信息收集是渗透测试最重要的方面之一,可以帮助你增加攻击面,并且可以让你获取更多的漏洞。让你对目标有更深入的挖掘,
子域名枚举
子域名枚举是查询一个多个域查找子域名的过程
在线查询
https://Virustotal.comhttps://Subdomainfinder.c99.nlhttps://crt.sh/?q=%25.target.comhttps://securitytrails.com/list/apex_domain/target.comhttps://www.shodan.io/search?query=Ssl.cert.subject.CN%3A%22target.com%22https://hunter.how/list?searchValue=
工具查询
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder
常用命令
$ amass enum -passive -norecursive -noalts -df domians.txt -o subs-list.txt$ dnsx -silent -d $domain -w ~/wordlist.txt -o ~/dnsbrute.txt$ cat domain.txt | dnsgen - | massdns -r ~/resolvers.txt -o S -w alive.txt
使用httpx过滤子域名
httpx -l domain.txt -timeout 13 -o domain-probe.txt端口扫描
$ naabu -list sub-list.txt -top-ports 1000 -exclude-ports 80,443,21,22,25 -o ports.txt$ naabu -list sub-list.txt -p - -exclude-ports 80,443,21,22,25 -o ports.txt$ cat domain-subs.txt | aquatone -ports xlarge -scan-timeout 300 -out aquatone.txt
子域名爆破工具
subbrute--子域名爆力枚举
https://github.com/TheRook/subbrutealtdns--替换域名
https://github.com/infosec-au/altdns用法:
./altdns.py -i subdomains.txt -o data_output -w words.txt -r -s output.txt网站截图工具
这些工具能够截图网站的屏幕,可以随时离线查看
工具:
https://github.com/RedSiege/EyeWitnesshttps://github.com/breenmachine/httpscreenshot
枚举后收集网站
返回网站:
https://github.com/tomnomnom/waybackurls获取任何给定域的已知 URL
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder0
网络历史存档
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder1
小技巧
收集完url后,curl出url的response,grep以下url:
drive.google
docs.google
/spreadsheets/d/
/document/d/
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder2
使用paramspider和gxss来检测跨站脚本攻击(XSS)。
命令
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder3
使用 SQLidetector 搜索 SQL 注入攻击。
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder4
shodan搜索技巧
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder5
censys
Censys: https://www.censys.io/
使用censys查找真实ip
登录到 censys 并转到 censys 搜索页面选择证书,然后在证书中像这样搜索您的目标
现在打开任何证书,在右侧找到 Explore,将鼠标悬停在它上面并单击主机。
现在在主机中复制你找到的每个 IP 并尝试在新选项卡中打开它.
第二种获取ip方法
登录,这次将您的目标放在主机中。
现在选择其他服务系统而不是 Cloudflare 或 Akamai。
尝试新选项卡中的每个 IP 并检查自主 IP,但确保 cert.CN: 必须是 target.com 而不是其他任何东西,并且 target.com 必须在 cert.CN: 中,而不是在 http.body 或其他东西中。
grep 所有子域,使用 httpx 解析它们或在浏览器中安装多 url opener 扩展和 shodan.io 扩展。
粘贴所有 url 并尝试找出哪些克隆或看起来像 ip url(前端),如果你发现不是在该域上点击 shodan 扩展以查看它是否在 cloudflare 后面或不是这样
如果是,那么恭喜你找到了 waf 背后的 IP。
敏感文件和目录的模糊测试
https: //github.com/ffuf/ffuf
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder6
查找源/备份文件
例如
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder7
工具
https://github.com/musana/fuzzuli
谷歌和GitHub收集
通过 Google Dork 查找云存储中的敏感数据:
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder8
AWS、Jira、Okta 等的 Github 泄漏:
amasshttps://github.com/owasp-amass/amasssunfinderhttps://github.com/projectdiscovery/subfinderdnsxhttps://github.com/projectdiscovery/dnsxchaoshttps://chaos.projectdiscovery.io/#/assetfinderhttps://github.com/tomnomnom/assetfinder9
js文件收集
使用httpx
$ amass enum -passive -norecursive -noalts -df domians.txt -o subs-list.txt$ dnsx -silent -d $domain -w ~/wordlist.txt -o ~/dnsbrute.txt$ cat domain.txt | dnsgen - | massdns -r ~/resolvers.txt -o S -w alive.txt0
使用nuclei扫描
$ amass enum -passive -norecursive -noalts -df domians.txt -o subs-list.txt$ dnsx -silent -d $domain -w ~/wordlist.txt -o ~/dnsbrute.txt$ cat domain.txt | dnsgen - | massdns -r ~/resolvers.txt -o S -w alive.txt1
小技巧
从 Js 文件中收集所有端点并从中创建一个词表。
使用任何参数制作 POST 请求。
使用该请求对敏感目录进行模糊测试。
工具
$ amass enum -passive -norecursive -noalts -df domians.txt -o subs-list.txt$ dnsx -silent -d $domain -w ~/wordlist.txt -o ~/dnsbrute.txt$ cat domain.txt | dnsgen - | massdns -r ~/resolvers.txt -o S -w alive.txt2
其他的自动化框架
$ amass enum -passive -norecursive -noalts -df domians.txt -o subs-list.txt$ dnsx -silent -d $domain -w ~/wordlist.txt -o ~/dnsbrute.txt$ cat domain.txt | dnsgen - | massdns -r ~/resolvers.txt -o S -w alive.txt3
转自红队笔记录。
需要考CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP、ISO27001等安全证书的师傅可以联系,价格优惠、组团更便宜。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...