实战中的快速“踩点” ----信息收集的常见姿势

引子
无论在何时，信息收集都是渗透测试的“核心灵魂”！如果我们对一个目标、一个网站没有一个大致结构的把控，无论你是挖SRC还是正在处于HW红队，都将对我们后续的漏洞挖掘和利用产生非常不利的影响。说白了信息收集就是暴露目标的资产，从而扩大我们的攻击面！

网站的架构
一个网站如果可以正常的运行，一定要有以下几个要素

这些要素可以使网站得以正常的运行，这也是我们做信息收集工作必须要收集的

被动信息收集
信息收集一般分为主动信息收集与被动信息收集。两者的区别在于是否与目标主机进行交互。一般来说，被动信息收集一般使用特殊的搜索引擎还有一些被动信息收集工具，尽可能减少和目标的交互，达到隐藏自身的目的。

通过我多次从实战中总结的经验来看，我把被动信息收集简要说成“6平台+1语 法”！

语法——Google搜索语法
总所周知，Google作为世界上最大的搜索引擎，深受广大网民的喜爱！但是，在渗透测试工作人员眼中，Google所特有的语法成为我们寻找一些隐藏的“漏洞”的神兵利器！
大家要想系统的学习Google的语法可以看一下exploit-db网站：https://www.exploit-db.com/

这个是国内外众多网络安全从业人员经常光顾的网站之一，大家没事也可以多看一看！
在这里，我向大家展示在渗透实战中常见的Google语法，希望对大家有所帮助！

1.查询某网站后台：
site:xxx.com intext:管理
site:xxx.com inurl:login/admin
site:xxx.com intitle:后台
2.查询网站敏感文件：site:xxx.com filetype:文件的格式

当我们拿到一个目标，如何对其进行被动信息收集呢？我们将用六个平台的联合使
用给大家一一介绍！

https://beian.miit.gov.cn/ // 域名备案查询
https://tool.chinaz.com/ //站长工具
https://www.tianyancha.com/ //天眼查
https://fofa.info/ //FOFA网络空间搜索引擎
https://www.shodan.io/ //Shodan
https://hunter.qianxin.com/ //鹰图平台

一般来说，不管是红队还是挖SRC，我们都会拿到目标网站的一个域名或者是名字，最直接的办法是通过百度查询官网
接下来，就是对资产的一些收集了
1.针对企业资产架构梳理
天眼查 网址：https://www.tianyancha.com/

天眼查拥有丰富全面的数据库，可以对企业的一些资产，包括有没有子公司进行全面的梳理，当然有的需要会员支持，小伙伴可以去冲一个哟！嘻嘻嘻

2.对于IP，网站whois信息的检索
站长工具 网址：https://tool.chinaz.com/

站长工具提供对域名比较全面的资产检测，包括whois、ip查询
whois查询

ip检测

这样可以对目标域名整体的资产有一个明确的把握，梳理出我们想要的信息！

3.对于域名备案的查找
由于相关法规的出台，很多网站必须通过备案才能注册。所以有一些资产可以通过备案号进行查找
域名备案查询：https://beian.miit.gov.cn/

4.网络空间资产搜索
一个网站的端口、协议、中间件，其实都属于网络空间资产。我们可以通过网络空间搜索引擎去查找，甚至有的可以直接检测到漏洞哟！

FOFA网络空间搜索引擎
网址： https://fofa.info/

fofa内置的也有很多语法，但是都可以看得到，不用大家去特殊记！

fofa的非会员是可以查询100条，高级会员可以查看1000条，但是比较贵，希望大家可以去众筹一个账号，这样就可以使用到fofa的强大之处啦！
这里额外推荐大家使用狼组安全团队的小工具—-fofa_viewer
github：https://github.com/wgpsec/fofa_viewer

有兴趣大家可以使用哟！

Shodan黑暗搜索引擎
网址：https://www.shodan.io/

shodan的强大之处在于它额外还可以搜索到摄像头等物理设备，可以更好的为我们提供攻击面！有时候摄像头的利用往往会出奇制胜哟！

鹰图平台
可以说是我最喜欢的搜索引擎！！！
地址：https://hunter.qianxin.com/

主动信息收集
主动信息收集的特点就是我们利用工具和目标进行交互，获得一些我们想要的敏感数据

1.快速端口扫描组合——masscan+nmap大法
masscan扫描开放端口，nmap扫描服务，堪称完美！yyds！！！
masscan扫出开放的端口
masscan ip -p 1-65535 –rate=1000 —open-only
需要注意的是 –rate别太大容易被封ip，根据具体环境调节，越大越快
nmap扫描端口详情
nmap -p x,y,z (masscan扫出来的端口) -sC -sV -oA all_ports ip

2.扫描网站框架——Zaproxy
下载地址：https://www.zaproxy.org/download/
它是kali自带的一款针对web应用程序漏洞扫描的软件，说实话，它的爬虫功能远远比漏扫功能更加强大！深受红队人员的青睐！

3.快速网络资产渗透集成化工具——- gorailgun 红队人员的最爱！
GitHub：https://github.com/lz520520/railgun

这款工具不仅可以实现网络资产的全方位扫描，更可以实现简单的漏洞扫描、爆破等功能，在红队实战
中可谓是神兵利器！
其他的信息收集无外乎大同小异，在这里就不一一举例了！