紅隊攻防之信息收集總結

前言

之前也總結過類似的信息收集相關的文章，但是每隔一段時間理解和手法都會有所不同，本文以hvv或授權但僅提供公司名稱域名等情況下滲透測試的視角總結一些自己最近做信息收集的流程套路。

信息收集

一、初始已知信息

前言中提到的兩種情況，一般初始信息只有公司名稱、個別官網域名、靶標名稱等信息，以此為起點進行信息收集。

二、搜尋根域名

此步驟個人的經驗是，面對大公司優先選擇工信部備案查詢，小公司用搜索引擎做起點，然后幾種方式都可以過一遍，查漏補缺，盡量獲取最全的信息。大部分公司根域名都不會很多，全部過一遍也不會用掉多少時間。

1.搜索引擎

搜索引擎直接搜索其公司名稱，獲取其相關根域名

2.天眼查、企查查

從天眼查、企查查等途徑，輸入公司名，查詢其域名以及全資控股子公司的域名

https://www.qcc.com/

https://www.tianyancha.com/

3.工信部備案

工信部備案查詢域名/ip地址（需要詳細且正確的公司名稱，結果也會很全面）

https://beian.miit.gov.cn/#/Integrated/recordQuery

4.fofa

fofa查詢其公司名稱，獲取相關域名

5.站長之家

使用其icp查詢功能查詢備案，當我們不知道公司完整名稱的時候也可以使用此網站功能使用已知域名查詢完整備案公司名稱

http://icp.chinaz.com/

6.反查域名

用已知的某些ip反查域名

https://dns.aizhan.com/

https://whois.aizhan.com/

三、子域名

在子域名收集這步本人一般不喜歡爆破的方式，子域名爆破比較依賴字典，字典小就收集不全，字典大就很費時間，所以一般優先在各類解析記錄的網站查詢。

1.各類網站查詢解析記錄

以bilibili為例：

https://www.dnsgrep.cn/subdomain/bilibili.com

https://securitytrails.com/list/apex_domain/bilibili.com

類似的網站非常多，這兩個都是免費的，但是第二個要注冊登錄

2.子域名爆破

相關的工具很多，部分掃描器也自帶子域名爆破功能或可安裝相關插件。

subDomainsBrute

https://github.com/lijiejie/subDomainsBrute

3.fofa、shodan

利用這類工具對域名資產進行查詢，如fofa語法domain=”xxx.com”

4.OneForAll

此工具會集成多種方式搜集子域名，包括dns查詢、證書查詢等，詳情見其項目中的readme

安裝

12345
git clone https://github.com/shmilylty/OneForAll.gitcd OneForAll/python3 -m pip install -U pip setuptools wheel -i https://mirrors.aliyun.com/pypi/simple/pip3 install -r requirements.txt -i https://mirrors.aliyun.com/pypi/simple/python3 oneforall.py --help
12
python3 oneforall.py --target example.com runpython3 oneforall.py --targets ./example.txt run

https://github.com/shmilylty/OneForAll

四、ip

ip列表不完全來源于域名解析，有一部分ip是直接使用ip地址提供服務的，需要提前收集這部分信息，另一部分是通過域名解析過來的。

1.各類網站查詢解析記錄

同子域名查詢中的操作，但是需要做的是把ip列表導出

2.解析域名

將所有已收集到的子域名通過腳本批量調用dig或nslookup解析ip

nslookup xxx.com
dig xxx.com @114.114.114.114

編寫腳本批量調用dig命令，導出結果

或將域名列表放在在線解析網站中，導出其解析結果

這個步驟中需要額外關注cdn的情況，繞過cdn尋找其真實ip，可參考這篇文檔

https://github.com/bin-maker/2021CDN

3.c段

將前面已經獲得的ip全部整理好，使用腳本進行排序，懶得寫腳本也可以使用在線的功能

如ip地址排序計算器https://www.jisuan.mobi/p616N6bz3bNb1yPQ.html

得到排序好的ip，可以先自己判斷哪些c段可能屬于目標，再進行一些掃描和訪問，整理更全面的ip列表。

五、端口

使用masscan、nmap等工具對端口信息進行收集

六、web服務

使用webfinder等工具掃描已整理ip列表的web常用端口，導出形如http://xxx.com:port/以及https://xxx.com:port/的web服務列表

指紋識別

1.http://whatweb.bugscaner.com/look/2.https://www.yunsee.cn/

七、漏掃

1.主機掃描

上文整理好的ip列表和域名列表，可以丟入主機掃描相關的掃描器中，如goby、Nessus等

2.web掃描

整理好web服務列表，可以丟入awvs等工具進行掃描，同時可以聯動xray批量掃描