拿到一个目标,不考虑钓鱼的情况下。如果正常从web入手,至少需要收集以下的信息。
1、公司的域名
2、公司的子域名
3、全资子公司(可能从下级单位打上去)
4、公司的ip信息(大公司可以直接跑C段)
一般经过上面的收集以后,我们能够获取到一系列的ip,域名信息。此时需要针对这些进行排除(比如说云上的资产等或者存在cdn的资产)
当我们拿到了一系列的ip和域名以后,对于已经确定的ip,需要进行至少以下的信息收集
1、ip是否为真实ip
2、ip开启了哪些端口,可能存在哪些漏洞
对于web,至少需要收集框架,路径,登录接口,js中的敏感信息,网站中间件,服务器操作系统等
直接百度公司,看看有无官网,官网一般是主域名
查看天眼查,企查查,域名备案等获取主域名
利用whois查询,whois反查获取域名相关信息
利用app查询公司的域名(需要抓包、反编译)
利用股权穿刺图查看公司的子公司域名
http://whois.chinaz.com/ //whois查询
https://beian.miit.gov.cn/ // 域名备案查询
http://icp.chinaz.com/ //站长工具
https://www.tianyancha.com/ //天眼查
https://www.qcc.com/ //企查查 (建议用企查查而不是天眼查)
https://www.qixin.com/ //启信宝
https://hunter.qianxin.com/ hunter资产收集
whois查询 http://whois.chinaz.com/
这个一般不需要手动去查,工具中会集成
https://beian.miit.gov.cn/ 域名备案查询 IPC备案
这是收集域名最主要的方式
然后我们想要挖一些大厂的src,就可以多关注新注册域名下的业务有没有漏洞之类的,这样会稍微容易一点
这个功能一般都不会集成到工具中
https://www.qcc.com/ 企查查
一般我们的目标都有许多子公司,企查查可以在所属集团中查看该集团下子公司,并且可以导出。
查看同电话企业基本都是子公司。
查看股份穿透图,一般来说控股超过50%的子公司的漏洞SRC收录的可能性都比较大。
查看企业下的app、小程序、还有品牌的资产,直接在搜索引擎里搜索品牌可能会有意想不到的收获。(找到一些平常收集不到的资产)
查看备案网站
可以一键导出数据,方便我们去跑这些网站
其他需要关注的点:股份穿透图、电话(同电话企业)、邮箱后缀(在企查查搜索框中搜)
hunter资产收集 https://hunter.qianxin.com/
和fofa差不多
SSL证书扩展,SSL/TLS证书通常包含域名、子域名和邮件地址等信息
目标官网公示组织架构
子域名,凡顶级域名前加前缀的都是该顶级域名的子域名,子域名根据技术的多少分为二级子域名,三级子域名,多级子域名。子域名是某个主域的二级域名或多级域名,在防御措施
严密情况下无法直接拿下主域,那么就可以采用迂回战术拿下子域名。
https://github.com/shmilylty/OneForAll
一般都只用这一个 oneForAll
可以修改api的配置
收集的信息更全
这个探测比Layer厉害很多(应该吧,哈),这个可以通过API收集,也可以通过爆破(一般小公司可以把爆破打开,如果是大公司就是API收集即可)
也可以进行端口扫描
使用Eeyes对OneForAll收集到的subdomain数据进行处理,获取其中真实IP并整理成c段
域名转化为ip,同时能够将C段整理出来。
https://github.com/EdgeSecurityTeam/Eeyes
.\Eeyes.exe -l yuming.txt
可以先看没有CDN的资产(一般不太需要去强行绕过CDN)
因为 CDN 的原因,国内的站用国外 ping,反之亦然,可能获取真实 IP。
有些子域名可能由于成本的原因没有用 CDN,所以要尽可能的多收集子域名,从而有效判断真实 ip。
有一定防范意识的目标,一般都会将自己的 web 单独托管,如果有旁站或 C 段看起来比较奇怪,基本也可以认为不是真实 IP。
之后可以尝试扫描一下c段,因为有ehole能够直接整理出重点资产,比较方便。 推荐的扫描工具。
https://github.com/shadow1ng/fscan
https://github.com/Adminisme/ServerScan
https://github.com/EdgeSecurityTeam/EHole
这里可能会存在一些cdn,需要真实ip的可能。
当确定了目标大概的ip段后,可以先对ip的开放端口进行探测,一些特定服务可能
开起在默认端口上,探测开放端口有利于快速收集目标资产,找到目标网站的其他功能站点。
• https://github.com/shadow1ng/fscan
• https://github.com/Adminisme/ServerScan
御剑高速端口扫描工具
namp扫描有点慢
网络资产测绘
目前网络上比较知名的网络空间检索平台有白帽汇的 fofa、360的 quake、知道创宇的 zoomeye、安恒的 sumap、奇安信的 hunter、以及国外的 shodan。
• https://fofa.info/
• https://www.zoomeye.org/
• https://quake.360.cn/quake/welcome#/
• https://hunter.qianxin.com/
常见的工具有 Fofa_Viewer、FofaX、Kunyu,其中 Fofa_Viewer 为图形化界面,
使用友好,
• https://github.com/wgpsec/fofa_viewer
