在滲透測試中，我們需要盡可能多的去收集目標的信息，資產探測和信息收集，決定了你發現安全漏洞的幾率有多大。如何最大化的去收集目標范圍，盡可能的收集到子域名及相關域名的信息，這對我們進一步的滲透測試顯得尤為重要。

一、前言

在眾測中，基本上SRC的漏洞收集范圍有如下幾種形式：

形式一：暫時僅限以下系統：www.xxx.com,其他域名不在此次測試范圍內 形式二：只獎勵與*.xxx.com相關的漏洞 形式三：無限制形式一，基本被限定了范圍 形式二，注重于子域名的收集 形式三，子域名及相關域名的收集

另外，隨著企業內部業務的不斷壯大，各種業務平臺和管理系統越來越多，很多單位往往存在著“隱形資產”，這些“隱形資產”通常被管理員所遺忘，長時間無人維護，導致存在較多的已知漏洞。

在滲透測試中，我們需要盡可能多的去收集目標的信息，資產探測和信息收集，決定了你發現安全漏洞的幾率有多大。如何最大化的去收集目標范圍，盡可能的收集到子域名及相關域名的信息，這對我們進一步的滲透測試顯得尤為重要。

在這里，海峽信息白帽子id:Bypass通過介紹一些資產探測和信息收集的技巧，來收集滲透目標的信息。

假設我們只拿到了一個主域名。

二、資產探測

從主域名出發，我們首先需要考慮的是子域名，即*.xxx.com，接下來進行子域名搜集思路的梳理。

2.1 子域名收集

A、搜索引擎查詢

Google、baidu、Bing等傳統搜索引擎 site:baidu.com inurl:baidu.com 搜target.com|公司名字網絡空間安全搜索引擎 zoomeye(鐘馗之眼)：https://www.zoomeye.org shodan：https://www.shodan.io Fofa：https://fofa.so Censys：https://www.censys.io Dnsdb搜索引擎：https://www.dnsdb.ioPS：可編寫Python腳本批量查詢、獲取

B、在線查詢接口

http://tool.chinaz.com/subdomain/ http://i.links.cn/subdomain/ ? ? http://subdomain.chaxun.la/ http://searchdns.netcraft.com/ https://www.virustotal.com/ https://censys.io/ https://x.threatbook.cn/ 微步在線

C、子域名暴力猜解

爆破工具： Layer子域名挖掘機 wydomain：https://github.com/ring04h/wydomain ? ? subDomainsBrute:https://github.com/lijiejie/ Sublist3r:https://github.com/aboul3la/Sublist3r

D、DNS查詢/枚舉

DNS查詢： host -t a domainName host -t mx domainName優點：非常直觀，通過查詢DNS服務器的A記錄、CNAME等，可以準確得到相關信息，較全。 缺點：有很大的局限性，很多DNS是禁止查詢的。 參考：https://www.cnblogs.com/xuanhun/p/3489038.html域傳送漏洞DNS暴力破解：fierce 參考鏈接：http://blog.csdn.net/jeanphorn/article/details/44987549Passive DNS 參考鏈接：http://www.freebuf.com/articles/network/103815.html

E、HTTPS證書

證書頒發機構(CA)必須將他們發布的每個SSL/TLS證書發布到公共日志中。SSL/TLS證書通常包含域名、子域名和電子郵件地址。因此SSL/TLS證書成為了攻擊者的切入點。SSL證書搜索引擎： https://certdb.com/domain/github.com https://crt.sh/?Identity=%%.github.com https://censys.io/基于 HTTPS 證書的子域名收集小程序 ：GetDomainsBySSL.py 參考鏈接：http://www.freebuf.com/articles/network/140738.html

F、綜合搜索

提莫：https://github.com/bit4woo/teemo 主要有三大模塊：搜索引擎 第三方站點 枚舉 利用全網IP掃描http端口 在訪問IP的80或者8080端口的時候，可能會遇到配置了301跳轉的，可以在header里獲取域名信息。 全網掃描結果如下：https://scans.io/study/sonar.http

G、子域名篩選

當收集的子域名數量過大，手動篩選工作量太大，如何快速掃描，半自動的篩選出有效的可能存在漏洞的子域名。 參考鏈接：http://www.52bug.cn/%E9%BB%91%E5%AE%A2%E6%8A%80%E6%9C%AF/3413.html

2.2 相關域名收集：

A、旁站及c段收集

同IP網站及C段查詢 IP反查域名工具：御劍、K8 在線查詢工具： http://www.hackmall.cn/ http://www.webscan.cc/ ?推薦 https://phpinfo.me/bing.php 將C段收集的相關IP，推測該單位所在的IP段，再針對IP段進行服務器端口掃描

B、端口掃描

對1-65535端口掃描，探測Web服務端口

C、主站提取

通過編寫爬蟲，從主站頁面（一般在主頁）獲取相關業務系統 思路是：通過訪問主域名或者子域名，然后爬取頁面上該域名的所有子域名， 然后循環訪問獲取到的子域名，然后再次循環，直到爬完為止跨域策略文件 crossdomain.xml 如：https://www.baidu.com/crossdomain.xml

D、移動端

隨著移動端的興起，很多單位都有自己的移動APP、微信公眾號、支付寶生活號等，這也是值得重點關注的點。

E、行業系統

同行業可能存在類似的系統，甚至于采用同一家廠商的系統，可互做對比 通用：辦公OA、郵件系統、VPN等 醫院：門戶、預約系統、掌上醫院、微信公眾平臺等

三、信息收集

主要是針對單個站點的信息收集技巧，主要圍繞服務器IP、域名、網站。

3.1 服務器IP

A、繞過CDN查找網站真實ip

1、查詢歷史DNS記錄： 查看 IP 與 域名綁定的歷史記錄，可能會存在使用 CDN 前的記錄，相關查詢網站有： https://dnsdb.io/zh-cn/ https://x.threatbook.cn/ http://toolbar.netcraft.com/site_report?url= http://viewdns.info/2、xcdnhttps://github.com/3xp10it/xcdn3、Zmap掃描全網 操作方法：http://bobao.360.cn/learning/detail/211.htmlTips：找到真實ip，綁定host ，是否可以打開目標網站，就是真實IP，對真實IP進行入侵測試，DDOS流量攻擊，CC等等，實現無視CDN防御。

B、識別服務器及中間件類型

遠程操作系統探測 用 NMAP 探測操作系統

C、端口及服務

Nmap ?1-65535端口掃描，探測端口服務

D、查詢IP所在位置

IP地址查詢： http://www.hao7188.com http://www.882667.com

3.2 域名

A、搜索引擎

Google Hacking Google Hacking查找，如site:baidu.com inurl:admin，使用類似語法，獲取網站的敏感信息

B、whois信息/DNS解析

在whois查詢中，獲取注冊人姓名和郵箱、電話信息，可以通過搜索引擎，社交網絡，進一步挖掘出更多域名所有人的信息 DNS服務器 http://whois.chinaz.com https://whois.aliyun.com 域名注冊郵箱，可用于社工或是登錄處的賬號。

3.3 站點

A、robots.txt

網站通過Robots協議告訴搜索引擎哪些頁面可以抓取，哪些頁面不能抓取，可能存在一些敏感路徑。

B、網站架構

網站語言、數據庫，網站框架、組件框架歷史漏洞 常用的網站架構如：LAMP/LNMP PHP框架：ThinkPHP

C、目錄結構/后臺地址

常見的敏感目錄以及文件掃描,這些對以后的突破都可能產生至關重要的作用。 收集的方式有爬蟲采集，目錄掃描 1）使用爬蟲獲取網站目錄結構。如wvs爬蟲功能獲取網站目錄結構。 2）使用目錄猜解工具暴力猜解。如：御劍后臺掃描工具、7kbscan-WebPathBrute

D、敏感文件信息泄露

備份文件、測試文件、Github泄露、SVN源碼泄露

E、web 指紋

云悉在線WEB指紋CMS識別平臺：http://www.yunsee.cn

F、安全防護

安全防護，云waf、硬件waf、主機防護軟件、軟waf

總結

以上是生活随笔為你收集整理的【渗透技巧】资产探测与信息收集的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。