经验分享 | src信息收集

(搜集用户名信息类)
企查查([https://www.qcc.com

天眼查[(https://www.tianyancha.com/)

启信宝（https://www.qixin.com/)

站长之家:http://whois.chinaz.com/

邮箱反查、注册人反查、电话反查。

推荐个项目:https://github.com/code-scan/BroD omain 兄弟域名查询。
https://www.qimai.cn/

查微信相关的资产
可利用
搜狗浏览器,查微信即可

oneforAll
#挂代理和不挂代理时可能跑出的域名区别较大
xray进行收集
goby 
端口+指纹识别很nice
一个真实IP获取域名(入其他的域名获取IP的权限状况)

企业c段范围
#在线获取子域名的接口
http://tools.xiu09.cn/zym/
https://api.hackertarget.com/reverseiplookup/?q=www.ccnu.edu.cn//q等于需要挖取的站，一般挖的是盘站

#御剑批量版本
#dirseach
#jsfinder

https://wooyun.x10sec.org/

P牛知识星球里分享的github搜索关键词:https://twitter.com/obheda12/status/1316513838716551169
github子域名监控项目:https://github.com/FeeiCN/GSIL
常见的泄露内容:乌云上有一些案例，可以看一看。
员工内部邮箱、登录账号、密码。
企业的一些内部系统域名、ip泄露。
企业网站的工程代码、网站源码泄露，可以通过员工邮箱关键词查找，要注意日期，好几年的大概率不收
了。在这里插入代码片

#信息泄露中比较常见的swagger-ui服务泄露，可能直接提交会忽略或者低危，别忘了进一步测试泄露的接口功能
#越权导致的信息泄露
#很多时候越权来来去去都是更改一个参数的问题,更多的时候还是要细心的一个一个测业务功能，注意观察和测试操作参数和对象参数，操作参数一般是增删改查对应特定业务的敏感操作、对象参数一般是用户或者物品等

https://mp.weixin.qq.com/s/v2MRx7qs70lpnW9n-mJ7_Q
https://bbs.ichunqiu.com/article-921-1.html

针对IP通过开源情报+开放端口分析查询
https://x.threatbook.cn/（主要）
https://ti.qianxin.com/
https://ti.360.cn/
https://www.venuseye.com.cn/
https://community.riskiq.com/

Welcome to Burp suite #搜集burp的东西
# CVE-2019-17558 Apache Solr Velocity模板远程代码执行
app="Apache-Shiro"
# 搜索湖北地区的资产
 && region="Hubei"
# 医院
"*hospital.*" && region="Hubei"
#教育机构
"*edu.*" && region="Hubei"
#搜索host内所有带有qq.com的域名: 
host="qq.com"
1.title="后台管理" 搜索页面标题中含有“后台管理”关键词的网站和IP
2、header="thinkphp" 搜索HTTP响应头中含有“thinkphp”关键词的网站和IP
3、body="管理后台" 搜索html正文中含有“管理后台”关键词的网站和IP
4、body="Welcome to Burp Suite" 搜索公网上的BurpSuite代理
5、domain="itellyou.cn" 搜索根域名中带有“itellyou.cn”的网站
6、host="login" 搜索域名中带有"login"关键词的网站
7、port="3388" && country=CN 搜索开放3388端口并且位于中国的IP
8、ip="120.27.6.1/24" 搜索指定IP或IP段
9、cert="phpinfo.me" 搜索证书(如https证书、imaps证书等)中含有"phpinfo.me"关键词的网站和IP
10、ports="3306,443,22" 搜索同时开启3306端口、443端口和22端口的IP
11、ports=="3306,443,22" 搜索只开启3306端口、443端口和22端口的IP
12.protocol=“https”，搜索指定协议类型
13.app="phpinfo"搜索某些组件相关系统
14.title=“powered by” && os==windows 搜索网页标题中包含有特定字符并且系统是 windows的网页#利用且语句进行连接代
#15.搜索目录遍历的漏洞
body="Directory listing for ”|| ||body=“转到父目录”
#16.找摄像头
title=“~~UI3-Blue Iris~~ ”&&port=“82”或者cc**
#17 找被入侵网址
#Hacked by
#body=“miner.start("&&header!="Mikrotik HttpProxy"&&country=CN
18找配置文件
config.php
#19  cms查找思路
①利用ico的hash值进行查找-->先把
如
http.favicon.hash
思路链接地址
https://blog.csdn.net/weixin_45859734/article/details/111087843
②利用网络安全产品代
https://t.wangan.com/c/products.html



#利用hash值进行搜索
脚本学校的
import mmh3
import requests

response = requests.get(‘https://www.nchu.edu.cn/favicon.ico’,verify=False)
favicon = response.content.encode(‘base64’)
hash = mmh3.hash(favicon)
print hash


org组织的指定组织的
org="China Education and Research Network Center"

搜集
①相关邮箱
#邮箱搜集可以利用的很不错的工具
#theHarvester的使用
-d  服务器域名
-l  限制显示数目
-b  调用搜索引擎（baidu,google,bing,bingapi,pgp,linkedin,googleplus,jigsaw,all）
-f  结果保存为HTML和XML文件
-h  使用撒旦数据库查询发现主机信息
#实例1
theHarvester -d sec-redclub.com -l 100 -b baidu
相关公司的名称
公司类的用户名常用-->
首写字母+名@xxx
②搜集相关用户名思路
利用天眼查或者企查查
适用于所有公司（尤其是科技公司），就是爬一下这个公司的专利信息列表。由于专利信息都是公开的，能找到大量人员真实姓名，而且多半是技术人员。

企查查和天眼查都可以做这个事情

#基本语法:
#1.)搜索主机名hostname:google.com
#2.)搜索相关服务类,如mysql
#3.)城市类语法如搜索在中国适用Apache的app app:Apache country:CN
#4.)搜索ip 直接ip即可

https://censys.io/ipv4

#基本语法
#1.)搜索ip段中的主机 23.0.0.0/8 or 8.8.8.0/24
#2.)查询没有安装受信任证书的流行网站 not 443.https.tls.validation.browser_trusted: true
#3.)查询位于德国开放了Telnet和ftp的主机 location.country_code: DE and protocols: ("23/telnet" or "21/ftp")
#4.)使用Apache并支持HTTPS的流行网站
#80.http.get.headers.server: Apache and protocols: "443/https"

#常用的几个方法
#没有漏洞的几个方法
①子域名
②hash值
③dns历史查询
#用户角度进行
④国外进行访问
⑤通过目标自身的邮件系统进行获取到真实ip
#存在漏洞的几个方法
①phpinfo这些方法

(1)查询子域名：毕竟 CDN 还是不便宜的，所以很多站长可能只会对主站或者流量大的子站点做了 CDN，而很多小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。传送门——> 子域名信息查询

(2)查询主域名：以前用CDN的时候有个习惯，只让WWW域名使用cdn，秃域名不适用，为的是在维护网站时更方便，不用等cdn缓存。所以试着把目标网站的www去掉，ping一下看ip是不是变了，您别说，这个方法还真是屡用不爽。

(3)邮件服务器：一般的邮件系统都在内部，没有经过CDN的解析，通过目标网站用户注册或者RSS订阅功能，查看邮件，寻找邮件头中的邮件服务器域名IP，ping这个邮件服务器的域名，就可以获得目标的真实IP(必须是目标自己的邮件服务器，第三方或者公共邮件服务器是没有用的)。

(4)查看域名历史解析记录：也许目标很久之前没有使用CDN，所以可能会存在使用 CDN 前的记录。所以可以通过网站https://www.netcraft.com 来观察域名的IP历史记录。

(5)国外访问：国内的CDN往往只对国内用户的访问加速，而国外的CDN就不一定了。因此，通过国外在线代理网站https://asm.ca.com/en/ping.php 访问 ，可能会得到真实的ip地址。

(6)Nslookup查询：查询域名的NS记录、MX记录、TXT记录等很有可能指向的是真实ip或同C段服务器。传送门：各种解析记录

(7)网站漏洞：利用网站自身存在的漏洞，很多情况下会泄露服务器的真实IP地址

(8)Censys查询SSL证书找到真实IP：利用“Censys网络空间搜索引擎”搜索网站的SSL证书及HASH，在https://crt.sh上查找目标网站SSL证书的HASH，然后再用Censys搜索该HASH即可得到真实IP地址

443.https.tls.certificate.parsed.extensions.subject_alt_name.dns_names:***trade.com

web入口渗透
通过网站的各种漏洞来 getshell，比如文件上传、命令执行、代码执行、还有 SQL 注入写入一句话（into outfile、日志备份等）
数据库入口渗透
外网暴露的数据库入口点弱口令；web 网站 SQL 注入。

①通过查询语句直接定位web端ip地址
#定位web端ip地址
select * from information_schema.PROCESSLIST;
②利用load_file获取ip类
#利用load_file读取服务器中的敏感信息
select load_file('C:/test.txt');
# 左斜杠 /
#三个典型文件
/etc/udev/rules.d/70-persistent-net.rules
获取网卡名称
  
/etc/sysconfig/network-scripts/ifcfg-网卡
静态IP
DHCP的话
/var/lib/dhclient/dhclient--网卡.lease

1.)利用获取客户端和服务端的主机名进行判断是否属于库站分离
#得到客户端主机名
select host_name();
#得服务端主机名
select @@servername;
进行比较是否相同即可获取是否属于站库分类

2.)利用存储过程执行命令判断是否属于站库分离
XP_CMDSHELL
SP_OACREATE