信息收集

域名信息

whois

Whois 可以查询域名是否被注册，以及注册域名的详细信息的数据库，其中可能会存在一些有用的信息，例如域名所有人、域名注册商、邮箱等。

搜索引擎搜索

搜索引擎通常会记录域名信息，可以通过 site: domain 的语法来查询。

一些常用的搜索引擎语法

语法	语法说明	示例	示例说明
filetype	搜索某一种文件类型的资源	C++ filetype:pdf	搜索类型为pdf的C++网页资源
site	在指定站点搜索	C++ site:https://www.zhihu.com	在知乎中搜索和C++相关的网页
inurl	搜索查询词出现在url 中的页面	inurl:admin	搜索链接url中有admin的网页
intitle	搜索查询词出现在页面标题(title)中的页面，支持中文和英文	intitle:后台管理	搜索页面标题中有后台管理的网页
intext	搜索查询词出现在页面正文(title)中的页面，支持中文和英文	SEO intext:搜索引擎	在正文包含【搜索引擎】的网页中搜索【SEO】

示例

找到一些网站后台

第三方查询

市面上有很多第三方查询网站

• DNSDumpster

• Virustotal

• CrtSearch

• threatminer

• Censys

  还有国内的各种第三方如站长之家等

域名相关性

同一个企业/个人注册的多个域名通常具有一定的相关性，例如使用了同一个邮箱来注册、使用了同一个备案、同一个负责人来注册等，可以使用这种方式来查找关联的域名。

• 查询域名注册邮箱
• 通过域名查询备案号
• 通过备案号查询域名
• 反查注册邮箱
• 反查注册人
• 通过注册人查询到的域名在查询邮箱
• 通过上一步邮箱去查询域名
• 查询以上获取出的域名的子域名

网站信息

网站中有相当多的信息，网站本身、各项安全策略、设置等都可能暴露出一些信息。

网站本身的交互通常不囿于单个域名，会和其他子域交互。对于这种情况，可以通过爬取网站，收集站点中的其他子域信息。这些信息通常出现在JavaScript文件、资源文件链接等位置。

网站的安全策略如跨域策略、CSP规则等通常也包含相关域名的信息。有时候多个域名为了方便会使用同一个SSL/TLS证书，因此有时可通过证书来获取相关域名信息。

CDN

可通过多地ping的方式确定目标是否使用了CDN，常用网站http://ping.chinaz.com/

一般使用了CDN的域名的父域或者子域名不一定使用了CDN，可以通过这种方式去查找对应的IP。另外CDN可能是在网站上线一段时间后才使用的，可以通过查找域名解析记录的方式去查找真实IP。

通过社会工程学的方式进行邮件沟通，从邮件头中获取IP地址，IP地址可能是网站的真实IP或者是目标的出口IP。

域名枚举

通过批量尝试的方式，找到有效的子域名。工具很多，这里不作推荐。

端口信息

常见端口脆弱点

端口	服务	可能存在的风险威胁
21	ftp	是否支持匿名/弱口令
22	ssh	存在漏洞可枚举用户名，爆破密码
23	telent	爆破密码，嗅探抓取明文密码
25	smtp	伪造发件人
80	web	常见web漏洞/web管理后台弱口令
443	Openssl	心脏滴血以及一些web漏洞测试
445	SMB	win文件共享
873	rsync	是否支持匿名/弱口令
2601/2604	zebra路由	默认口令
3306	mysql	弱密码,日志写WebShell,UDF提权,MOF提权
3690	svn	svn泄露/未授权访问
6379	redis	一般无认证，可直接访问
7001	weblogic	默认弱口令
8061/8161	ActiveMQ	弱口令/远程命令执行
8080	tomcat	弱口令/默认口令
8089	jboss	未授权访问/弱口令
8649	ganglia	信息泄漏
8888	宝塔	未授权等多个漏洞
11211	memcache	未授权访问
27017	mongodb	未授权访问

除此列出的端口之外，还有很多。

端口扫描

最常用的工具就是nmap。

要搜集开放固定端口的系统可以使用资产搜索引擎使用port语法获取互联网上大量的系统,各种网络空间测绘网站fofa、shodan、zoomeye、鹰图。

站点信息

判断网站操作系统、扫敏感文件、网站采用的语言、后端框架、前端框架、中间服务器、web容器服务器、敏感目录、有无WAF等等信息。

社会工程学

企业信息、人员信息、钓鱼等