目录

前面的话

1、收集域名信息

1.1、Whois查询

​编辑1.2、备案信息查询

 2、收集敏感信息

3、收集子域名信息

3.1、子域名检测工具

3.2、搜索引擎枚举

3.3、第三方聚合应用枚举

3.4、证书透明度公开日志枚举

本章小结

---

前面的话

本人喜欢网络完全的一些知识，自学一些。现在写出来和大家一起分享一下，毕竟能力有限，欢迎各位大佬们批评指正，多多提建议。

进行渗透测试之前，最重要的一步就是信息收集，在这个阶段，我们要尽可能地收集目标组织的信息。所谓“知己知彼，百战不殆”，我们越是了解测试目标，测试的工作就越容易。

 在信息收集中，最主要的就是收集服务器的配置信息和网站的敏感信息，其中包括域名及子域名信息、目标网站系统、CMS指纹、目标网站真实IP、开放的端口等。换句话说，只要是与目标网站相关的信息，我们都应该去尽量搜集。

1、收集域名信息

知道目标的域名之后，我们要做的第一件事就是获取域名的注册信息，包括该域名的DNS服务器信息和注册人的联系信息等。域名信息收集的常用方法有以下这几种。

1.1、Whois查询

Whois是一个标准的互联网协议，可用于收集网络注册信息，注册的域名、IP地址等信息。简单来说，Whis就是一个用于查询域名是否已被注册以及注册域名的详细信息的数据库 (如域名所有人、域名注册商)。在Whois查询中，得到注册人的姓名和邮箱信息通常对测试个人站点非常有用，因为我们可以通过搜索引擎和社交网络挖掘出域名所有人的很多信息。对中小站点而言，域名所有人往往就是管理员。

这里本人使用一些成熟的在线查询进行查询。给大家分享本人常用的一个比较优秀的：

站长之家： (http://whois.chinaz.com)

通过这些网站可以查询域名的相关信息，如域名服务商、域名拥有者，以及他们的邮箱、电话、地址等。如下所示：

注册商：Alibaba Cloud Computing (Beijing) Co.,Ltd.
更新时间：2023年01月03日
创建时间：1999年03月11日
过期时间：2024年03月11日 
注册商服务器：grs-whois.hichina.com
DNS：vip3.alidns.comvip4.alidns.com

1.2、备案信息查询

网站备案是根据国家法律法规规定，需要网站的所有者向国家有关部门申请的备案，这是国家信息产业部对网站的一种管理，为了防止在网上从事非法的网站经营活动的发生。主要针对国内网站，如果网站搭建在其他国家，则不需要进行备案。

ICP备案查询网：beian.miit.gov.cn

 2、收集敏感信息

Google是世界上最强的搜索引擎之一，对一位渗透测试者而言，它可能是一款绝佳的黑客工具。我们可以通过构造特殊的关键字语法来搜索互联网上的相关敏感息。下面列举了一些Google的常用语法及其说明。

举个例子，我们尝试搜索一些学校网站的后台，语法为“site: edu.cnintext: 后台管理”，意思是搜索网页正文中含有“后台管理”并且域名后缀是edu.cn的网站，搜索结果如图：

另外，通过Burp Suite的Repeater功能同样可以获取一些服务器的信息，如运行的Server类型及版本、PHP的版本信息等。针对不同的Server，可以利用不同的漏进行测试，如图：

3、收集子域名信息

子域名也就是二级域名，是指顶级域名下的域名。假设我们的目标网络规模比较大，直接从主域入手显然是很不理智的，因为对于这种规模的目标，一般其主域都是重点防护区域，所以不如先进入目标的某个子域，然后再想办法迂回接近真正的目标这无疑是个比较好的选择。那么问题来了，怎样才能尽可能多地搜集目标的高价值子域呢?常用的方法有以下这几种。

3.1、子域名检测工具

用于子域名检测的工具主要有Layer子域名挖掘机、K8、wydomain.Sublist3r、dnsmaper、subDomainsBrute、 Maltego CE等。笔者重点推荐Layer子域名挖掘机、Sublist3r和subDomainsBrute。
Layer子域名挖掘机的使用方法比较简单，在域名对话框中直接输入域名就可以进行扫描，它的显示界面比较细致，有域名、解析IP、CDN列表、Web服务器和网站状态，如图：

 subDomainsBrute的特点是可以用小字典递归地发现三级域名、四级域名甚至五级域名等不容易被探测到的域名。执行该工具的命令如下所示。python subDomainsbrute.py xxxx.comSublist3r也是一个比较常用的工具，它能列举多种资源，如在Google.Yahoo、Bing、Baidu和Ask等搜索引擎中可查到的了域名，还可以列出Netcraft、VirusTotal、ThreatCrowd、DNSdumpster和Reverse DNS查到的子域名。

3.2、搜索引擎枚举

我们可以利用Google语法搜索子域名，例如要搜索百度旗下的子域名就可以使用“site: baidu.com”语法。

3.3、第三方聚合应用枚举

很多第三方服务汇聚了大量DNS数据集，可通过它们检索某个给定域名的子域名。只需在其搜索栏中输入域名，就可检索到相关的域名信息，如图所示：

我们也可以利用
DNSdumpster网站 (https: //dnsdumpster.com/)
在线DNS侦查和搜索的工具挖掘出指定域潜藏的大量子域。

3.4、证书透明度公开日志枚举

证书透明度 (Certificate Transparency，CT) 是证书授权机构 (CA) 的个项目，证书授权机构会将每个SSL/TLS证书发布到公共日志中。一个SSL/TLS证书通常包含域名、子域名和邮件地址，这些也经常成为攻击者非常希望获得的有用信息。找某个域名所属证书的最简单的方法就是使用搜索引擎搜索一些公开的CT日志。

推荐：

crt.sh: https: //crt.sh

censys: https: //censys.io这两个网站

下面展示了一个crt.sh进行子域名枚举的例子。如图所示：

4 收集常用端口信息

在渗透测试的过程中，对端口信息的收集是一个很重要的过程，通过扫描服务器开放的端口以及从该端口判断服务器上存在的服务，就可以对症下药，便于我们渗透目标服务器。
所以在端口渗透信息的收集过程中，我们需要关注常见应用的默认端口和在端口上运行的服务。最常见的扫描工具就是Nmap (具体的使用方法后续章节会详细介绍)，无状态端口扫描工具Masscan、ZMap和御剑高速TCP端口扫描工具，如图：

 常见的端口以及说明：

4.1、文件共享服务端口

 4.2、远程连接服务端口

4.3、Web应用服务端口 

4.4、 数据库服务端口

4.5、邮件服务端口

 4.6、常见网络协议端口

4.7、特殊服务端口

 

本章小结

渗透在收集信息这一步是非常重要的，可能任何一个再微小不过的信息都可能成为渗透的一个关键点。所以一定要耐心沉住气来去发现存在的信息，来帮助我们完成一次次完美的渗透