从零开始的信息搜集（一）anoldcat

渗透的本质是信息搜集，这句话相信每个人都听说过

做得好到处有资产（大佬），做不好捡漏都困难（我）

有很多大佬有自己新奇的技巧，但本咸鱼作为一个24K纯菜鸡，只能沿用大佬们现成的方法去搜集整理现有的知识点，形成本文

毕竟

我们不生产新方法，我们只是方法的搬运工

（实际上是批量脚本写烦了，换个思路，内网整理什么的往后推了......由于这块内容过于庞大，因此采用分篇整理。但即使是这样，也肯定有落下的，欢迎各位表哥补充）

注：

（1）同类型的方法仅列举一些常见的，不追求一一列举，个人能力有限，也无法一一列举出来

前置问题：假如从XXX手中获得了一个域名，只有这一个域名，通过这个域名，从零开始，你能获取哪些信息？

0x01企业备案信息搜集

1.天眼查

在天眼妹这里可以按公司名、可以按域名甚至人名对注册过的公司进行信息查询（换言之没注册过的，你弄个国外的站，是无济于事的）

天眼查号称“实现了企业背景、企业发展、司法风险、经营风险、经营状况、知识产权方面等多种数据维度的检索”

与天眼查同类型的网站有很多，一搜一大把，不一一介绍了，有些功能的查看需要付费

2.站长工具

可以看一些网站备案信息（啊，当然不只是可以看备案信息，其他的后面再说）

同理

0x02whois

whois主要是用来查询域名的IP以及所有者等信息的传输协议，叫域名查询协议

1.站长工具

还是站长工具

有一个whois反查功能，能看到更多信息

2.微步

微步平台除了可查网站信息之外还有文件检测、URL检测、威胁情报等功能

3.who.is

但是结果不太友好，主要是查国外的

还有一大堆类似的网站

......

不一一列举

另外，把涉及whois也涉及DNS查询信息的三款工具归到这了dnswalk、dnstracer、dnsenum

均为Kali自带

0x03CDN

传统的解析是通过域名直接解析IP访问目标主机，而有CDN的会在解析流程中间加一道CDN节点，不仅起到了降低网络拥塞、提升访问速度的作用，还有云WAF，相当于多了一层保护

对此我只能说很顶

如何判断一个网站有无CDN？

去网站上超级ping

全球ping

或者nslookup、dig、ping

（事先说明，如果按照IP访问目标，404403GG了，可以改hosts域名ip绑定，然后访问域名再次尝试，涉及到DNS解析原理hosts优先）

绕过（都是猜测方法，并不绝对，多少都有限制）：

1.DNS历史解析记录

查询DNS解析的历史记录，可能会找到网站使用CDN前的解析记录

如：

微步--域名解析

iphistory

查询网

2.查找子域名

如果有一些站没有把它的子域名也做CDN，可以通过排查子域名，找没用CDN的子域名

改hosts文件，把目标域名和子域名IP绑定，如果能访问证明二者在一个服务器上（当然希望不大，呵呵）

还可以大胆怀疑子域名ip和目标域名ip在一个C段，扫描C段ip的80端口看看有没有搞头

找子域名方法有很多，如：搜索引擎查询、在线网站查询、子域名爆破工具、集成框架......

大致提一下，具体内容留在子域名搜集环节细说

3.网站邮件头信息

类似这种地方，找找文中有没有from目标站点的，并且显示IP的

或者有没有SSRF可以利用？

4.网络空间搜索引擎

三大引擎

用搜索语法尝试搜索目标站点，可能有意外发现

5.国外主机解析域名

如果有CDN厂商只做了针对国内的线路，没做国外的线路

可以尝试用国外的多ping平台测试

有条件的可以试试以下平台

6.SSL证书

证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中，SSL/TLS证书通常包含域名、子域名和电子邮件地址

7.全网扫描

用工具对目标站点进行全网扫描，针对扫描结果进行关键字查找

两款扫描工具ZMap与masscan

扫全国的IP某端口，进行banner抓取，再数据过滤，筛选结果

或者方便一些的有fuckcdn和其他绕CDN扫描脚本：

可以都试试

8.文件泄露

是否可以通过漏洞找到一些服务器日志文件、web探针文件，如phpinfo中的SERVER_ADDR，可见真实IP

9.iconhash+shodan

可以半手工，当然也可以用脚本

这有一个师傅写好的脚本:

思路是借助WEB特有文件如xxxx.ico（type='image/x-icon'）进行文件hash获取，再利用shodan进行全网追踪

查看网站源代码找ico，用URL访问完整ico文件

用python写：将get请求回来的内容base64编码，再用mmh3编码得到hash（要安装mmh3库，这是shodan的要求）

还有老哥说找源码中title标签+fofa的，我姿势使用失败，并没有成功，欢迎尝试

10.配置不当

是不是存在lcx.com与www.lcx.com解析到同一个地址，但只做了www.lcx.com而没做lcx.com的CDN？

或者只配了HTTPS的CDN而没有配置HTTP的CDN？

虽然可能性不大，但是可以试试

11.F5LTM解密

同时使用F5LTM做负载均衡与CDN好像并不冲突，但我并没有尝试过，就先放这里了

12.其他

非高防的CDN可以流量攻击冲一波，em......

0x04子域名

工具类：

1.oneforall

一款强大的子域名搜集工具，仍在更新，欢迎加群824414244

相当于一个大合集，功能很全，使用感受还是可以的，有误报但量大

2.FuzzDomain

一款子域名爆破工具

使用方法和探测原理参考：

3.Layer子域名挖掘机

也是款windows平台下的老工具了，目前有5.x更新版和4.x纪念版

其他版本请自行搜集资源下载，安全性自测

4.subDomainsBrute

5.ESD

6.subfinder

还有很多不一一列举了

非工具类（其实这么划分也不准确。。。）查找子域名，比如利用证书透明度、DNS记录查询、威胁情报数据网站、搜索引擎、域传送、敏感信息泄露......

总结得很详细（补充了一些我没有说到的工具和姿势）

----------------------------------------------------------------------------------------------------------------------------