记录个人常用的信息搜集工具
whois查询
whois是什么
whois是一种传输协议,whois查询是一个数据库。域名查询可以快速了解一家网站的运营者是谁。
whois可以查询什么信息
- 注册信息中的域名所有者的邮箱和名字,域名注册时间,过期时间,注册中心以及当前注册状态
- 管理员各种联系信息,包括管理员邮箱,电话,传真,各种名字[可以用来制作字典]
- 目标技术的联系方式,包括邮箱,电话,传真,名称
- 用于解析该域名的所有ns服务器
在线查询网站
bugscaner-whois
http://whois.bugscaner.com/
界面很喜欢
同时bugscaner上还包括很多工具:
阿里
https://whois.aliyun.com/
全球查
https://www.whois365.com/cn/
爱站
https://whois.aizhan.com/
站长
http://whois.chinaz.com/
kali自带工具
结合使用,有些在线网站会屏蔽查询某个域名。
备案信息查询
备案信息可以查询注册人姓名等信息。
在线查询网站
ICP备案查询网
http://beianbeian.com/
天眼查
https://www.tianyancha.com/ 查公司、查老板
工信部
http://beian.miit.gov.cn/state/outPortal/loginPortal.action
子域名收集
在线查询网站
云悉资产
http://www.yunsee.cn/
在线二级域名子域名查询
http://tools.bugscaner.com/subdomain/
在线子域名爆破
https://phpinfo.me/domain/
DNSdumpster
https://dnsdumpster.com/
演示结果
通过证书查找子域名(Crt.sh)
https://crt.sh/
通过证书查找子域名(censys)
https://censys.io
查找子域名这方面比较鸡肋:
会查到www.chongqing-baidu.com这种无用的网站
菠菜而已。
site:zhihu.com
工具
Layer子域名挖掘机
字典要大
Sublist3r
开源工具。它可以从多个源中获取查询的输出结果,如google,bing,virustotal,crt.sh等,虽然绝大多数情况下它所返回的数据都是正确的,但也有可能会遇到一些无法解析的子域名
Sublist3r还使用了一个名叫subbrute的独立项目,而Subbrute使用了一个常用子域名字典,并通过这个字典来找出可以正常解析的子域名集合
- -d:枚举指定域名的子域名
- -b:使用subbrute模块
- -v:实时列举搜索结果
- -t:设置使用subbrute暴力破解的线程数
- -o:将结果保存为文本文件
- -h:帮助
在我的主机上使用python2
还可以同时使用暴力破解模块:
python sublist3r.py -b -d zhihu.com
Web指纹查询
Web指纹简介:
在线查询网站
云悉指纹
http://www.yunsee.cn/
在线CMS指纹识别
http://whatweb.bugscaner.com/
火狐插件-Wappalyzer
识别出来的比较简单
工具
whatweb
kali集成
推荐使用-v参数:whatweb -v aliyun.bugscaner.com 更详细并且格式化。
端口指纹搜集
在线查询网站
在线端口检测
http://coolaf.com/tool/port
在线端口扫描
https://www.ip33.com/port_scan.html
http://duankou.wlphp.com/
http://www.nicetool.net/app/port_scan.html
工具
masscan
-
-p指定扫描的端口:-p80,8080-8100 -
--rate指定发包的速率:--rate 100000
nmap
-sS执行一次隐秘的TCP扫描-Pn会告诉nmap不要使用ping命令预先判断主机是否存活,而是默认所有主机都是存活状态-A参数会显示更详细的信息,同时扫描的时间也会更长-p参数指定端口:-p1-65535、-p20-200,7777,8888
nmap -sS -Pn -A -p20-200,7777 192.168.91.132
常见端口漏洞
https://github.com/BestBDs/port-bug/blob/master/%E5%B8%B8%E8%A7%81%E7%AB%AF%E5%8F%A3%E6%BC%8F%E6%B4%9E
敏感目录
工具
主要看字典大小
御剑
dirsearch
https://github.com/maurosoria/dirsearch
敏感信息-网络空间资产搜索
Google hacking语法
-
site:指定域名 -
inurl:指定url中存在的关键字 -
intext:指定网页正文中的关键字 -
filetype:指定文件类型 -
intitle:指定网页标题中的关键字 -
link:返回所有和link做了链接的url -
info:查找指定站点的一些基本信息 -
cache:搜索Google里关于某些内容的缓存
谷歌漏洞库:https://www.exploit-db.com/google-hacking-database
GitHub上的敏感信息
仓库搜索、代码搜索、问题搜索、用户名搜索的结果分别在以下框框中。
(1) 基本搜索(Basic search)
- 查找stars数超过100的有关”cat”仓库:
cat stars:>100 - 搜索用户名为
fengbingchun的所有仓库:user:fengbingchun - 搜索地址在”San Francisco, CA”的用户名包含tom的所有仓库:
tom location:"San Francisco, CA"(搜用户) - 搜索不包含关于”cat”的所有仓库:
NOT cat
(2) 仓库搜索(Repository search)
- 搜索有关”node.js”并fork数少于200的所有仓库:
node.js forks:<200 - 搜索有关”jquery”并大小在1024至4089KB之间的所有仓库:
jquery size:1024..4089 - 搜索用户名为fengbingchun并且开发语言为C++的所有仓库:
language:c++ user:fengbingchun - 搜索用户名为fengbingchun并且followers数大于等于10的所有仓库:
user:fengbingchun followers:>=10 - 搜索用户名为fengbingchun并且仓库在2019年1月1日后有更新(pushed)的所有仓库:
user:fengbingchun pushed:>2019-01-01
(3) 代码搜索(Code search)
- 搜索用户名为fengbingchun并且文件中含有”cv::Mat”的所有文件:
cv::Mat user:fengbingchun - 搜索文件大小大于1000KB并文件中包含”system”的所有文件:
system size:>1000 - 搜索在/docs/路径下文件中含有”examples”的所有文件:
examples path:/docs/
(4) 问题搜索(Issue search)
- 搜索用户名为fengbingchun并issue中含有”opencv”字段的所有issues:
opencv user:fengbingchun - 搜索issue是open状态并且issue中含有”fengbingchun”字段的所有issues:
fengbingchun is:open - 搜索issue中comments数大于4次且含有”fengbingchun”字段的所有issues:
fengbingchun comments:>4 - 搜索issue创建者是fengbingchun的所有issues:
author:fengbingchun - 搜索issue在2019年2月15日后创建的且含有”opencv”字段的所有issues:
opencv created:>2019-03-15
(5) 用户名搜索(User search)
- 搜索用户全名为”Bingchun Feng”的用户:
fullname:"Bingchun Feng"
(6) 高级搜索(Advanced search)
https://github.com/search/advanced
注意事项:
- 冒号
:两侧不能有空格 - 不区分大小写
- 不能将以下通配符用作搜索查询的一部分,搜索将忽略这些符号:. , : ; / \ ` ' " = * ! ? # $ & + ^ | ~ < > ( ) { } [ ]
- 搜索默认为master分支
fofa:https://zhuanlan.zhihu.com/p/46245762
Google hacking
shodan
zoomeye:https://www.zhihu.com/question/23389858
真实IP
判断是否使用了CDN
全球ping检测
http://ping.chinaz.com/
https://wepcc.com/
域名解析记录
https://site.ip138.com/
绕过CDN查询真实IP
VirusTotal
大名鼎鼎的 VirusTotal,支持恶意文件,恶意URL的检测,也可以绕过CDN查询真实IP
其他方法
-
子域名IP
由于成本问题,可能某些厂商并不会将所有的子域名都部署 CDN,所以如果我们能尽量的搜集子域名,或许可以找到一些没有部署 CDN 的子域名,拿到某些服务器的真实
ip/ 段 -
旁站IP
whois查询域名所有者的其他域名,可能与目标域名在同一个服务器上,并且未作CDN
-
查找泄露文件
phpinfo、GitHub泄露等 -
利用目标网站
证书或者favicon.ico在
https://crt.sh查找网站SSL证书的hash,然后再用censys搜索利用
favicon.ico和shodan:https://github.com/Ridter/get_ip_by_ico
IP反查域名
在线查询网站
专业的IP地址库
https://tools.ipip.net/ipdomain.php