面对目标的全部信息收集

前言：分享一下有关信息收集方面的操作，如有不正，请大佬轻喷斧正。第一次写文章，思路可能会有点乱，主要目的是分享打点前和打点时如何进行信息收集

总结一下信息收集的全部过程，为什么放在最前面是因为想先将信息收集的框架，从什么地方开始，到收集什么东西，到哪里去收集这些东西，并列出相应的工具。带着思路往下看，也许能记得更牢一点。

从什么地方开始

这一步主要是先明确自己的目标，假如是挖专属src，那么在正文内会标注出漏洞收集的范围。如果是公益src，就看发现的目标是域名还是ip。目标是域名，先从挖掘子域名之类的地方开始，可以使用OneForAll、shuize、在线挖掘工具、网络测绘引擎等。碰到域名可能是CDN的情况，还要想办法找到目标的真实地址，例如邮件、旁站、子域名等。目标是IP，可以眼看IP的C段，若是只有IP找不到归属的情况，可以去ICP备案或者IP反查域名处查找，加入找到域名，可以重复上面的步骤，若是只有IP，可以看logo、查ICON、打点成功后观察有无能证明归属的。网站打点时，路径、js、指纹、敏感信息等尤为重要。爆破路径如：dirsearch、御剑。js：JsFinder。指纹：Ehole、在线指纹探测。敏感信息：例如员工账号、手机号码、github敏感信息等。账号可能在网站页面就已经标出来了，比如说页脚的技术支持人员：123XXXX1234（XX），或是在登录界面时，发现不存在用户、密码错误、账号被冻结的返回包不一样。也可以拿到账号。或是爱企查、whois之类地方拿到的邮箱，扫描时拿到的邮箱，都有可能成为突破口

一般而言，比如收集src的信息又或是攻防演练的信息，能够明确的知道目标的域名，因此先由域名起分享 以domain.com为例

子域名收集

OneForALL

python3 oneforall.py --target domain.com run 可以收集网站url、端口、存活、是否为cdn等进行收集

水泽

可以收集子域名、github敏感信息（需要key）、联和网络测绘引擎（需要key）、自动进行host碰撞，有漏洞验证功能（感觉是图一乐） python3 ShuiZe.py -d domain.com 收集单一的根域名资产 python3 ShuiZe.py --domainFile domain.txt 批量跑根域名列表 python3 ShuiZe.py -c 192.168.1.0,192.168.2.0,192.168.3.0 收集C段资产 python3 ShuiZe.py -f url.txt 对url里的网站漏洞检测 python3 ShuiZe.py --fofaTitle XXX大学 从fofa里收集标题为XXX大学的资产，然后漏洞检测 python3 ShuiZe.py -d domain.com --justInfoGather 1 仅信息收集，不检测漏洞 python3 ShuiZe.py -d domain.com --ksubdomain 0 不调用ksubdomain爆破子域名

在线子域名挖掘工具

优点是无需自己扫描，缺点是根据网站的字典以及探测方式，收集的结果可能有遗漏

网络测绘引擎

使用语法domain="domain.com"或是使用icon查询个人感觉hunter子域名查询有点东西，能找到水泽和OneForAll都没爆破出来子域名以及其他的查询语法，这里就不过多介绍了

微信公众号

可以使用搜狗搜索

IP/C段信息收集

如何找IP和C段不过多赘述，浅谈一下利用方法

水泽

python3 ShuiZe.py -c 192.168.1.0,192.168.2.0,192.168.3.0

Goby

Vscan

漏扫工具，可以探测端口以及漏洞验证并收集网站信息、探测指纹 会对 127.0.0.1 进行http常用端口扫描，扫描完端口后对端口地址进行检测 vscan -host 127.0.0.1

不会对 127.0.0.1 进行端口扫描，而是直接对 http://127.0.0.1:7001 地址进行检测 vscan -host http://127.0.0.1:7001

对 192.168.1.1/24 C段进行端口扫描，扫描完端口后对端口地址进行检测 vscan -host 192.168.1.1/24

对 ips.txt 内的 ip/域名/c段/url地址 进行逐行检测(如果有url地址，则不会进行端口扫描) vscan -l ips.txt

IP反查域名

ICP备案

指纹探测

Ehole

便于收集url的指纹，会有专门有一个重点资产的列表，还可以探测网站存活

Wappalyzer

浏览器插件，用于打点时候的信息收集

ShiroScan & FastJsonScan

burpsuite被动扫描工具，一般放着当不存在好了，等摸完打点没有头绪的时候点进来，说不定有惊喜

敏感信息收集

账号

网站的页脚

一些网站的页脚，有像这样的技术支持的电话号码，像这种很有可能是存活账号

网站的返回

像是本应返回账号或密码错误的地方，但返回的却是详情信息，可以爆破账号拿到存活的账号可以明显看到，没有账号和密码错误和已经账号被锁定的返回是不一样的

whois

一般whois可能会对邮箱进行打码处理，可以尝试使用科学的whois，有可能能拿到有用的email

Exchange

通过脚本爆破账号，在爆破之前需要先去搜集邮箱的命名格式

路径

dirsearch

FindSomething

浏览器插件，可以看到路径和一些js

JsFinder

用来匹对网站中的一些JS接口

御剑目录扫描

网盘

浏览器搜索网盘查询，随便选一个点进去，然后查询是否有放在网盘上的备份包或使用手册资料的

github敏感信息

得看有没有幸运儿上传自己的源码或网址配置了

供应链

之前跟着打hw时学到的，可能讲的不完全正确，主要分享另一种信息收集思路

企业标讯

看中标信息，在里面选择供应链打实际感觉：比较盲目，成功率低，也可能是我姿势不对

模板 or 技术支持

截图只是做个示例，实际打点时可以对这些表明模板或技术支持来源的供应链作为模板

https://www.freebuf.com/articles/network/352235.html