/find-virtual-hosts-v输出详细信息,-v/-vv/-vvvv越多信息越详细上线3个v\n-p-扫描所有端口(65535个)。如果不使用-p-,nmap将仅扫描1000个端口,GUI参数不可用\n-T4设置时间模板,0-5部分做了扫描时间优化,默认3未作优化。4加速扫描又保持一定准确性\n
扫描全端口,并调用各种脚本
34;ip:&!/usr/bin/envbash\n\nread-p&34;ip\nnmap-vvv-Pn-p20,22,23,25,53,69,80-89,443,8440-8450,8080-8089,110,111,137,143,161,389,512,873,1194,1352,1433,1521,1500,1723,2082,2181,2601,3128,3312,3306,3389,3690,4848,5000,5432,5900,5984,6379,7001,7002,7003,7778,8000,8069,8888,9000,9002,9080-9081,9090,9200,10001,10002,11211,27017,50070–open-sV$ip-n-T4–max-scan-delay10–max-retries3–min-hostgroup10-oX$ip-result-\\`date+%y-%m-%d-%H-%M-%S\\`.xml–script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version,ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute\n
msscan
https://github.com/robertdavidgraham/masscan
速度快,精确度有待优化“`shellmasscan-p80,8000-810010.0.0.0/8–rate=10000等web服务器Apache、Nginx、IIS、lighttpd等应用服务器:Tomcat、Jboss、Weblogic、Websphere等操作系统信息Linux、windows等CDN信息帝联、Cloudflare、网宿、七牛云、阿里云等WAF信息创宇盾、宝塔、安全狗、D盾、玄武盾等。其他组件信息fastjson、shiro、log4j等OA协议办公
1.CMS
已知目标CMS后,可以通过已知漏洞匹配利用,如果是开源CMS,就可以进行审计精准发现问题点。
开发语言识别思路
通过爬虫获取动态链接然后进行正则匹配判断header头中X-Powered-By信息Set-Cookie特征信息如包含PHPSSIONID说明是php、包含JSESSIONID说明是java、包含ASP.NET_SessionId说明是aspx。
服务器系统识别思路
通过ping命令根据回显中的ttl值来判断是win还是linux,但值可被修改精准度不高。默认Linux是64,win是128页面回显、报错回显、header头等站点泄露的系统信息。nmap
nmap-OIP\n
CMS识别思路
特定文件的MD5
一般来说,网站的特定图标、js、css等静态文件不会去修改,通过爬虫对这些文件进行抓取并与规则库中md5值做对比,如果一致就是同一CMS。这种情况不排除会出现二开导致的误报,但速度较快。
页面关键字
正则匹配关键字或报错信息判断。如PoweredbyDiscuz、dedecms等、tomcat报错页面
请求头信息关键字
通过匹配http响应包中的banner信息来识别。
如:
X-Powered-By字段Cookies特征Server信息WWW-AuthenticateMeta特征……
url关键字
将url中存在路由、robots.txt、爬虫结果与规则库做对比分析来判断是否使用了某CMS
如:
wordpress默认存在目录:wp-includes、wp-admin织梦默认管理后台:dede帝国常用目录:login/loginjs.phpweblogic常用目录:wls-wsatjboss常用目录:jmx-console……
在线平台
bugscaner数字观星云悉(自从需要认证后就没有用过…..还认证失败…..)WhatWeb
工具
御剑Web指纹识别WhatWebTest404轻量CMS指纹识别椰树WTFScanKscanCMSeeKCMSmapACMSDiscoveryTideFingerAngelSwordEHole(棱洞)2.0
ps:cms识别主要还是在于指纹库的维护和更新。
浏览器插件
wappalyzer
插件开源指纹库:https://github.com/AliasIO/wappalyzer/tree/master/src/technologies
2.WAF
遇到WAF就得对症下药,总的来说识别分为两种手工和工具:
手工
一般直接输入敏感字段触发拦截规则库就行,如XSS、SQLpayload
常见的WAF拦截页面可以参考下某大佬总结的WAF一图流:https://cloud.tencent.com/developer/article/1872310
工具
https://github.com/EnableSecurity/wafw00fhttps://github.com/Ekultek/WhatWafnmap的http-waf-fingerprint.nse脚本
3.组件
一般通过异常报错、常用路由、常用header头来获取组件版本、配置等相关信息。
常见组件漏洞简记参考博客《组件漏洞简记》章
4.信息处理
对前期收集到的大量资产域名、ip信息批量进行存活性、title、架构、服务等信息进行验证提取时,可以用一些自动化工具筛选出有价值的数据,从而提高漏洞发现效率。
Ehole
https://github.com/EdgeSecurityTeam/EHole
EHole是一款对资产中重点系统指纹识别的工具,在红队作战中,信息收集是必不可少的环节,如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic…)。EHole旨在帮助红队人员在信息收集期间能够快速从C段、大量杂乱的资产中精准定位到易被攻击的系统,从而实施进一步攻击。
AlliN
https://github.com/P1-Team/AlliN
一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具,由之前写的工具AG3改名而来。是一款轻便、小巧、快速、全面的扫描工具。多用于渗透前资产收集和渗透后内网横向渗透。工具从项目上迭代了一些懒人功能(比如提供扫描资产文件中,可以写绝大部分的各种形式的链接/CIDR,并在此基础上可以添加任意端口和路径)
Bufferfly
https://github.com/dr0op/bufferfly
攻防资产处理小工具,对攻防前的信息搜集到的大批量资产/域名进行存活检测、获取标题头、语料提取、常见web端口检测、简单中间识别,去重等,便于筛选有价值资产。
HKTools
https://github.com/Security-Magic-Weapon/HKTools
一款辅助安全研发在日常工作中渗透测试、安全研究、安全开发等工作的工具
EyeWitness
https://github.com/FortyNorthSecurity/EyeWitness
Eyewitness可自动查询URL对应网站的截图、RDP服务、OpenVNC服务器以及一些服务器title、甚至是可识别的默认凭据等,最终会生成一个详细的html报告。
anew(去重)
https://github.com/tomnomnom/anew
好用的去重对比工具
0x05敏感信息
1.目录结构及敏感文件
常见的敏感目录及文件,会对渗透突破有着很大作用,收集思路一般是爬虫采集、递归扫描、GoogleHacking。
常见敏感目录及文件
备份文件:www.zip、www.rar、blog.gm7.org.zip等代码仓库:.git、.svn等敏感、隐藏api接口:/swagger-ui.html、/env等站点配置文件:crossdomain.xml、sitemap.xml、security.txt等robots文件网站后台管理页面文件上传/下载界面…
tips:
扫描核心主要在于字典价值
403、404页面可能会存在一些信息,可以多fuzz下。
工具使用时善于关键字过滤,将会减少一些误报。
工具推荐
dirsearch
dirsearch是一款使用python3编写的,用于暴力破解目录的工具,速度不错,支持随机代理、内容过滤。
feroxbuster
用Rust编写的快速,简单,递归的内容发现工具
yjdirscan
御剑目录扫描专业版
字典推荐
fuzzDicts
庞大的WebPentestingFuzz字典,部分精准度不错,可惜更新是2021的时候了。
Web-Fuzzing-Box
WebFuzzingBox-Web模糊测试字典与一些Payloads,主要包含:弱口令暴力破解、目录以及文件枚举、Web漏洞…
字典运用于实战案例:https://gh0st.cn/archives/2019-11-11/1
XXE暴力枚举字典
2.JS信息收集
js文件一般用于帮助网站执行某些功能,存储着客户端代码,可能会存在大量的敏感信息,通过阅读分析可能会找到宝藏。
JS信息查找方法
1.手工
通过查看页面源代码信息,找到.js后筛选特定信息,但这种方法费时费力,一般网站都会存在大量的js文件,还多数为混淆后的信息。
关键信息查找可以使用浏览器自带的全局搜索:
如:通过path:来查Vue框架路由
2.半自动
通过抓包拦截获取url后使用脚本筛选,比如BurpSuite专业版,可以在Target>sitemap下,选中目标网站选中Engagementtools->Findscripts,找到网站所有脚本内容。
也可以使用Copylinksinselecteditems复制出选中脚本项目中所包含的URL链接。
粘贴下,然后就可以手工验证url信息价值,有时候可以发现一些未授权、敏感的api接口或者一些GitHub仓库、key值等。
这种方法因为结合手工,在一些深层目录架构中,通过BurpSuitescript可以获取到一些工具跑不到的js信息。
3.工具:
JSFinder
JSFinder是一款用作快速在网站的js文件中提取URL,子域名的工具
JSINFO-SCAN
递归爬取域名(netloc/domain),以及递归从JS中获取信息的工具
URLFinder
URLFinder是一款用于快速提取检测页面中JS与URL的工具。
功能类似于JSFinder,但JSFinder好久没更新了。
HAE
HaE是基于BurpSuiteJava插件API开发的请求高亮标记与信息提取的辅助型框架式插件,该插件可以通过自定义正则的方式匹配响应报文或请求报文,并对满足正则匹配的报文进行信息高亮与提取。如匹配敏感信息、提取页面中的链接信息等。
Repo-supervisor
Repo-supervisor是一种工具,可帮助您检测代码中的秘密和密码。
command-line-mode功能:
CLI模式允许使用源代码扫描本地目录以检测文件中的机密和密码。结果可能以明文或JSON格式返回。
4.其他辅助工具
信息收集过程中,js文件不用仅限于当前网站版本,网站的历史版本中也可能会存在一些未失效的关键信息。
历史界面
wayback会记录网站版本更迭,可以获取到之前版本的网站,不仅可以用于收集历史js文件,也有可能找到一些后来删除的敏感资产信息,或者一些漏洞
历史信息查找工具:
waybackurls
获取WaybackMachine知道的域的所有URL
收集历史js文件
webbackurlstarget.com|grep&34;|uniq|sort
通过WaybackMachine收集到的urljs列表需要进行存活检验,避免误报,可以使用curl命令或者hakcheckurl工具进行检验。最后在做url提取即可。
反混肴
对于存在混淆的代码需要进行反混淆美化下,使其更易看懂
js-beautify
这个小美化器将重新格式化和重新缩进书签、丑陋的JavaScript、由DeanEdward的流行打包程序打包的解包脚本,以及由npm包javascript-obfuscator处理的部分去混淆脚本。
de4js
在线JavaScript反混淆器和解包器
url采集
Rad
一款专为安全扫描而生的浏览器爬虫。
whatweb-plus
获取网站title头及Web指纹
url-extractor
在线url提取
js中关键信息简记
密码、api密钥、secretKey等硬编码隐藏的api接口,如后台、业务测试、某服务等,可能会存在未授权。注释信息,注释为代码时,可能会通过修改注释改变业务逻辑,实现机制绕过,如xss绕过、登录绕过等。Webpack打包静态资源、js.map后缀文件,是jQuery中的一个新功能,支持SourceMap,储存着各种api接口信息,而Webpack打包的信息很多都会放在js.map文件中,通过还原代码可能会找到一些未授权的api接口。相关处理工具如下:sourcemapperhttps://www.npmjs.com/package/restore-source-treehttps://github.com/paazmaya/shuji子域名信息依赖或框架,对于旧依赖或框架可以直接使用retire.js扫描相关漏洞。……
3.GoogleHacking
Google作为一款全球通用的发达搜索引擎,爬取的和收录的数据量也是庞大无比,善用搜索引擎语法可以帮忙我们发现更多敏感信息。
说明
指令
用法
示例
“”(引号)
用引号来查询一个确切的单词或短语
查找有关《百年孤独》这本书的网页,语法:“百年孤独”
OR(或者)
用OR分隔搜索词,同时执行两个搜索查询,这将找到包含多个单词之一的页面。
搜索引用了“GoogleDrive”、“Dropbox”或“OneDrive”的页面,语法:GoogleDriveORDropboxOROneDrive
-(减号、连字符)
在单词或网站前使用连字符将其从搜索结果中排除
从搜索结果中排除www主机名,语法:-wwwsite:wikipedia.org
allintext:
使用allintext:[搜索短语]查找正文中包含这些单词的页面
查找正文中有关Roth、IRA投资讯息的页面,语法:allintext:RothIRA投资
allintitle:
使用allintitle:[搜索短语]查找标题中包含这些单词的页面
查找标题中同时包含“Apple”和“notebook”的页面,语法:allintitle:Applenotebook
allinurl:
使用allinurl:[搜索短语]查找URL中包含这些单词的页面
查找URL中同时包含”Microsoft”and“Surface”的页面,语法:allinurl:MicrosoftSurface
site:
使用site:[URL]将搜索结果限制到特定网站
查找云点SEO网关于谷歌SEO的页面,语法:site:yundianseo.com谷歌SEO
~(波浪号)
使用波浪号获得目标关键词及其近似词的搜索结果
查找SEO方面的策略或者教程,语法:SEO~教程
related:
使用related:[URL]查找与特定网站类似的网站
查找与云点SEO类似的网站,语法:related:yundianseo.com
define:
使用define:[搜索短语]查找其定义
查找SEO的定义,语法:define:SEO
$
使用$查找特定价格的商品
查找一款售价在99美金的手机,语法:mobilephone$99
location:
使用location:[地点]查看某个地区内的相关信息
查询南京的酒店,语法:hotellocation:Nanjing
*(星号)
添加星号作为未知单词或事实的占位符
查找以“生活就像一个”开头的引语,语法:生活就像一个*
filetype:
使用filetype:[后缀]将结果限制为特定的文件格式,如PDF或DOC。
查找PDF格式的MicrosoftOffice键盘快捷键相关文件,语法:filetype:pdfMicrosoftOffice键盘快捷键
..(两点)
用两个句点分隔数字,不带空格,以搜索该范围内的数字
查找1950年至2000年间发生的计算机里程碑,语法:”计算机里程碑”1950..2000
AROUND(n)
在两个搜索词之间加上AROUND(n),以查找两个词间有特定距离的页面。用数字n设置术语之间的最大距离,这对于查找两个搜索词之间的关系很有用。
查找在同一句话或段落中提到Facebook和Microsoft的页面,语法:FacebookAROUND(7)Microsoft
hacking常用语法
GoogleHackingDatabasecxsecurity-hacking-dorksGithubGoogleHacking
管理后台地址
site:target.comintext:管理|后台|后台管理|登陆|登录|用户名|密码|系统|账号|login|system\nsite:target.cominurl:login|inurl:admin|inurl:manage|inurl:manager|inurl:admin_login|inurl:system|inurl:backend\nsite:target.comintitle:管理|后台|后台管理|登陆|登录\n
上传类漏洞地址
site:target.cominurl:file\nsite:target.cominurl:upload\n
注入页面
site:target.cominurl:?id=\nsite:target.cominurl:php?id=\n
编辑器页面
site:target.cominurl:ewebeditor\n
目录遍历漏洞
site:target.comintitle:&34;\n
SQL错误
“site:target.comintext:&34;|intext:&34;|intext:&34;|intext:&34;|intext:&34;|intext:”Warning:mysql_query()&34;Warning:pg_connect()&phpinfo\n
site:target.comext:phpintitle:phpinfo&34;
数据库文件泄露\n
site:target.comext:.sql|.dbf|.mdb|.db
备份和历史文件泄露\n“`bash\nsite:target.comext:.bkf|.bkp|.old|.backup|.bak|.swp|.rar|.txt|.zip|.7z|.sql|.tar.gz|.tgz|.tar\n
公开文件泄露
site:target.comfiletype:.doc|.docx|.xls|.xlsx|.ppt|.pptx|.odt|.pdf|.rtf|.sxw|.psw|.csv\n
邮箱信息
site:target.comintext:@target.com\nsite:target.com邮件\nsite:target.comemail\n
社工信息
site:target.comintitle:账号|密码|工号|学号|身份证\n
tips:
判断目标是否被黑过。(如html寄生虫)
site:xx.com指定搜索发现多个垃圾数据,大概率中招过。(黑帽SEO劫持)
可搜索渗透特征痕迹(如遗留webshell、执行命令接口、黑页)搜索常见的敏感文件、路由发现其他人正在搜索的内容GoogleTrends搜索结果别忘了快照信息。Google搜索会追踪ip和地址,想要隐私可以试试私密搜索*(代理访问其他搜索引擎内容)*:startpage.com秘迹搜索
ps:百度、搜狗、bing也是可以使用语法精确搜索,但限于seo逻辑、广告、资源等多个因素,经常不如Google,但有时候结合又有不错的收获。
百度语法
site:搜索特定网站的内容intitle:搜索网页标题的内容inurl:搜索网址中的内容可以用-减号忽略掉关键词网页“”:搜索关键不可拆分
图片反查
百度识图、googleimage、tineye等识图引擎
从图片原图获取坐标
在线查看器
改图宝https://www.gaitubao.com/exif图虫EXIF查看器https://exif.tuchong.com/我爱斗图https://www.52doutu.cn/tools/exifpython-exifread库https://link.zhihu.com/?target\\=https%3A//pypi.python.org/pypi/ExifRead
经纬度转地址
GPS查询网址1http://www.gpsspg.com/maps.htmGPS查询网址2http://www.gzhatu.com/dingwei.html地球在线https://www.earthol.com/python-geopy库https://www.osgeo.cn/geopy/
4.Github信息收集
自从学会使用github并在上面乱捣鼓找到一些站点账号或源码后,就此走上不归路,各种Github监控搞上,又发现一些阿里key,简直是宝了……
Github搜索语法
高级搜索:https://github.com/search/advanced
Github高级搜索语法:https://docs.github.com/cn/search-github/getting-started-with-searching-on-github/understanding-the-search-syntax?spm=a2c6h.12873639.article-detail.6.55db74b8e8hJQq
Github有着自己的搜索语法,善用搜索语法能发现更多的有用信息。一般来说,Github搜索都是以域名、备案、js路径、网站技术支持等关键内容为主。
搜索包含&34;和password内容的代码。
一些工具中总结了一些常见的搜索语法:
https://github.com/obheda12/GitDorker/tree/master/Dorks
搜索常用语法,可以搜索到一些敏感的私钥,一些SSH登录私钥,mysql的数据库密码,APIkey等等
&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\n&34;\nextension:pemprivate\nextension:ppkprivate\nextension:sqlmysqldumppassword\nextension:jsonapi.forecast.io\nextension:jsonmongolab.com\nextension:yamlmongolab.com\nextension:ica\\[WFClient\\]Password\\=\nextension:avastlic“support.avast.com”\nextension:jsjsforceconn.login\nextension:jsongoogleusercontentclient\\_secret\n“target.com”send\\_keys\n“target.com”password\n“target.com”api\\_key\n“target.com”apikey\n“target.com”jira\\_password\n“target.com”root\\_password\n“target.com”access\\_token\n“target.com”config\n“target.com”client\\_secret\n“target.com”userauth\n
收集工具
GitDorker
https://github.com/obheda12/GitDorker
GitDorker是一款github自动信息收集工具,它利用GitHub搜索API和作者从各种来源编译的大量GitHubdorks列表,以提供给定搜索查询的github上存储的敏感信息的概述。
trufflehog
https://github.com/trufflesecurity/trufflehog
TruffleHog是一款采用Python开发的工具,它可以检索GitHub代码库的所有代码提交记录以及分支,并搜索出可以表示密钥(例如AWS密钥)的高熵字符串。一般用来探测泄漏密钥的工具,支持扫描的数据源包括git、github、gitlab、S3、文件系统、文件和标准输入。
其他检索方法:
https://github.com/BishopFox/GitGot
https://github.com/UKHomeOffice/repo-security-scanner
https://github.com/gwen001/github-search
https://github.com/eth0izzle/shhgit
https://github.com/lightless233/geye
https://github.com/cve-search/git-vuln-finder
https://github.com/Securityautomation/DumpTheGit
https://github.com/4×99/code6
https://github.com/tillson/git-hound
代码仓库在线搜索平台
pinatahub
https://pinatahub.incognita.tech
github敏感信息搜索引擎,有时候github搜索查看不方便,可以直接在这个网站搜索。
searchcode
https://searchcode.com/
SearchCode从Github、BitBucket、CodePlex、SourceForge、Fedora等代码仓库里筛选了近160亿行开源代码,你能够使用文件扩展、特定代码库名字、URL、正则表达式、特殊字符等过滤器对源代码进行过滤,以便搜到你想要的代码。
其他仓库
GitLab:https://about.gitlab.com/
gitee:https://gitee.com/
csdn:https://gitcode.net/explore
5.邮箱信息收集
有时候不仅是正面硬刚就可以的,还需要迂回战术配合出击,正如攻防中社工一样,总会有一些意想不到的成果。随着办公网络的发展,邮箱也成为了常用的办公方式之一。攻防也是从信息收集逐渐延伸到钓鱼上,只要钓鱼技术好,轻轻松松混入内部,而要想社工钓鱼玩得溜,邮件方面是一个重要的突破口。
tips:邮箱建议做筛选,把一些疑是网络管理员、运维人员、安全部门的人员提取出来,单独发送或者不发,由于这部分人员安全意识偏高,容易打草惊蛇,一般多针对非技术人员,容易下手。
邮箱入口查找方法
邮件服务器主要从端口和title标识两个信息点去确认的。
邮件服务器常见端口:
25109110143465995993
邮件服务器常见title:
邮箱登录CoremaileYou邮件系统TurboMailExchange……
C段扫描寻找入口
获取到目标后,从目标mx记录域名找到他的真实ip,若是第三方邮件服务器,MX记录就没啥参考价值了。对获取到的真实ip这个段进行C段扫描,有时候也可以进行B段扫描。然后通过端口、title去确定邮件服务器信息。C段扫描方法可以参考上文C段收集章节。
通过子域名扫描寻找入口
主要通过一些子域名收集工具去确认,如:Subdomainbrute、ksubdomain、Oneforall、Sublist3r、TeeMO、LangSrcCurise、Layer挖掘机等。
通过搜索引擎寻找入口
战场主力也还是Googlehacking和网络空间搜索引擎
GoogleHacking
site:target.comintitle:&34;\nsite:target.comintitle:&34;\nsite:target.comintitle:&34;\n
网络空间搜索引擎Shodanfofazoomeye0.zone
(group\\==阿里&&title\\==邮箱)
邮箱收集方法
搜索引擎
GoogleHacking
有时候github一些仓库代码中也会存在邮箱信息。
一般都会有邮箱、手机号等官方联系方式信息。
网络空间搜索引擎
0.zone邮箱收集
email\\_type\\==邮箱&&(group\\==阿里)
在线收集平台
ps:基本都需要注册,注册获取的信息比游客多好多,有些还需要绑定手机号。
Snov.io
Snovio是一个集成了“LinkedIn、GitHub、Moz、StackOverflow、Indeed、Behance、Upwork、Google页面邮箱采集”+“邮箱验证”+“联系人管理”+“邮件发送”为一身的网站。在Snovio只要输入一个域名,就可以采集到该域名在以上平台中暴露的所有邮箱地址,还支持API批量读取。
强大的邮箱收集,可单个收集也可以批量收集,还支持api调用。
免费版每月可以有100条收集数量,也就是50信用。
该站点的Google插件更方便
https://snov.io/knowledgebase/how-to-use-snovio-extension-for-chrome/
hunter
Hunter可让您在几秒钟内找到专业的电子邮件地址,并与对您的业务重要的人建立联系。
打码信息需要注册绑定手机号后才能看到。
phonebook
Phonebook例举所有的域名,邮件地址,或者是所予域名的url,支持*.gov.uk的通配符,有340亿条记录。可以批量下载想要的域名。
intelx
intelx是一个搜索引擎和数据存档。通过电子邮件,域名,IP,CIDR,比特币地址等等查找数据泄露信息。随便搜一下好像搜索出了一个泄露的邮箱数据库:
skymem
一款可查找公司和人员的电子邮件地址在线邮箱查找平台,数据量较少,准确度高,大批量的需要购买。
爱企查、企查查等批量查询
如通过爱企查的爱番番寻宝客“获取更多的联系方式”
如使用八爪鱼采集器进行批量查询
https://www.bazhuayu.com/tutorial/qccqyemailcj
邮箱泄露信息查询
https://monitor.firefox.com/https://haveibeenpwned.com/https://ghostproject.fr/
其他
https://app.apollo.iohttps://contactout.comhttps://www.datanyze.comhttps://www.email-format.comTG社工库、其他社工库
工具收集
theHarvester
theHarvester是Kali自带的一款社会工程学工具,默认集成了多个api,利用网络爬虫技术通过Google、Bing、PGP、LinkedIn、Baidu、Yandex、People123、Jigsaw、Shodan、PGP服务器等不同公开源整理收集,能够收集e-mail、用户名、主机名、子域名、雇员、开放端口和Banner等信息。
theHarvester参数详解
-h,\\–helpshowthishelpmessageandexit要搜索的公司名称或域名\n-l,\\–limitLIMITLimitthenumberofsearchresults,default\\=500.从采集到的信息编号“X”处开始执行采集,默认从0开始\n-g,\\–google-dorkUseGoogleDorksforGooglesearch.对信息采集的请求使用代理\n-s,\\–shodanUseShodantoquerydiscoveredhosts.对解析域的页面进行截图,需指定截图文件存放目录\n\\–screenshotoutput\\_directory\\通过DNS解析主机名并搜索虚拟主机\n-e,\\–dns-serverDNS\\_SERVERDNSservertouseforlookup.执行DNSTLD扩展发现,默认为False状态\n-r,\\–take-overCheckfortakeovers.启用DNS服务器查找,默认为False状态\n-c,\\–dns-brutePerformaDNSbruteforceonthedomain.\\指定输出文件名,格式支持HTML和XML\n-bSOURCE,\\–sourceSOURCE\nbaidu,bing,bingapi,bufferoverun,certspotter,crtsh,dnsdumpster,duckduckgo,exalead,github-code,google,hackertarget,hunter,intelx,\nlinkedin,linkedin\\_links,netcraft,otx,pentesttools,projectdiscovery,qwant,rapiddns,securityTrails,spyse,sublist3r,threatcrowd,threatminer,\ntrello,twitter,urlscan,virustotal,yahoo所谓的十分钟邮箱类\nhttp://www.yopmail.com/zh/\nhttps://10minutemail.com/\nhttps://10minutemail.net/\nhttps://www.guerrillamail.com/zh/inbox\nhttp://www.fakemailgenerator.com/\nhttps://temp-mail.org/en/\nhttps://www.guerrillamail.com/\nhttp://tool.chacuo.net/mailsend\nhttps://maildrop.cc/\nhttp://tool.chacuo.net/mailanonymous\nhttps://tempmail.altmails.com/\nhttps://www.snapmail.cc/\nhttps://www.linshi-email.com/\n
匿名邮箱
ProtonMailGetsecure,reliableemailhosting–FastMailxyfir/ptorxTutanota
6.网盘信息收集
一些安全意识薄弱的人员对于上传到网盘上的资源未作加密限制或者密码泄露,然后又被一些云盘爬虫给收集到,最终导致信息泄露。通过一些网盘引擎可以获取到其中的泄露信息。
在线平台
https://lzpan.com/凌风云:https://www.lingfengyun.com/蓝菊花:http://www.lanjuhua.com/大力盘:https://www.dalipan.com/猪猪盘:http://www.zhuzhupan.com/PanSou:http://www.pansou.com/盘飞飞:https://panfeifei.com/
由于网盘搜索工具的时效性,可以通过搜索引擎去获取一些。
搜索关键词
关键词一般以单位名称、别称、产品业务等
爬虫
百度网盘爬虫脚本搜索网盘搜索工具
网盘有时候会存在一些简历信息泄露,如手机号、邮箱、部门等。
0x06其他信息
1.APP
通过获取App配置、数据包,去获取url、api、osskey、js等敏感信息。
App查找入口
搜索引擎
GoogleHacking网络空间搜索引擎
在线聚合平台
小蓝本七麦AppStore点点豌豆荚天眼查/爱企查等App应用商城
App敏感信息收集
ps:App关联打算另写一篇。
手工收集
一般是通过抓包收集接口数据或者逆向获取配置数据。
抓包可能会需要进行证书绕过、绕过抓包限制等。Fastboot&ADBHttpCanaryPacketCaptureWicapFildder+BurpsuiteMitmproxyCharlesFridaSSL相关:JustTrustMe++/TrustMeAlready/SSLUnpinning/Inspeckage强制走代理:ProxyDroid/Droni+Burpsuite综合性安卓抓包/逆向/HOOK自动化脚本工具:lamda/r0capture/fridaUiTools/frida_hook_libart常用的软件简记逆向可能会需要进行脱壳/解码等。幸运破解器核心破解BlackDexfdex2FARTAndroidKiller午夜神大佬应用集grep筛选grep\\-EHirn&34;\\–colorAPKfolder/\\34;一张图&/indexHunterhttps://hunter.qianxin.comCensyshttps://search.censys.io/Shadonhttps://www.shodan.ioZoomEyehttps://www.zoomeye.orgSumaphttps://sumap.dbappsecurity.com.cn/Soallhttps://soall.org/login0.zonehttps://0.zone/
参考
https://xz.aliyun.com/t/11112
https://mp.weixin.qq.com/s/MSLwTsfahF2NSSdDznvetw
https://blog.csdn.net/qq_53577336/article/details/122828715
https://www.lijiejie.com/dns-zone-transfer-1/
https://github.com/bin-maker/2021CDN/
https://www.freebuf.com/articles/web/265016.html
作者:0nlyuAar0n\n奇安信攻防社区\nhttps://forum.butian.net/share/1976
关于怎么查网站源码分享有没有后门和如何查看一个网页的源码的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。