渗透测试信息搜集全面指南

0X00 前言

渗透测试按照PETS执行标准分为7个阶段，信息搜集阶段在其中占有很大比重。本指南将详细介绍渗透测试中的信息搜集技术和方法。

0X01 信息搜集关注点

核心关注要素

Whois信息
真实IP地址
子域名
开放端口及服务
高关联度目标
企业备案信息
企业资料
历史漏洞记录
员工邮箱

0X02 Whois和子域名搜集

Whois查询工具

Kali Linux内置工具：whois, dnsenum, dig, host, dnsdict6, fierce, dmitry
在线查询网站

子域名搜集方法

Google Hacking语法采集
暴力猜解
基于HTTPS证书
DNS查询
域传送漏洞利用
crossdomain.xml文件分析

补充搜集渠道

ICP备案查询：http://www.beianbeian.com
App中隐藏的子域名
威胁情报平台中的子域名
第三方服务中的子域名

0X03 端口和服务扫描

Nmap基础扫描命令

nmap -sT -P0 -sV -O --script=banner -p T:21-25,80-89,110,143,443,513,873,1080,1433,1521,1158,3306-3308,3389,3690,5900,6379,7001,8000-8090,9000,9418,27017-27019,50060,111,11211,2049

Nmap漏洞扫描配置

下载并安装vulscan脚本：

cd /usr/share/nmap/scripts/
wget http://www.computec.ch/projekte/..._vulscan-2.0.tar.gz && tar xzf nmap_nse_vulscan-2.0.tar.gz

常用漏洞扫描命令：

nmap -sS -sV --script=vulscan/vulscan.nse target
nmap -sS -sV --script=vulscan/vulscan.nse --script-args vulscandb=scipvuldb.csv target
nmap -sS -sV --script=vulscan/vulscan.nse --script-args vulscandb=scipvuldb.csv -p80 target
nmap -PN -sS -sV --script=vulscan --script-args vulscancorrelation=1 -p80 target
nmap -sV --script=vuln target
nmap -PN -sS -sV --script=all --script-args vulscancorrelation=1 target

0X04 GitHub和SVN信息搜集

GitHub搜索技巧

使用高级搜索语法
查找敏感信息、API密钥、数据库凭证等
参考资源：
- http://www.freebuf.com/sectool/107996.html
- http://www.2cto.com/article/201407/318742.html
- http://www.myhack58.com/Article/html/3/7/2015/69241.htm

BBscan工具

用于敏感信息及文件扫描

0X05 绕过CDN获取真实IP

1. 验证CDN存在

使用多地ping服务检查IP一致性
不一致的IP可能表明存在CDN

2. 获取真实IP的方法

直接ping根域名：
```
ping example.com
```
而非www.example.com，因为可能只有主站使用CDN
检查分站域名：
- 分站可能未使用CDN
- 使用ZoomEye.org, Shodan.io, Fofa.so, 微步在线等平台
国外访问：
- 通过国外代理或DNS解析可能绕过国内CDN
MX记录和邮件服务：
- 查询MX记录通常位于同一C段
- 通过注册验证邮件、RSS订阅邮件等获取服务器IP
XSS漏洞利用：
- 让服务器主动连接以暴露真实IP
查找phpinfo等探针：
- 服务器信息页面可能暴露真实IP
DoS/DDoS攻击：
- 耗尽CDN流量使服务回源
社会工程学：
- 联系CDN客服或通过域名注册信息获取线索
历史记录查询：
- 使用http://www.17ce.com
- 使用toolbar.netcraft.com/site_report?url=
DNS社工库：
- 查询历史DNS解析记录
Cloudflare特定方法：
- 参考http://www.freebuf.com/articles/web/41533.html
全网扫描：
- 使用Zmap等工具进行全网扫描

0X06 企业资料搜集

详细企业信息查询方法

工商注册信息查询
企业信用信息公示系统
第三方企业信息平台

0X07 历史漏洞查询

主要资源

乌云镜像(nosec.org)
补天漏洞平台
其他历史漏洞存档站点

注意：nosec.org需要基础版权限，可通过提交威胁情报获取使用时间

0X08 社工库资源

可用社工库

S.70sec.org
Findmima.com

0X09 总结

本指南涵盖了渗透测试信息搜集阶段的主要技术和方法，包括从基础查询到高级技巧的全面内容。实际应用中应根据目标特点灵活组合使用这些方法。

渗透测试信息搜集全面指南 0X00 前言渗透测试按照PETS执行标准分为7个阶段，信息搜集阶段在其中占有很大比重。本指南将详细介绍渗透测试中的信息搜集技术和方法。 0X01 信息搜集关注点核心关注要素 Whois信息真实IP地址子域名开放端口及服务高关联度目标企业备案信息企业资料历史漏洞记录员工邮箱 0X02 Whois和子域名搜集 Whois查询工具 Kali Linux内置工具：whois, dnsenum, dig, host, dnsdict6, fierce, dmitry 在线查询网站子域名搜集方法 Google Hacking语法采集暴力猜解基于HTTPS证书 DNS查询域传送漏洞利用 crossdomain.xml文件分析补充搜集渠道 ICP备案查询：http://www.beianbeian.com App中隐藏的子域名威胁情报平台中的子域名第三方服务中的子域名 0X03 端口和服务扫描 Nmap基础扫描命令 Nmap漏洞扫描配置下载并安装vulscan脚本：常用漏洞扫描命令： 0X04 GitHub和SVN信息搜集 GitHub搜索技巧使用高级搜索语法查找敏感信息、API密钥、数据库凭证等参考资源： http://www.freebuf.com/sectool/107996.html http://www.2cto.com/article/201407/318742.html http://www.myhack58.com/Article/html/3/7/2015/69241.htm BBscan工具用于敏感信息及文件扫描 0X05 绕过CDN获取真实IP 1. 验证CDN存在使用多地ping服务检查IP一致性不一致的IP可能表明存在CDN 2. 获取真实IP的方法直接ping根域名：而非www.example.com，因为可能只有主站使用CDN 检查分站域名：分站可能未使用CDN 使用ZoomEye.org, Shodan.io, Fofa.so, 微步在线等平台国外访问：通过国外代理或DNS解析可能绕过国内CDN MX记录和邮件服务：查询MX记录通常位于同一C段通过注册验证邮件、RSS订阅邮件等获取服务器IP XSS漏洞利用：让服务器主动连接以暴露真实IP 查找phpinfo等探针：服务器信息页面可能暴露真实IP DoS/DDoS攻击：耗尽CDN流量使服务回源社会工程学：联系CDN客服或通过域名注册信息获取线索历史记录查询：使用http://www.17ce.com 使用toolbar.netcraft.com/site_ report?url= DNS社工库：查询历史DNS解析记录 Cloudflare特定方法：参考http://www.freebuf.com/articles/web/41533.html 全网扫描：使用Zmap等工具进行全网扫描 0X06 企业资料搜集详细企业信息查询方法工商注册信息查询企业信用信息公示系统第三方企业信息平台 0X07 历史漏洞查询主要资源乌云镜像(nosec.org) 补天漏洞平台其他历史漏洞存档站点注意：nosec.org需要基础版权限，可通过提交威胁情报获取使用时间 0X08 社工库资源可用社工库 S.70sec.org Findmima.com 0X09 总结本指南涵盖了渗透测试信息搜集阶段的主要技术和方法，包括从基础查询到高级技巧的全面内容。实际应用中应根据目标特点灵活组合使用这些方法。