信息收集到打點(diǎn)大致我就分為

企業(yè)信息結(jié)構(gòu)收集

敏感信息收集

域名主動被動收集

整理域名ip資產(chǎn)

掃描檢測打點(diǎn)

其中每一步需要收集好幾個方面的信息，手動很累也很慢

一、企業(yè)信息結(jié)構(gòu)收集

企業(yè)信息結(jié)構(gòu)收集包括對查詢目標(biāo)企業(yè)的公司信息，涉及到哪些主站域名，有哪些控股很多的子公司，這些子公司涉及到哪些域名，然后再進(jìn)行備案反查，你又會得到一些新的公司，同理也能再次得到一些新的主站域名，將這些進(jìn)行整理---->得到一批待爆破的域名。

還有的就是除了這些查到的主站域名，往往企業(yè)會有app、公眾號、小程序這些資產(chǎn)，也要對這些資產(chǎn)進(jìn)行收集，然后你又拿到了一批域名。

手動查詢的話從以下查詢

天眼查 查企業(yè)/子公司/域名/公眾號 https://www.tianyancha.com/

愛企查 https://aiqicha.baidu.com/

企查查詢 https://www.qcc.com/

啟信寶 https://www.qixin.com/

工具:

推薦cSubsidiary利用天眼查查詢企業(yè)子公司https://github.com/canc3s/cSubsidiary還有pigat：https://github.com/teamssix/pigat公眾號和app的收集：https://github.com/wgpsec/ENScanhttps://github.com/wgpsec/ENScan_GO go版本

二、敏感信息收集

利用搜索引擎、github等托管平臺配合一些dorks就可以搜到很多信息。

熟知的googlehack，gitdork，網(wǎng)盤泄露等等。

敏感信息一共要搜集這個幾個方面：

googlehack語法

github泄露

目標(biāo)人員姓名/手機(jī)/郵箱

1.googlehack

但比如googlehack，你需要搜的好幾條語法加上域名

比如：

site:*.domain.com

inurl:domain.com

intitle:keyword

keyword filetyle:doc|pdf

一個域名可以配合多個語法搜，那么多域名手動輸入搜很慢，推薦工具:

https://github.com/r00tSe7en/GoogleHackingTool 在線Google Hacking 小工具

https://www.exploit-db.com/google-hacking-database 語法，自己可以腳本里批量搜

2.github泄露敏感信息：

一些常用github dorks,直接搜對應(yīng)目標(biāo)信息：

xxxxx.com "Authorization" #"Authorization: Bearer"

xxxxx.com "filename：vim_settings.xml"

xxxxx.com "language：PHP"

也可以在github對各種信息搜索，比如文件類型

filename:manifest.xml

filename:travis.yml

filename:vim_settings.xml

filename:database

filename:prod.exs NOT prod.secret.exs

filename:prod.secret.exs

filename:.npmrc _auth

filename:.dockercfg auth

filename:WebServers.xml

filename:.bash_history <Domain name>

filename:sftp-config.json

filename:sftp.json path:.vscode

filename:secrets.yml password

filename:.esmtprc password

filename:passwd path:etc

filename:dbeaver-data-sources.xml

path:sites databases password

filename:config.php dbpasswd

filename:prod.secret.exs

filename:configuration.php JConfig password

filename:.sh_history

包含關(guān)鍵字的指定語言：

language:python usernamelanguage:php usernamelanguage:sql usernamelanguage:html passwordlanguage:perl passwordlanguage:shell usernamelanguage:java apiHOMEBREW_GITHUB_API_TOKEN language:shell

搜API/KEYS/TOEKNS關(guān)鍵字：

api_key

“api keys”

authorization_bearer:

oauth

auth

authentication

client_secret

api_token:

“api token”

client_id

password

user_password

user_pass

passcode

client_secret

secret

password hash

OTP

user auth

很多關(guān)鍵字可以搜，還是批量搜高效，工具：

https://github.com/obheda12/GitDorker

https://github.com/michenriksen/gitrob

https://github.com/dxa4481/truffleHog

https://github.com/techgaun/github-dorks

這類工具需要設(shè)置git令牌，附上gitrob過程，踩坑:不要下relase ，自己編譯最好：

git clone https://github.com/michenriksen/gitrob.git

go mod init #to use go mod 如果報錯 運(yùn)行g(shù)o mod init github.com/michenriksen/gitrob

rm Gopkg* #remove the old stuff

go build #to build it

./build.sh

設(shè)置git令牌

set GITROB_ACCESS_TOKEN=xxxxx

使用后可以查看圖形界面的結(jié)果：

3. 目標(biāo)人員姓名/手機(jī)/郵箱

通過開源信息收集目標(biāo)人員姓名/手機(jī)/郵箱，為后面打點(diǎn)做字典做準(zhǔn)備。

https://github.com/laramies/theHarvester

通過搜索引擎、PGP服務(wù)器以及SHODAN數(shù)據(jù)庫收集用戶的email，子域名，主機(jī)，雇員名，開放端口和banner信息。

使用：

-d 開關(guān)用于定義域名，-l 用于限制結(jié)果數(shù)量

theHarvester -d kali.org -l 200 -b

anubis,baidu,pentesttools,projectdiscovery,qwant,rapiddns,

rocketreach,securityTrails,spyse,sublist3r,threatcrowd,threatminer,

trello,twitter,urlscan,virustotal,yahoo,zoomeye,bing,binaryedge,

bingapi,bufferoverun,censys,certspotter,crtsh,dnsdumpster,duckduckgo,

fullhunt,github-code,google,hackertarget,hunter,intelx,linkedin,

linkedin_links,n45ht,omnisint,otx

按github跑就是了，但是有點(diǎn)坑點(diǎn)：

配置api-keys在/etc/theHarvester 目錄下api-keys.yaml填入對應(yīng)的api key即可

有個坑點(diǎn)是key:后要加個空格在放key字符串，不然跑不起來

人員郵箱字典的構(gòu)造：

https://github.com/pry0cc/GoogLinked/blob/master/GoogLinked.rb

還可以使用一些社工信息來做字典，這樣的工具很多了，用一個就夠了沒必要用全部：Cupp/Cewl

https://github.com/r3nt0n/bopscrk

python3 bopscrk.py -i

三、域名主動被動收集

域名主動信息收集內(nèi)容就有點(diǎn)雜了。

通過1、2點(diǎn)我們拿到了一批等待爆破的域名和人員的信息，以及泄露的一些敏感信息(運(yùn)氣好的話用泄露的信息已經(jīng)打到點(diǎn)了。)

現(xiàn)在需要對域名進(jìn)行whois信息查詢、dns域名正反查詢、子域名探測爆破三個方面收集。

1.whois信息查詢

whois需要查詢域名的whois，然后根據(jù)whois信息來查詢歷史和反查，這樣你就得到了一些郵箱和可疑域名。

查域名信息沒什么說的，主要看網(wǎng)址注冊人、到期記錄、創(chuàng)建域的時間、名稱服務(wù)器和聯(lián)系信息等，查最新的一般都是托管的信息，而查看歷史信息就有可能查到真實(shí)聯(lián)系人郵箱電話等:

一些常見whois查詢，手動的時候可以查詢:

https://domaineye.com/reverse-whoishttps://www.reversewhois.io/https://tool.domains/whois-researchhttps://tools.webservertalk.com/reverse-whoishttps://reverse-whois-api.whoisxmlapi.com/http://whois.domaintools.com/https://viewdns.info/reversewhois/https://www.domainiq.com/reverse_whois

除了正向查詢whois，還要查詢whois歷史信息:

以下幾個網(wǎng)站允許用戶訪問連接的 WHOIS 數(shù)據(jù)庫以進(jìn)行調(diào)查。這些記錄是十多年來對有關(guān)域注冊的有用數(shù)據(jù)進(jìn)行網(wǎng)絡(luò)爬取的結(jié)果:

https://whois.domaintools.com/https://drs.whoisxmlapi.com/?ts=gp&ref=hackernoon.comhttps://whois-history-api.whoisxmlapi.com/?ts=gp&ref=hackernoon.comhttps://www.whoxy.com/

whois歷史信息查詢不能錯過，明顯可以在whois歷史信息中看真實(shí)郵箱并反查而不是目前托管的郵箱，以及非托管的dns服務(wù)器:

whois 信息反查

通過歷史whois信息找到真實(shí)郵箱or組織名，再反查域名，又可以得到一批資產(chǎn)：

other:

https://www.reversewhois.io/

整理一下whois分了三步，先whois查詢一個域名，然后對查詢的信息進(jìn)行歷史whois查詢和反查,最后得到一批郵箱和域名。手動知道過程就行，實(shí)際做項(xiàng)目用工具批量查了整理：

https://github.com/xugj-gits/domain-tool 批量whois查詢

https://github.com/melbadry9/WhoEnum

2.dns域名正向反向查詢

dns域名查詢分兩個部分，歷史記錄和ip反查：

DNS歷史記錄(doamin2ips)

Dnsdumpster 是一個在線實(shí)用程序，我們使用它來查找子域、目標(biāo)的 DNS 記錄。

VT也是可以看dns數(shù)據(jù)信息的:

ip反查(ip2domains)

同ip查詢多個解析到這個ip的域名，尋找更多web資產(chǎn)

https://viewdns.info/reverseip/

https://dnslytics.com/

ip反查也可以使用dig、nslookup、host命令完成：

工具推薦：

https://www.infobyip.com/ipbulklookup.php 批量ip反查

https://github.com/Sma11New/ip2domain 國內(nèi)域名推薦ip2domain，會查詢權(quán)重、ICP備案等

通過dns查詢，我們拿到了一些域名和可疑ip段

3.子域名探測爆破

沒啥好說的，主要是收集的渠道全、過濾泛解析。

常見手法爆破子域名、證書透明度、搜索引擎、信息泄露、ASN號等等，很多工具已經(jīng)做了這些工作

https://github.com/shmilylty/OneForAllhttps://github.com/six2dez/reconftwhttps://github.com/P1-Team/AlliNhttps://github.com/d3mondev/puredns

四、整理域名ip資產(chǎn)

到這里大致的收集就結(jié)束了，就是要對收集結(jié)果進(jìn)行整理，通過上面收集能拿到：

一批待探測存活的域名

一批待確定的ip段

一些郵箱，姓名，手機(jī)號

一些敏感文件、信息、通用密碼(敏感信息收集階段看臉)

整理后大致如上，有一步需要做的就是把收集的這些域名，轉(zhuǎn)成ip段，但是是需要判斷這個ip屬不屬于cdn，屬不屬于泛解析的ip，然后轉(zhuǎn)成ip后要判斷ip段的權(quán)重，哪些段才可能是目標(biāo)主要的C段。

https://github.com/EdgeSecurityTeam/Eeyes 對subdomain數(shù)據(jù)處理、獲取其中真實(shí)IP并整理成c段

https://github.com/canc3s/cIPR 整理后查看權(quán)重

五、 掃描檢測打點(diǎn)

這步就開始快速打點(diǎn)了。

上面整理后的資產(chǎn)，需要我們探測的是一批域名和一批C段

域名需要做的事：

探測存活

title、banner提取、指紋識別

爬蟲、目錄輕量掃描、輕量漏掃

C段需要做的事：

掃描端口，探測存活

將掃的web和非web進(jìn)行分類，把掃到的web資產(chǎn)加入到域名需要做的事，和對待域名沒區(qū)別

將掃到的非web(數(shù)據(jù)庫/遠(yuǎn)程登錄協(xié)議)進(jìn)行爆破，比如mysql爆破，rdp爆破

一批域名和一批C段就這樣做不同的事，來先探測是否有脆弱的點(diǎn)，最后才是回歸常規(guī)web，一個站一個站的去撕

一些工具：

https://github.com/broken5/WebAliveScan web存活判斷

https://github.com/fadinglr/EHole 紅隊(duì)重點(diǎn)攻擊系統(tǒng)指紋探測工具

https://github.com/k8gege/K8CScan 漏洞掃描、密碼爆破

https://github.com/b1gcat/DarkEye 主機(jī)發(fā)現(xiàn)+爆破

https://github.com/Adminisme/ServerScan 高并發(fā)網(wǎng)絡(luò)掃描、服務(wù)探測工具

https://github.com/dean2021/titlesearch 批量抓取域名title工具

https://github.com/pmiaowu/PmWebDirScan 批量掃目錄備份

還有的就是一些大家都熟知的xray，vulmap之類的漏洞，批量輕量去掃描一下即可。

把上面的幾個步驟，工具串起來，行成快速信息收集，快速探測打點(diǎn)，最好寫個貫穿流程的工具調(diào)用的腳本，自己寫過效果不錯但代碼不好就不拿出來丟人了，基本這樣過一遍就容易打到一些比較脆弱的點(diǎn)。

原文始發(fā)于微信公眾號（HACK之道）