常规信息收集

0x01. whois

在线whois查询域名注册时留下的信息，如：管理员姓名、邮箱等。 在线whois地址：https://whois.chinaz.com/

0x02. 子域名收集

1.layer子域名挖掘机

采用暴力枚举，占用资源较高，性能不好的电脑慎用，效果不错。

2.SubDomainBrute

高并发的DNS暴力枚举工具。支持Python3.5+和Python2.7，使用Python3.5+ 效率更高。可降低线程、导出文件，默认格式 域名.txt

项目地址：https://github.com/lijiejie/subDomainsBrute

3.sublist3r

使用许多搜索引擎（例如 Google、Yahoo、Bing、Baidu 和 Ask）枚举子域且采集的时候调用各大子域名收集网站的api接口。

项目地址：https://github.com/aboul3la/Sublist3r

4.搜索引擎及网络空间测绘

使用谷歌语法来进行子域名收集:

site:baidu.com -www (查找去掉www开头的根域名中带有baidu.com的域名)

使用fofa进行子域名收集： domain=“baidu.com”

0x03. 端口扫描

1.扫描之王-Nmap

作为一款老牌开源端口扫描工具，它可以进行端口探测、主机存活、探测操作系统等

基本扫描命令：
Nmap -A -T4 10.10.10.5	全面探测目标主机，包括操作系统、端口开放情况等
Nmap -sS -T4 -p 1-65535 10.10.10.5	使用Syn(不建立完全的tcp连接,隐蔽性较高)半开扫描目标主机全端口(即1-65535)
Nmap -O 10.10.10.15	探测目标主机操作系统
总的来说，Nmap的扫描方式有很多，功能也有很多。

2.五分钟扫描整个互联网-Masscan

性能较为优越，使用SYN包检测技术，号称能够在5分钟内完成对整个互联网所有的IP进行扫描。

语法：masscan --rate=1000000 --ports 0-65535 目标IP ，–rate表示发包的>速度，默认为100，–ports表示扫描的端口的范围。 说明：它只能看到哪些端口开放，并不知道端口的服务。可以先用masscan进行扫描判断哪些端口开着然后用nmap进行详细的扫描。

3.插件shodan

Web中可以使用chrome插件shodan来快速查看当前网页端口开放情况

0x04. 目录扫描

1.dirsearch

基于python开发，可生成扫描结果、多线程、支持HTTP代理、随机请求头、请求延迟等功能的扫描工具

项目地址: https://github.com/maurosoria/dirsearch

个人常用命令：
python3 dirsearch.py -u xxx.com -e \* --random-agent --proxy=127.0.0.1:10809 
(指定目标站点、扫描所有类型、随机请求头、代理)

2.dirmap

同样是基于python的工具，支持多目标扫描、递归扫描、爆破模式、爬虫模式等功能的扫描工具，堪称web目录扫描中的超级跑车.

项目地址：https://github.com/H4ckForJob/dirmap

个人常用命令：
python3 dirmap.py -lcf -i xxx.com

3.7kbscan

可更改随机请求头、延时扫描、请求方法、默认字典和指定字典的选择、多url扫描等

0x05. 指纹识别

1.Chrome Wappalyzer插件

可以快速看见当前网页的中间件、操作系统、使用CMS的类型等

2.在线指纹识别网站

如果目标站点使用的是CMS搭建的，那么可以在搜索引擎上查找该CMS相关的历史漏洞，尝试使用历史通杀漏洞进行攻击.

潮汐指纹识别：http://finger.tidesec.com/ 在线指纹识别：http://whatweb.bugscaner.com/

0x06. 旁站查询

同一ip不同站点，即为旁站。 在线查询旁站地址：webscan.cc

0x07. C段扫描

C段指的是ip地址C段，即192.168.1.1-192.168.1.255都属于同一个C段，有一些公司和学校会持有整个ip段.

fofa地址：fofa.so 语法: ip=“10.10.10.5/24”

zoomeye地址:zoomeys.org 语法: cidr:“10.10.10.5/24”