信息收集

一、信息收集

1.1搜索引擎类

1.1.1FOFA

攻防演练的规则都是目标被打进内网或者拿下靶标就退出公共目标，其他攻击方无法再提交该单位的报告，因此最初的打点要越快越好，而第一轮信息收集的质量很大程度上会影响打点的成功率，因此推荐最先通过fofa进行信息收集，因为fofa既可以搜到部分子域名，也可以搜到目标的各种系统，如OA、后台等，而这些系统很容易成为突破口。
常用的：
title=”目标名称” && region=”xx省”
title=”目标名称” && city=”xx市”
cert=”目标域名或者证书关键字” && region=”xx省”
cert=”目标域名或者证书关键字” && city=”xx市”
((title=”目标名称” || host=”目标域名”) &&country=”CN”) && region!=”HK”
需要注意的是fofa语句不是一成不变的，同一个目标单位的查询关键词可能有好几个，同时在信息收集的过程中也可能发现新的关键词，比如备案号、传真、客服电话等，这些东西往往是唯一的。搜索别人没有搜的关键词就可能发现别人没发现的资产，就可能拿到别人没拿到的shell，需要灵活运用。
附：FOFA会员参考价：普通会员300永久/高级会员1000永久/企业会员3W起每月

1.1.2、（钟馗之眼）

https://www.zoomeye.org/

指定搜索的组件： app：组件名称 ver：组件版本 例：搜索 apache组件版本2.4：app:apache ver:2.4指定搜索的端口： port:22 指定搜索的操作系统： OS:Linux指定搜索的服务： service：服务名称 例：service：SSH 指定搜索的地理位置范围： country：国家名、city:城市名指定搜索的CIDR网段： cidr:网段 例：CIDR:192.168.158.12/24指定网站域名进行搜索： Site:网站域名 例：site:www.baidu.com指定主机名： Hostname:主机名 例：hostname:zwl.cuit.edu.cn指定设备名： device:设备名 例：device:router

1.1.3、Shodan

网址：https://www.shodan.io/

1.shodan搜索webcam

在explore搜索框中输入webcam进行搜索。

2.shodan搜索指定端口
通过port制定具体端口。

3.shodan搜索指定ip地址
通过关键字host指定具体ip地址。例如：host:xx.xx.xx.xx 指定探测ip地址主机信息。
4.shodan搜索具体城市
利用city:城市名指定搜索具体城市的内容。例如：city:hangzhou port:22

1.1.4、微步在线

https://x.threatbook.cn/

输入IP，域名，邮箱搜索相关资产信息。

1.1.5、github敏感信息泄漏

https://github.com/

Github之邮件配置信息泄露

site:Github.comsmtp
site:Github.comsmtp <span class="label label-primary">@qq.com#CTL{n}site</span>:Github.comsmtp <span class="label label-primary">@126.com#CTL{n}site</span>:Github.comsmtp <span class="label label-primary">@163.com#CTL{n}site</span>:Github.comsmtp <span class="label label-primary">@sina.com.cn#CTL{n}site</span>:Github.comsmtp password
site:Github.comString password smtp

Github之数据库信息泄露

site:Github.com sapassword
site:Github.comroot password
site:Github.comUser ID=’sa’;Password

Github之svn信息泄露

site:Github.comsvn
site:Github.comsvn username
site:Github.comsvn password
site:Github.comsvn username password

Github之数据库备份文件

site:Github.cominurl:sql

Github之综合信息泄露

site:Github.compassword
site:Github.comftp ftppassword
site:Github.com 密码
site:Github.com 内部
1.2判断CDN
直接ping目标域名可判断是否有CDN
ping主域
如果是www开头的域名存在CDN，可以把www.去掉再ping，可能得到真实IP
通过网站证书寻找真实IP
此方法适用于https的站点
首先获得网站证书序列号（不要挂代理）
转换成十进制 https://tool.lu/hexconvert/
fofa语法 cert：cert=”google” 搜索证书(https或者imaps等)中带有google的资产。
搜索 cert=”34854334815482420686509548370” 第一个就是真实IP
1.3端口
nmap扫得比较慢但较准确，这里给2条命令
nmap -sS -v -sV -p 1-65535 IP # ping目标有回复时
nmap -sS -v -sV -p 1-65535 -Pn IP # ping目标没有回复时
可以在阿里云的vps上装nmap，用它来扫端口，一般1个IP全端口3-5分钟扫完
nmap扫得慢的话可以用masscan
masscan -p 1-65535 —rate 1000 IP
1.4C段
获得目标真实IP后可以百度该IP看是不是云上资产
如果是阿里云或者腾讯云等云上资产的话扫C段容易出现扫C段扫出一大片东西，然而没有一个是目标资产的情况。不是云上资产的话就正常扫C段就可以。
1.5天眼查
天眼查、企查查等查企业的软件也是非常重要的信息收集途径，每次攻防演练的目标名单中总有各种公司，有国企也有私企，其中的小型民营企业相比其他的政府、大型互联网企业、金融、电力等目标要好打得多。