信息收集

whois信息

站长之家：http://whois.chinaz.com/
国外的who.is：https://who.is/
爱站：https://whois.aizhan.com/
微步：https://x.threatbook.cn/

查企业的备案信息

​ 天眼查：https://www.tianyancha.com/
​ ICP备案查询网：http://www.beianbeian.com/
​ 国家企业信用信息公示系统：http://www.gsxt.gov.cn/index.html

子域名

​ Google语法
​ site:www.xxx.com
​ Google还支持额外的减号运算符，以排除我们对“网站:wikimedia.org -www -store
​ 基于SSL证书查询
​ https://crt.sh/
​ https://censys.io/
​ https://developers.facebook.com/tools/ct
​ 简单的在线子域名收集
​ https://phpinfo.me/domain/
​ http://i.links.cn/subdomain/
​ 爆破枚举
​ （1）layer子域名挖掘机
​ （2）subDomainsBrute
​ （3）K8
​ （4）orangescan
​ （5）DNSRecon
​ 在https://github.com/ 上也可以搜索子域名

IP段的收集
http://ipwhois.cnnic.net.cn/

开放端口探测
（1）通过让服务器给你发邮件(看邮箱头源 ip )找真实 ip（最可靠）。
（2）通过 zmpap 全网爆破查询真实 ip（可靠）。
（3）通过查询域名历史 ip，http://toolbar.netcraft.com （借鉴）。
nmap -T4 -sT -p- -sV ip
常见端口
21 FTP 主要看是否支持匿名，也可跑弱口令
22 SSH 弱口令爆破
23 telnet 弱口令爆破
53 dns
80-90 WEB 常见WEB漏洞以及一些为管理后台
161 snmp public弱口令
389 ldap 是否为匿名访问
443 openssl 心脏出血以及一些WEB漏洞测试
445 smb 跑弱口令，检测是否有ms_08067等溢出
873 rsync 是否为匿名访问，也可以跑弱口令
1025 RPC NFS匿名访问
1099 java rmi 远程命令执行漏洞
1433 mssql 弱口令爆破
1521 oracle 弱口令爆破
2082/2083 cpanel主机管理系统登陆 弱口令爆破
2222 DA虚拟主机管理系统登陆 弱口令爆破
2601,2604 zebra路由器 默认密码zebra
3128 squid代理默认端口 如果没设置口令很可能 就直接漫游内网
3306 mysql 弱口令爆破
3312/3311 kangle主机管理系统登陆 说明
3389 RDP 弱口令爆破，SHIFT后门，放大镜，输入法漏洞
4440 rundeck web
4848 GlassFish web中间件 弱口令admin/adminadmin
5432 postgres 弱口令爆破
5560,7778 iSqlPlus
5900,5901,5902 vnc 弱口令爆破
5984 CouchDB http://xxx:5984/_utils/
6082 varnish
6379 redis 一般无验证，直接访问
7001,7002 weblogic 弱口令爆破
7778 Kloxo主机控制面板登录
8080 tomcat\jboss 弱口令爆破，jboss后台可能不验证
8649 ganglia
8080-8090 常见WEB端口
8083 Vestacp主机管理系统 （国外用较多）
8649 ganglia
8888 amh/LuManager 主机管理系统默认端口 说明
9000 fcgi fcgi php命令执行漏洞
9200 elasticsearch 代码执行
9043 websphere 弱口令爆破
10000 Virtualmin/Webmin 服务器虚拟主机管理系统
11211 memcache 内存泄露
27017,28017 mongodb 未授权访问
50000 Upnp SAP命令执行
50060,50030 hadoop WEB 未授权访问

网站架构探测
（1）wappalyzer插件 ——火狐插件
（2）云悉：http://www.yunsee.cn/info.html
（3）查看数据包响应头
（4）CMS指纹识别：http://whatweb.bugscaner.com/look/
（5）工具

敏感文件、敏感目录探测
(1）Git
（2）hg/Mercurial
（3）svn/Subversion
（4）bzr/Bazaar
（5）Cvs
（6）WEB-INF泄露
（7）备份文件泄露、配置文件泄露
工具
1）御剑（真的很万能，文末附上全家桶）
（2）爬虫（AWVS、Burpsuite等）
（3）搜索引擎（Google、Github等）
（4）wwwscan
（5）BBscan（一位巨佬写的python脚本：https://github.com/lijiejie/BBScan ）
（6）GSIL（也是一位巨佬写的python脚本：https://github.com/FeeiCN/GSIL ）

目标域名邮箱收集
（1）通过说明文档以及网站页面收集，或者网站发表者以及留言板信息处收集账号
（2）通过 teemo，metago，burpusit，awvs，netspker 或者 google 语法收集
（3）搜索相关 QQ 群收集相关企业员工的社交账号
用途： 可用来进行爆破或者弱口令登录以及撞裤攻击

WAF探测
（1）手工（提交恶意数据，简单粗暴）
（2）Kaili工具（WAFW00F、Nmap）
WAFW00F探测WAF 命令：wafw00f -a 域名
nmap
Nmap探测WAF有两种脚本，
一种是http-waf-detect，命令：nmap -p80,443 --script=http-waf-detect ip
一种是http-waf-fingerprint。命令：nmap -p80,443 --script=http-waf-fingerprint ip

旁站、C段
定义
旁站：是和目标网站在同一台服务器上的其它的网站。
C端：是和目标服务器ip处在同一个C段的其它服务器。
方法
（1）利用Bing.com，语法为：http://cn.bing.com/search?q=ip:111.111.111.111
（2）站长之家：http://s.tool.chinaz.com/same
（3）利用Google，语法：site:125.125.125.*
（4）利用Nmap，语法：nmap -p 80,8080 --open ip/24
（5）K8工具、御剑、北极熊扫描器等
（6）在线：http://www.webscan.cc/