秘密:渗透测试之信息收集那些事

　　秘密:渗透测试之信息收集那些事

　　前言 半年前，有幸读到良神的渗透测试笔记，印象最深的一句话是：“渗透测试的本质是信息采集

”。当时，我还想不通为什么。我一直觉得技术提升比信息采集

重要得多。半年后回头看，技术有一个瓶颈期，至少对绝大多数人来说是这样。最后，你能否拿下目标，很大程度上取决于信息采集

，也可以说取决于你对目标的了解有多全面和深入。

　　1. 采集

什么信息？1、域名信息 域名信息，不得不提到whois查询和备案查询，来回查，直接说目标。需要的是注册商、注册人、邮箱、DNS解析服务器、注册人联系电话、地理位置等，与目标本身密切相关的要素，具体采集方法可以参考我的渗透过程总结文章，以及采集

后的用法在本文第三点有详细说明

　　2.子域关于子域，简单来说，往往对应目标系统的不同业务资产。教育类可能包括教务系统、电子邮件系统、学生在线课程平台、学术信息平台、注册系统等。政府类可能包括OA办公系统、文件存储系统、邮件系统等。可以说采集

的子域越多，对目标的了解就越全面，对目标的运行架构和框架越熟悉，可以测试的资产也就越多

　　3、真实IP 真实IP，它承载的不仅仅是你当初拿到的域名的资产，它的侧站、C段甚至机房的信息都可能给你带来意想不到的惊喜。拿到真实IP后，可以做IP端口信息（开放端口和服务漏洞），指纹信息（中间件版本，历史漏洞），历史解析域名，域名历史解析IP（拓展更多资产）。进一步检测

　　4. 敏感信息目录和文件 对于所有子域，必须采集

其敏感信息、目录和文件，可能包括员工个人信息、waf、登录点、后台、历史未删除页面、物理路径、源代码备份、信息泄露适用于社会工作者

　　5.社工资料

　　社工技能 查看注册网站：0xreg reg007 知道账号，去注册网站找回密码。可以看到加密后的用户名、邮箱、真实姓名等信息。编码信息，从这几个方面判断用户是否已经注册

　　输入帐号以找回密码。如果进入下一步，则该帐户已存在。输入帐号和密码。如果密码错误，说明该用户已经存在。一般网站在注册和填写账号时，都会检查该账号是否已经存在。它会提醒您不能再次注册。知道QQ通过邮箱和账号搜索支付宝、淘宝账号等可能常用的平台。通过微信搜索到腾讯\新浪微博搜索查看空间\相册\地区\星座\生日\昵称（后续构建词典和跨平台合集） 通过聊天、留言、日志找好友加钓鱼\普通好友\ 你可能认识的人

　　知道手机号，搜索QQ、微信、钉钉等社交账号 在一些热门APP和网站上注册或忘记密码，判断是否注册了账号 查看支付宝和交易账号，尝试输入常用的surnames获取名字（转手机号，会提示输入姓氏进行验证）通过对方的职业和兴趣找到该领域的知名社交网站回头查看并使用百度图片识别根据空间、朋友圈等动态识别微博、ins、推特、fb、*敏*感*词*上的照片。搜索相似关键词，按地区、年龄、性别、用户名等筛选。

　　关注社交动态发布时间线 l 什么客户端使用 iPhone Android 或浏览器 l 客户端预制漏洞 注意每个链接/图片/视频链接可能收录

用户IDl 图片可能收录

水印，exif可能有GPS位置和手机手机类型，图片内容特征 l 视频也可能有水印暴露社交账号ID，拍摄地点 l 从最早的新闻发布，会有很大的收获 l 一般得到一个账号的密码就等同于得到其他账号的密码 l普通人不一样 账号的用户名全部相同或相似 l 普通人社交账号的头像都一样 l 尝试破解社保、公积金账户、*敏*感*词*号（出生地、生日、星座、派出所代码）

　　昆虫部落快速搜索文件搜索：

　　https://search.chongbuluo.com/

　　群、群文件、贴吧论坛、目标自用论坛等社交平台 钓鱼和信息泄露（爬邮箱等信息） 邮箱伪造、钓鱼 下载恶意程序、输入敏感信息 大部分信息可用于生成密码字典 对人：说服 对方达成协议，恐吓对方（敏感词、漏洞、病毒、权威机构名称），通过钓鱼获取信息

　　2.用什么工具采集？1.记录工具xmind+excel刚开始渗透的时候，其实我用的是记事本txt。当目标资产很多的时候，相信我，每次重新打开文档，根本就看不到，思路全乱了。所以推荐xmind这款思维导图软件，可以像树状图一样记录整个渗透过程，既方便理清思路，也方便excel实际操作，方便导入域名，端口, 和目录，并去重过滤整合，非常方便

　　2.域名和子域名采集

工具dnsenumdnsenum是一个采集

dns信息的工具。本工具用于通过字典爆破、搜索引擎、whois查询、区域转移等方式获取dns信息，查询网站的主机地址信息（A记录）、域名服务器和邮件往来记录（NS和MX） ，在域名服务器上进行axfr（zone transfer）请求，然后通过google获取扩展域名信息，提取子域名进行查询，当查询到C类地址时，也会做反向域名查询到查找更多域名，使用字典完成DNS爆破（ /usr/share/dnsenum/dns.txt ，这个默认字典可以替换，国内和国外的dns字典还是有区别的）

　　常用方法： 详细方法可以通过dnsenum -h获取。这里只介绍常用的（1）dnsenum A记录和对应多个IP的NS记录。可以判断使用了CDN。MX记录和TXT记录可能是真实IP或C段

　　(2) dnsenum -f /usr/share/dnsenum/dns.txt (dns字典绝对路径) --noreverse (跳过反向查找，节省时间) 读取已知子域名，使用dns字典暴力破解，以及用完更多的子域

　　(3)dnsenum -f /usr/share/dnsenum/dns.txt(dns字典绝对路径) -t 1 --noreverse -ot参数代表超时时间，设置1秒节省时间，-o参数代表输出结果作为文件，用于查看和组织

　　(4)域传输漏洞现在比较少见，第一种方法会自动检测到，注意即可。C类地址和IP块也整理出来，以后扩大信息采集

范围的时候再用nslookup。具体方法可以通过man nslookup获取，这里只介绍常用的。

　　(1) 非交互

　　直接查询域名 nslookup 多个IP可以认为有CDN

　　指定dns服务器 nslookup 8.8.8.8 从国内访问国内网站时，大部分会通过CDN解析，但是如果使用国外的dns服务器，可能会直接获取到真实IP，与不同的dns服务器对比

　　查询特定类型的记录 nslookup -type=mx/ns/soa

　　(2)交互式进入交互模式：直接输入不带任何参数的nslookup命令，然后直接进入交互模式。此时nslookup会连接到默认的域名服务器（/etc/resolv.conf中的第一个dns地址）

　　输入 nslookup-127.0.0.1。要支持选择不同的域名服务器，需要将第一个参数设置为“-”，然后第二个参数设置要连接的域名服务器的主机名或IP地址。例如可以将本机设置为域名服务nslookup-127.0.0.1

　　进入交互模式后：直接输入域名或设置type=a/ns/mx/soa....

　　

" />

　　digdig（域名信息搜索器）命令是一个灵活的查询DNS域名服务器的工具。详细方法可以通过dig -h获取。这里只介绍常用的（1）dig a/mx/ns....（2）dig +trace从根域开始逐步解析出IP地址（3）dig +short是一个简化上面的版本，并直接显示最终结果

　　layer子域挖矿机是一款不错的主动挖矿工具，可以在windows平台下使用，还可以同时检测子域ip，端口，中间件版本，多层子域挖矿

　　各种在线子域名挖掘站点 优点：速度快，dns解析压力小 缺点：不能自定义字典，第三方知道查什么内容，fuzzdomain/dirbuster有时类似layer，但速度比layer快很多，并且支持任意数量的字母数字fuzz，无论是目录扫描，后台扫描，web漏洞fuzzing测试都可以灵活应对，有些目标子域非常规整，用这个比较方便

　　fofa/shodan/zoomeye等资产搜索引擎利用采集

到的信息进入，有时会发现意想不到的域名。一些目标系统除了有中文名称外，还有英文名称和缩写。使用边站和C段查询。可能会有所收获

　　反查操作是根据采集

到的注册人姓名、邮箱、手机号码等信息，检查是否存在其他资产。站长之家、奇查查、github等

　　根据ip反查历史域名，根据域名反查历史注册ip。逆向调查往往是拓宽信息采集

范围的重要手段。在采集

信息的时候，往往是一个采集

越来越多的过程，一个良性循环

　　3.真正的IP海外ping是由于CDN。国内站用国外ping，反之，可能获得真实IP。有些子域名可能因为成本原因没有使用CDN，所以需要尽可能多的采集

子域名，这样才能有效判断真正的ipzoomeye/fofa/shodan 同上面的反向搜索操作一样，可以找到出一批IP，然后识别

　　ip的历史分析和ip域名的历史分析 一般来说，ip和域名总是有变化绑定的历史记录。在已知域名、子域名、ip的情况下，对所有域名和ip进行历史分析查询，经常使用国外。dns，这里就不细说了，详见我的渗透过程总结

　　目标通过邮件订阅、注册、找回密码等方式发送邮件获取ip，让对方服务器给自己发送邮件。电子邮件的源代码和标题信息可能会有用。注意：必须是目标自己的邮件服务器，第三方或者公共邮件服务器没用

　　侧站和C段有一定的防范目标意识，一般分别托管自己的网站。如果有边站或者C段，就显得奇怪了，基本可以认为不是真正的IP

　　浏览器插件DNS Checker，一个非常好用的插件，集成了大量的dns相关查询工具，给个图自己体验一下：

　　拿到真实IP后，进一步采集

端口服务、中间件、侧站、C段的信息。这个项目也比较大。详见我的渗透过程总结。

　　4.敏感信息、目录、文件查询用户注册信息

　　升

　　升

　　升

　　升

　　公共漏洞库

　　国内的

　　升

　　升

　　升

　　升

　　我#/

　　升

　　升

　　

" />

　　升

　　升

　　升

　　升

　　外国的

　　升

　　升

　　升

　　升

　　升

　　升

　　升

　　升

　　升

　　升

　　升

　　源码和文件泄露：敏感 这里只提供思路，github，gitee，gitlab等代码托管平台（目标系统，他们的技术人员github和个人博客也是很重要的线索），搜索引擎hack，网盘文件聚合搜索引擎

　　查找目标相关应用：目标网站APP应用，使用Fiddler或Burp Suite抓取App请求，从中查找目标真实IP等信息

　　七麦数据：通过当前APP查询同一个开发者的应用，获取所有目标APP应用（同一个开发者的应用）

　　AppStore：通过当前APP查询同一个开发者的应用，获取所有目标APP应用（与开发者相同）

　　天眼查、企查查：获取目标公众号、微博、备案站点、软件著作权等，并可联合社工拓展更多资产

　　3、使用信息的思路是什么？1.要追根溯源，必须拿到真实ip。如果能在穿透的最后拿到shell当然是最好不过了。只有拿到的ip是真实ip，shell写的是目标系统，才能拿到重要数据。而且比较大的系统的真实ip往往不是唯一的，甚至可能是完全不同的机房。采集

信息时注意筛选。真实ip扫描出来的端口和banner信息是有用的，但是CDN分发就没有了，能拿到的点数明显少了很多。在获取ip的过程中，要特别注意从ip的历史解析域名和域名的历史解析ip入手。有很多用于扫描全网的dns扫描工具。记录。可以说，信息采集

中最基本最根本的就是找出真正的IP

　　2.延伸信息链 在采集

信息时，注意尽可能地延伸现有的信息链，例如：

　　3. 形成信息采集的良性循环在信息采集的整个过程中，总能发现新的IP和域名，新的IP和域名可以发现新的敏感信息和内容，也可以用来查历史分析而社工，在实际操作的过程中，你会发现采集

的越多，信息网络就越密集，对对象的了解就越全面深入

　　这样，就不能等到所有的信息都采集

完了才开始测试。很多脆弱的资产都有明显的特征，有经验的工程师更容易识别，比如：UI设计比较陈旧，过于简单，框架比较陈旧 页面，页面没有验证码或者验证码没有生命周期，网站松散数据参数过滤，交互信息量大的站点

　　汇总:网页信息采集-网站数据采集方法

　　随着社会的不断发展。人们越来越离不开互联网。今天，小编就为大家盘点一下免费网页信息采集。只需点击几下鼠标，即可轻松抓取数据。无论是导出到excel还是自动发布到网站，都支持。详见图1、2、3、4！

　　业务人员

　　通过抓取动态网页数据分析客户行为拓展新业务，同时通过数据更好地了解竞争对手，分析竞争对手，超越竞争对手。

　　网站工作人员

　　实现自动采集、定时发布、自动SEO优化，让您的网站瞬间拥有强大的内容支撑，快速提升流量和知名度。

　　个人的

　　代替手动复制和粘贴，提高效率并节省更多时间。解决学术研究或生活、工作等数据信息需求，彻底解决没有素材的问题，也告别了手动复制粘贴的痛苦。

　　为什么链接锚文本对 SEO 很重要？

　　链接对于搜索引擎优化非常重要。您需要为您的网站和文章添加内部链接，使您的网站结构清晰，便于搜索抓取网站内容。

　　

" />

　　链接文字帮助搜索引擎理解你的（内部）链接，也提供更多的衍生内容。

　　除了为搜索引擎的链接添加上下文外，链接文本对用户也很重要。锚文本扩展了链接的价值，并告诉他们链接将把他们带到哪里。

　　如何优化锚链接文本？

　　添加链接时，请确保它们与文本的其余部分很好地契合。这样看，如果你试图将一个链接压缩到一个句子中，这个链接可能不属于这个句子。

　　最好将它放在其他地方，以免使您的文字不自然且难以阅读。因此，虽然链接对于 SEO 很重要，但您应该确保它们不会妨碍您要传达的信息和用户的阅读体验。

　　将链接文本与您链接到的内容相匹配

　　编写链接文本的一个好习惯是将链接的文本与您链接到的页面的内容相匹配。

　　当读者看到链接的文字时，如果点击它，则意味着用户想通过锚文本了解更多的衍生和相关内容。

　　什么是 SEO 标题？

　　

" />

　　TDK是缩写，seo页面中的页面描述和关键词设置。

　　其中“T”代表标题标签。同时，标题也是SEO优化中非常重要的优化元素。如果网站在优化过程中没有写title元素，就会造成页面难以被搜索引擎收录。

　　同时，标题对关键词优化也很有帮助。有兴趣的朋友可以看看那些排名比较好的网站的title标签都是关键词设置的。

　　D代表description tag，即description是补充和介绍title标签的意思。

　　其中“K”代表页眉中的keywords元素，提取页面中的主要关键词。但是现在随着搜索引擎的升级，越来越智能，关键词

　　标题、描述、关键词在SEO优化中也被称为“元标签优化”。所以其实meta标签优化和TDK是一样的。

　　如何优化META标签优化？

　　在优化TDK标签之前，我们首先要知道TDK是做什么的？如上图，TD主要是介绍网站的内容，起到提纲的作用。

　　而K一般优化并不重要。随着谷歌算法的不断改进，不再需要关键字标签来了解网页的整体内容。所以暂时先优化一下TD的两个标签。