之前也总结过类似的信息收集相关的文章,但是每隔一段时间理解和手法都会有所不同,本文以hvv或授权但仅提供公司名称域名等情况下渗透测试的视角总结一些自己最近做信息收集的流程套路。
前言中提到的两种情况,一般初始信息只有公司名称、个别官网域名、靶标名称等信息,以此为起点进行信息收集。
此步骤个人的经验是,面对大公司优先选择工信部备案查询,小公司用搜索引擎做起点,然后几种方式都可以过一遍,查漏补缺,尽量获取最全的信息。大部分公司根域名都不会很多,全部过一遍也不会用掉多少时间。
搜索引擎直接搜索其公司名称,获取其相关根域名
从天眼查、企查查等途径,输入公司名,查询其域名以及全资控股子公司的域名
https://www.qcc.com/
https://www.tianyancha.com/
工信部备案查询域名/ip地址(需要详细且正确的公司名称,结果也会很全面)
https://beian.miit.gov.cn/#/Integrated/recordQuery
fofa查询其公司名称,获取相关域名
使用其icp查询功能查询备案,当我们不知道公司完整名称的时候也可以使用此网站功能使用已知域名查询完整备案公司名称
http://icp.chinaz.com/
用已知的某些ip反查域名
https://dns.aizhan.com/
https://whois.aizhan.com/
在子域名收集这步本人一般不喜欢爆破的方式,子域名爆破比较依赖字典,字典小就收集不全,字典大就很费时间,所以一般优先在各类解析记录的网站查询。
以bilibili为例:
https://www.dnsgrep.cn/subdomain/bilibili.com
https://securitytrails.com/list/apex_domain/bilibili.com
类似的网站非常多,这两个都是免费的,但是第二个要注册登录
相关的工具很多,部分扫描器也自带子域名爆破功能或可安装相关插件。
subDomainsBrute
https://github.com/lijiejie/subDomainsBrute
利用这类工具对域名资产进行查询,如
fofa语法domain=”xxx.com”
此工具会集成多种方式搜集子域名,包括dns查询、证书查询等,详情见其项目中的readme
安装
1 |
|
1 |
|
https://github.com/shmilylty/OneForAll
ip列表不完全来源于域名解析,有一部分ip是直接使用ip地址提供服务的,需要提前收集这部分信息,另一部分是通过域名解析过来的。
同子域名查询中的操作,但是需要做的是把ip列表导出
将所有已收集到的子域名通过脚本批量调用dig或nslookup解析ip
1 |
|
编写脚本批量调用dig命令,导出结果
或将域名列表放在在线解析网站中,导出其解析结果
这个步骤中需要额外关注cdn的情况,绕过cdn寻找其真实ip,可参考这篇文档
https://github.com/bin-maker/2021CDN
将前面已经获得的ip全部整理好,使用脚本进行排序,懒得写脚本也可以使用在线的功能
如ip地址排序计算器
https://www.jisuan.mobi/p616N6bz3bNb1yPQ.html
得到排序好的ip,可以先自己判断哪些c段可能属于目标,再进行一些扫描和访问,整理更全面的ip列表。
使用masscan、nmap等工具对端口信息进行收集
使用webfinder等工具扫描已整理ip列表的web常用端口,导出形如http://xxx.com:port/以及https://xxx.com:port/的web服务列表
1.http://whatweb.bugscaner.com/look/
2.https://www.yunsee.cn/
上文整理好的ip列表和域名列表,可以丢入主机扫描相关的扫描器中,如goby、Nessus等
整理好web服务列表,可以丢入awvs等工具进行扫描,同时可以联动xray批量扫描
作者:Leticia's Blog ,详情点击阅读原文。
如有侵权,请联系删除
推荐阅读
学习更多技术,关注我:
觉得文章不错给点个‘再看’吧