初学之信息收集篇

目录

1.什么是信息收集？

1.1 被动信息收集

1.2 主动信息收集

2.域名查询

2.1 域名是什么？

2.2 为什么需要域名？

2.3 DNS（53端口）

2.3.1域名记录

2.4 whois（43端口）

2.4.1 whois查询

2.5 备案信息查询 

2.6 子域名查询

2.6.1 为什么要挖掘子域名？

2.6.2子域名挖掘工具

2.6.3通过搜索引擎查询

2.6.4 第三方网站查询

2.6.5 子域名爆破网站

3.web站点信息收集

3.1 CMS

3.1.1 CMS指纹识别

4. 端口信息收集

4.1 查看本机端口服务

4.2 端口扫描

4.2.1 nmap扫描

4.2.2 masscan扫描

4.3 常见端口

5.真实IP搜集

5.1 CDN（内容分发管理）

5.2判断CDN的存在

5.3绕过CDN拿到真实ip

5.3.1 phpinfo文件中的信息判断

5.3.2 分站ip一般都是真实IP

5.3.3 https://viewdns.info/

---

1.什么是信息收集？

信息收集（Information Gathering），信息收集是指通过各种方式获取所需要的信息。信息收集是信息得以利用的第一步，也是关键的一步。信息收集工作的好坏，直接关系到整个渗透流程的质量。所谓知己知彼，百战不殆。把信息利用好，可以达到事半功倍的效果。

被动信息收集，不是说比较被动的收集信息，而是指通过第三方服务来对目标交互从而进行信息收集，优点是不会产生大额流量，不会留下痕迹，安全性高，也不会对目标造成伤害。

主动信息收集，则是指直接与目标进行交互从而收集信息，信息收集通常都是主动和被动相配合，因为不同的搜索方法可能得出的结果不一样，学会多种方式，才能更好的做到信息收集。

需知：域名后缀 gov（政府）com（企业）edu（教育机构）uk（英国）cn（中国）org（组织协会）net（网络服务）

域名（英语：Domain Name），又称网域，是由一串用点分隔的名字组成的Internet上某一台计算机或计算机组的名称，用于在数据传输时对计算机的定位标识（有时也指地理位置）。

由于IP地址具有不方便记忆并且不能显示地址组织的名称和性质等缺点，人们设计出了域名，并通过网域名称系统（DNS，Domain Name System）来将域名和IP地址相互映射，使人更方便地访问互联网，而不用去记住能够被机器直接读取的IP地址数串。

简称域名解析系统，作为一个ip与域名相互映射的数据库，使人们访问互联网更加简单

2.3.1域名记录

 A记录（address,正向解析）将域名转换成ip地址

 PTR记录（pointer，反向解析）将IP地址转化为域名

CNAME记录（canonical name）相当于多个域名对应同一个ip

MX记录（mail exchange)  指向一个邮箱服务器，例如mail.qq.com就是QQ邮箱

NS记录（name server)  域名服务器记录，决定哪一个DNS服务器来解析

whois（读作“Who is”，非缩写）是用来查询域名的IP以及所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。通过whois来实现对域名信息的查询。

2.4.1 whois查询

2.4.1.1 web接口查询：https://whois.aliyun.com/  万网

                         https:www.whois.chinaz.com/ 站长之家

                         https://whois.aizhan.com/  爱站网

2.4.1.2 通过whois命令行查询

kali linux下自带了whois查询查询工具，通过命令行可以直接查询

在国内租借的服务器都需要备案，可以防止不法分子从事非法的网站经营活动。

web接口查询：https://www.tianyancha.com/ 天眼查

                        https://icp.chinaz.com/  站长备案查询

子域名（subdomian name）凡是在顶级域名前加前缀的都是子域名，而子域名根据技术多少分为二级子域名，三级子域名，多级子域名

2.6.1 为什么要挖掘子域名？

因为主域一般防守严密，无法攻破，而此时我们需要从他的子域名入手，无限靠近主域，从而达到渗透主域的效果

2.6.2子域名挖掘工具

matelgo，wydomian，layer

2.6.3通过搜索引擎查询

fofa,shodan,google,zoomeye 

 搜索引擎中含有许多语法，以下排列了一些fofa的语法，搜索引擎的语法都差不多，但有了它们，我们能更精确地找出我们想要的讯息

title="beijing"      从标题中搜索“北京”

header="elastic"      从http头中搜索“elastic”

body="网络空间测绘"     从html正文中搜索“网络空间测绘”

fid="sSXXGNUO2FefBTcCLIT/2Q=="       查找相同的网站指纹  搜索网站类型资产

domain="qq.com"         搜索根域名带有qq.com的网站。

2.6.4 第三方网站查询

http://tool.chinaz.com/subdomain

2.6.5 子域名爆破网站

https://phpinfo.me/domain

CMS意为“内容管理系统”.所谓内容管理系统就是企业或政府内部用于信息管理、信息发布和网站维护而开发的基于web交互模式的内容管理和发布应用系统。内容管理系统包括了信息采集、整理、分类、审核、发布和管理的全过程。具备完善的信息管理和发布管理功能。用户可以随时方便地提交需要发布的信息而无须掌握复杂的技术.

3.1.1 CMS指纹识别

各种CMS具有独特的结构命名规则和特别的文件内容,所以可以作为识别的

常见CMS：dedecms  Discuz  phpcms

CMS识别工具：http://whatweb.bugscaner.com/look/     or      御剑指纹识别工具

也可以利用kali命令行搜索 

我们可以把IP地址比喻为一个房子，而端口就是房子中的门，只是这个门有65535个，为2^16-1。"端口"是英文port的意译，可以认为是设备与外界通讯交流的出口。端口可分为虚拟端口和物理端口，其中虚拟端口指计算机内部或交换机路由器内的端口，不可见。

4.2.1 nmap扫描

打开kali利用nmap -T4 -A -v -pn ip进行全面扫描（第一次做ms17-010复现时实现过，就不再说明）

4.2.2 masscan扫描

CDN 是构建在数据网络上的一种分布式的内容分发网，利用全局负载均衡技术。 CDN 的作用是采用流媒体服务器集群技术，克服单机系统输出带宽及并发能力不足的缺点，可极大提升系统支持的并发流数目，减少或避免单点失效带来的不良影响。

也可以利用站长之家的网站查询

5.3.1 phpinfo文件中的信息判断

5.3.2 分站ip一般都是真实IP

5.3.3 https://viewdns.info/

本文仅供学习和笔记