现在只有经常阅读和加星标的公众号才会展示大图推送，建议大家“将渗透安全小组设为星标”，否则可能看不到！信息收集--站内访问的目的

了解目标的基本信息，方便后期渗透。主要收集信息：服务器配置信息和网站信息，包括网站注册者、目标网站系统、目标服务器系统、相关子域名、目标服务器开放端口以及服务器存放网站等。尽可能多地收集与目标网站相关的信息。

1. 域名信息收集

1. Whois查询

收集工具：whois

Whois是互联网标准协议，用于收集网络注册信息，包括注册域名、IP地址、域名所有者、域名注册商等。对于中小型企业来说，域名所有者往往是管理员。

2. 注册号码的收集

备案号是网站是否合法注册运营的标志，网站域名必须经过注册程序才能上线，通过备案号可以查询目标所有合法网站。

查询：

https://icp.sojson.com/  http://icp.chinaz.com 

3. 信用查询

企业征信机构是记录企业基本信息、历史、股东、投资信息的平台。

查询：

https://icredit.jd.com、天眼查：https://www.tianyancha.com

2. 子域名查询

子域名：顶级域名的下一级，域名整体包含两个“.”或一个“/”。收集子域名可以很大程度上揭露目标的网站等资产。

采集工具：子域名挖矿机-Layer，在线子域名挖矿

3. C 站 第 1 部分 站

侧站指的是同一台服务器上的其他网站，很多时候有些网站可能不是那么容易被黑的，那么可以检查一下该网站所在的服务器是否还有其他网站，如果有其他网站，可以先拿下其他网站的 webshel​​l，然后提权拿到服务器权限，最后自然就能拿下该网站了。

2. C 部分

C段指的是同一内网段的其他服务器，每个IP有ABCD四个段，比如192.168.0.1，A段为192，B段为168，C段为0，D段为1。嗅探C段就是把同一C段的服务器，也就是D段1-255的某台服务器，用工具嗅探把这个服务器给搞垮了。

在线搜索

站内及剖腹产网上询问地址：

https://webscan.cc 

四、DNS查询 1、DNS的主要类型

A（地址）记录：

用于指定主机名（或域名）对应的IP地址记录，一般来说A记录就是服务器的IP地址，域名绑定A记录告诉DNS，当你输入域名的时候，会定向到DNS中设置的A记录对应的服务器。

PTR 记录或指针记录：

将 IP 地址与域或子域匹配，从而允许反向 DNS 查找。它执行的服务与 A 记录完全相反，因为它允许查找与特定 IP 地址关联的域。

CNAME（规范名称）记录：

也常称为规范名称。此记录允许您将多个名称映射到同一台计算机。它通常用于同时提供 WWW 和 MAIL 服务的计算机。CNAME 是一种别名解析，它首先将域名解析为主机别名wordpress 百度收录设置，然后跳转到 IP，这样如果主机 IP 发生变化，就不需要重新解析。

MX 记录：

又叫邮件路由记录wordpress 百度收录设置，用户可以将域名下的邮件服务器指向自己的邮件服务器，从而可以自行控制所有邮箱设置。

NS（名称服务器）记录：

域名服务器记录是用来指定使用哪个DNS服务器来解析域名的，简单来说，NS记录就是指定使用哪个DNS服务器来解析你的域名。

AAAA 记录：

用于指定主机名（或域名）对应的IPv6地址记录。

SOA 记录或授权开始记录：

区域文件标有最初创建的主机名。它列出了负责该域的人员的联系电子邮件地址。

2.查询：

查看DNS：

http://viewdns.info

DNS数据库：

https://www.dnsdb.io

5. 真实IP收集

CDN的全称是Content Delivery Network（内容分发网络），一般只在一些用户量很大的站点上使用，用来解决服务器性能的瓶颈。

简单来说，就是在不同运营商之间的对接节点上设置一组高速缓存服务器，将用户经常访问的静态数据资源直接缓存在节点服务器上，当用户再次请求时，会直接分发到离用户较近的节点服务器响应客户，当用户有实际数据交互时，再从远程的Web服务器进行响应，可以大大提高网络响应速度和用户体验。

目标服务器可能只有一个域名，通过域名获取服务器真实IP对于渗透来说非常重要。如果目标武器没有CDN，可以直接获取目标的一些IP和域名信息。如果有CDN，就需要绕过CDN获取真实IP。当渗透目标购买CDN服务时，通过ping命令获取CDN，无法获取真实IP段。

1. 判断目标是否使用CDN①. 使用ping命令

CDN 存在

不存在 CDN

② 通过nslookup命令

如果地址有一个地址，则没有CDN。如果有多个地址，则有一个CDN

示例 nslookup 存在 CDN

示例 nslookup 不存在 CDN

③ ping全国多个地区的服务器

Ping www.baidu.com

Ping www.xxxxx.cn

2.绕过CDN找到真实IP ①DNS历史解析记录

通过查询域名的历史解析记录，可以找到该网站使用CDN之前的解析记录，从而获取真实IP。

杠杆查询历史记录

②查找子域名

经常会出现一些重要的站点会使用CDN的情况，但是有些子域名的站点并没有加入CDN，并且和主站处于同一个C段，这种情况下可以通过搜索子域名来找到网站的真实IP地址。

注意：收集完子域名后，尝试用不在CDN上的IP解析主站，成功获取到真实IP。

③内部邮箱来源

邮箱注册、邮箱密码找回、RSS邮件订阅等功能场景，通过网站向自己发送邮件，让目标主动暴露自己的真实IP，查看邮件头信息，获取网站真实IP。

④网络空间安全引擎搜索

可以通过关键字或者网站域名来找到收录的IP，很多情况下获取到的真实IP地址才是该网站的真实IP地址。

ZoomEy 搜索

https://www.zoomeye.org/

⑤使用SSL证书查找真实IP

证书颁发机构 (CA) 必须将其颁发的每个 SSL/TLS 证书发布到公共日志中，而 SSL/TLS 证书通常包含域名、子域和电子邮件地址，这使得 SSL/TLS 证书成为攻击者的入口点。

SSL 证书搜索引擎：

https://censys.io/ipv4?q=github.com

⑥国外主机域名解析

大部分CDN厂商因为种种原因只提供国内线路，国外线路可能几乎没有，这时候我们如果使用国外DNS查询的话，很有可能获取到真实的IP。

3. 获取真实IP

验证：尝试直接使用IP地址访问。

六、敏感信息收集 1.敏感目录

目录扫描可以让我们了解到网站有多少个目录和页面，探查网站的整体结构，通过目录扫描还可以扫描敏感文件、后台文件、数据库文件、信息泄露文件等。#### (1) 常见敏感目录

① robots.txt

robots.txt是一个纯文本文件，网站管理员可以在其中声明网站中不希望搜索引擎访问的部分，或者指定搜索引擎只索引指定的内容。搜索引擎（又称搜索机器人或蜘蛛程序）在访问某个站点时，会先检查站点根目录下是否有robots.txt。如果存在，搜索机器人就会根据文件内容确定访问范围；如果文件不存在，搜索机器人就会沿着链接进行爬行。

--robots.txt 效果

1.、引导搜索引擎蜘蛛抓取指定栏目或内容；
2、网站改版或者URL重写优化时候屏蔽对搜索引擎不友好的链接；
3、屏蔽死链接、404错误页面；
4、屏蔽无内容、无价值页面；
5、屏蔽重复页面，如评论页、搜索结果页；
6、屏蔽任何不想被收录的页面；
7、引导蜘蛛抓取网站地图；

②crossdomin.xml

跨域，顾名思义就是需要的资源不在你自己的域服务器上，需要访问其他域的服务器。跨域策略文件是一个XML文档文件，主要用于设置Web客户端（如Adobe Flash Player等）跨域数据处理的权限。

③站点地图.xml

网站管理员可以通过站点地图告知搜索引擎其网站上的哪些页面可供抓取。最简单的站点地图是一个 XML 文件，其中列出了网站中的 URL 以及有关每个 URL 的其他元数据（上次更新时间、更改频率、相对于网站上其他 URL 的重要性），以便搜索引擎可以更智能地抓取网站。

④Git源代码泄露

Git是一个开源的分布式版本控制系统，在执行git init初始化目录时，会自动在当前目录下创建一个.git目录，用于记录代码修改等。在发布代码时，如果不删除.git目录，直接发布到服务器，攻击者可以利用它恢复源代码。

（2）扫描方式

dirsearch -u 指定 url -e 指定网站语言

② 剑控

2. 密码收集

github.com 

GitHub是全球最大的开源及私有软件项目托管平台，很多企业开发者在将开源代码上传至GitHub时，往往忽视删除密码等敏感信息，导致信息泄露。

3. 谷歌黑客攻击

搜索引擎会提供相应的搜索语法，通过它你可以快速的得到你想要的信息。

推荐搜索引擎：

Bing：bing.com，百度：baidu.com，谷歌：google.com

推荐语法：

Site ：搜索特定网站和网站域名 
Inurl：搜索url含有的关键字 
Intext：搜索网页正文含有的关键字
Filetype：搜索特定文档格式 
Intitle：搜索网站标题含有的关键字 

URL收集器：快速切换搜索引擎，快速获取搜索结果。

7. 端口扫描

通常使用专门的端口扫描工具来收集目标的开放端口、服务、应用程序版本、操作系统、活跃主机等详细信息。

端口扫描流程：存活判断--端口扫描--服务识别

1.端口扫描技术 ①端口探测技术

一般会发送连接建立过程中涉及的相关报文，并根据返回包判断目标端口是否开放。

主流的扫描方法：利用TCP面向连接的三次握手、四次握手过程数据包、UDP面向非连接的请求。

②业务识别技术

识别端口上运行的服务。识别方法有三种：基于端口、基于banner、基于指纹。

基于端口：根据端口上运行的默认服务进行判断。基于banner：根据访问端口得到的欢迎页面进行判断。基于指纹：根据不同系统、服务不同的TCP/IP协议栈进行判断。

三种识别方法的准确率和效率各有不同，实际使用中通常会配合使用。

识别方式  准确率  效率 
基于端口   低   高 
基于banner  中   高 
基于指纹   高      低 

2.收集工具：Nmap（Network Mapper）

Nmap 具有强大的网络信息收集能力，具有主机检测、服务/版本检测、操作系统检测、网络路由跟踪、Nmap 脚本引擎等功能。在 Kali 中，鼠标右键选择“打开终端”即可输入 nmap 和相应参数进行使用。

Nmap图形--Zenmap基本命令格式：

nmap [参数] IP/IP段/主机名

常见扫描参数及说明

-sT 使用TCP连接扫描，对目标主机所有端口进行完整的三次握手，如果成功建立连接则端口是开放的 
-sS 使用半开连接（SYN stealth）扫描，使用SYN标记位的数据包进行端口探测，收到SYN/ACK包则 端口是开放的，收到RST/ACK包则端口是关闭的。 
-sA TCP ACK扫描使用ACK标志位数据包，若目标主机回复RST数据包，则目标端口没有被过滤（用于发现防 火墙的过滤规则）。
-sU 使用UDP数据包经行扫描，返回UDP报文，则端口是开放的；返回不可达则端口处于关闭或过 滤状态
-p 扫描指定的端口 
-F 快速扫描100个常用的端口
-sV 检测服务端软件版本信息 
-O 检测操作系统信息

eg:扫描baidu.com站点指定端口的服务状态

Eg：扫描10.10.10.0网段内存活的主机

例如：检测主机的操作系统

例如：使用 UDP 检测 scanme.nmap.org 的 DNS (53)、SNMP (161) 和 NTP (123) 服务。

8. 网站指纹识别

这里的指纹识别不是指人的指纹等生物特征识别，而是指网站CMS指纹识别、电脑操作系统和Web容器指纹识别等。应用程序文件在html、js、css等文件中会包含一些特征代码，比如WordPress在robot.txt中会包含wp-admin，在首页index.html中会包含generator=wordpress 3.xx，这个特征就是指纹，当其他网站也有这个特征时，就可以快速识别出CMS，这就叫指纹识别。

1.什么是CMS

CMS：内容管理系统。

就像一个模板，管理员填写内容，生成一个网站，以前都是人手管理网站内容，后来CMS方便人们管理网站，会定期更新数据，维护网站。识别的方法就是看应用文件中出现的特征码，这个特征码可以快速识别是哪个CMS，所以叫指纹识别。并不是所有的网站都用CMS，所以这部分起着信息收集的辅助作用。所以CMS指纹识别

在信息收集的过程中，目的并不是收集一些具体的信息，而是看有没有可以利用漏洞的机会。常见的CMS有Dedecms、Discuz、PHPWEB、PHPWind、PHPCMS、ECShop、Dvbbs、SiteWeaver、ASPCMS、Empire、WordPress等。

2.采集工具：whatweb、webroobo等 在线网站：在线指纹识别、在线cms识别插件-在线工具(bugscaner.com) （1）宇鉴网页指纹识别系统

快速识别国内一些主流的CMS，识别不出来可能是因为CMS比较隐藏，这也是一种防御措施。

（2）

（3）

（4）Wappalyzer

Wappalyzer 是基于正则表达式来识别网页应用的，功能是识别单个 URL 的指纹，原理是向指定 URI 发送 HTTP 请求，获取响应头和响应体，并根据指纹规则进行匹配。它也是一个浏览器插件，可以识别网站使用了何种网页技术，可以检测 CMS 和电商系统、留言板、Javascript 框架、托管面板、分析统计工具等一些网页系统。

9.网站漏洞扫描 1.Nessus扫描

提供完善的计算机漏洞扫描服务，随时更新漏洞数据库。Nessus可以在本地或远程控制，进行系统漏洞扫描。Nessue不仅可以扫描网站，还可以扫描主机。Nessue使用8834端口作为后台，本地输入:8834即可跳转到登录后台页面。

例如：扫描

2. Awvs 扫描

AWVS（Acunetix Web 漏洞扫描器）是一款自动化的 Web 应用程序安全测试工具。它可以扫描 HTTP/HTTPS 网站。它可以扫描 SQL 注入、XSS 和其他漏洞。

例如：扫描

2.Nmap扫描 Nmap漏洞扫描是基于脚本的。自动判断使用哪些脚本 --script=vuln

nmap -sV -p --version-all --script vuln ip

10.社会工程学

社会工程学全称社会工程学，最早是由世界著名黑客凯文·米特尼克提出来的，他在《欺骗的艺术》中提到“人”是安全体系中最薄弱的环节。社会工程学技术在安全领域应用广泛，成为安全人员的辅助手段。社会工程学需要收集的信息：项目信息、公司信息、个人信息。可以利用Google、社会工程学数据库、QQ等进行信息收集。

11. 参考文献

-浅谈御剑web指纹识别-CMS指纹识别_GordonSAYC的博客-CSDN博客_御剑web指纹识别
-DNS 记录简介 - 云+社区 - 腾讯云 (tencent.com)
-渗透测试信息收集-CMS指纹识别 - 知乎 (zhihu.com)
-绕过CDN找到真实IP的8种方法 - 知乎 (zhihu.com)
-Web指纹识别的介绍与编写 - 51CTO.COM
-Nmap 漏洞扫描 - 云+社区 - 腾讯云 (tencent.com)

★

付费圈

欢迎来到这个星球！

代码审计+防杀+渗透学习资源+各类数据文档+各类工具+付费会员

进入成员内部群组

Planet最新主题以及Planet内部工具部分演示

关注我们即可获得免费礼物