渗透测试之信息搜集汇总

业务相关信息

• 官网介绍
• 天眼查
• 微信公众号

https://weixin.sogou.com/weixin?type=1&ie=utf8&query=关键字

• 微信 / 支付宝小程序

• 微博

• app开发者(相同开发者其他App)，尽可能使用真实机器安装app进行抓包

• 域名whois，查询域名归属 http://tool.chinaz.com/

• 第三方合作公司

• OA等办公支撑系统平台，开发者公司

• CDN

超级ping
域名解析记录网站查询

• WAF

github identify-waf 工具
sqlmap --identify-waf

• 舆情监控：

相关关键词 ==》 新业务、推出、成立、创建...

• SRC信息分析

覆盖域名/不覆盖域名
上线时间
漏洞提交者排名

• 公司组织分配

母公司/子公司 位置
组织架构
股权分配

业务薄弱点分析

1. 新上线系统
2. 员工使用的内部平台，app等，在可搜索处内搜索员工、内部等关键词
3. 第三方开发平台
4. 商家、合作方等非普通用户使用的平台

主域名查询

• 天眼查知识产权
• 域名备案号定位对应域名

子域名相关信息

• SSL证书

https://opendata.rapid7.com/sonar.ssl/

• DNS解析记录
• 搜索引擎查询

Google 语法 + Bing 查询

• 网络空间测绘工具搜索子域名

*   shodan
*   fofa ==> doamin="xxx.com"
*   censys.io
*   virustotal

• Sublert + Slack 新域名实时监控
• 枚举爆破

关键两点

• 字典质量
• 线程 + 判断执行速度

• github搜索
• 通过客户端抓包或者客户端逆向收集⼦域名（ios,Androidm,Mac,Windows等客户端抓包逆向（不同客户端可能存在不同接⼝))
• DNS域传送漏洞
• 爬虫

ip相关信息

ip归属厂商查询（http://ipwhois.cnnic.cn/index.jsp）

注意点：
    厂商可能有多个网络名称

端口

• ip数量少用nmap
• ip数量多用python + masscan + nmap

masscan扫描遇到waf时，识别出此ip有waf，然后跳过，进行下一步
masscan输出参数，加上输出参数后，检测不到控制台输出，所以把控制台的所有输出全部导出，再筛选

C段

• shodan net:"xxx.xxx.xxx.0/24"
• fofa 某ip的C段资产 ip="xxx.xxx.xxx.xxx/24"
• https://phpinfo.me/bing.php

字典

1. 域名类字典

下载正向DNS解析历史数据和反向DNS解析历史数据，筛选过滤后，做为本地数据库检索

https://opendata.rapid7.com/sonar.fdns_v2/
https://opendata.rapid7.com/sonar.rdns_v2/

2. 目录类字典

3. 可执行脚本类字典

4. 静态资源类字典

公司⼈员信息收集（Github、邮箱、博客、联系⽅式等）

1. Google+Bing

2. Github、码云搜索⽬标员⼯以及关注列表反推

3. 招聘⽹站 员⼯博客

4. 对象公司的技术或者业务分享

收集文档格式问题

1. 表格尽可能集中
2. 条目多的情况要排序，方便查看定位