网络安全最新【小白渗透入门系列】P4 信息搜集_信息收集常见手段与方法，2024年最新网络安全一年经验面试_公司网站phpinfo泄露会被罚款吗?

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

4.1.1 Whois 查询:

• WHOIS是用来查询域名或IP所有者信息的传输协议, 基于TCP协议。它可以用来查询域名是否已经被 注册，以及注册者的详细信息。

4.1.2 Whois 查询工具:

• kali 自带的 whois 查询工具
• 爱站 - whois 查询工具
• 站长之家 - whois 查询工具
• 微步在线 - 情报社区
• whois 365

4.1.3 Whois 作用:

• whois可以得注册人的相关信息。对于中小型站点，域名所有者往往是IT运维人员。那么就可以根据获取的部分信息进行深入挖掘。
• 可以根据这些信息来进行一个深度挖掘，来获取你想要的信息。

4.1.4 Whois 查询注意:

• whois 得到的结果是域名托管商（大型网站基本都会有域名托管商）

• 查询时域名被屏蔽（多换几个接口查询就可以了）

4.2 备案信息搜集

4.2.1 备案信息查询:

• ICP的英文全称为Internet Content Provider，中文意思为网络内容服务商。
• ICP备案可以说是网站备案或域名备案，具体是指网站在信息产业部提交网站信息进行官方认可。对国内各大小网站(包括企业及个人站点)的严格审查工作，对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站，根据网站性质，将予以罚款，严重的关闭网站，以此规范网络安全，打击一切利用网络资源进行不法活动的犯罪行为。
• 国家法律法规规定网站需备案，可以根据备案信息获得域名的单位信息。在根据单位相关信息，找到更多的网络资产。

4.2.2 备案信息查询工具:

• ICP/IP地址/域名信息备案管理系统
• 站长工具 - ICP备案信息查询
• ICP备案查询网
• Alexa - ICP备案查询
• 天眼查
• 企查查

4.3 子域名信息搜集

4.3.1 子域名信息搜集:

• 子域名信息搜集的意义： 子域名可以让我们发现目标在互联网上更多的资产与服务，扩大攻击面，更容易找到薄弱点。

4.3.2 子域名枚举:

• 基于字典对子域名进行爆破枚举。
• 子域名枚举工具： subDomainsBrute
• subDomainsBrute 可以高并发DNS暴力枚举，对子域名进行爆破，用小字典递归发现三到五级域名。
• subDomainsBrute 下载
• 如果嫌下载慢的话，或者下载不下来的情况可以微信公众号回复信息搜集工具即可获取百度云下载链接

4.3.3 搜索引擎 - site:

• 搜索引擎： site:tjpu.edu.cn
• 指令模板： site：子域名

4.3.4 第三方聚合应用:

• 第三方服务汇聚了大量的DNS数据集，可以检索某个给定域名的子域名信息。
• 常用的第三方聚合平台：
• 在线 - DNSdumpster

• 基于 Python 的 DNSdumpster 工具下载
• 如果嫌下载慢的话，或者下载不下来的情况可以微信公众号回复【信息搜集工具】即可获取百度云下载链接
• VirusTotal

• Netcraft

4.3.5 证书透明度介绍:

• 授权机构(CA)是一个受信任的第三方组织，负责发布和管理SSL/TLS证书，全球有数百个受信任的CA，他们中任何一个都有权利为你的域名颁发有效的SSL证书。
• 证书透明度(CT)是为了防止证书授权机构(CA)或者其他恶意人员伪造服务器证书而诞生的一个项目。
• CT会要求CA将数字证书(SSL/TLS证书)公开并发布将颁发记录同步到日志服务器中。而日志服务器则会提供给用户一个查找某域名颁发的所有数字证书途径。
• 原理： “要向用户提供加密流量，网站必须先向可信的证书授权中心 (CA) 申请证书。然后，当用户尝试访问相应网站时，此证书即会被提供给浏览器以验证该网站。近年来，由于 HTTPS 证书系统存在结构性缺陷，证书以及签发证书的 CA 很容易遭到入侵和操纵。Google 的证书透明度项目旨在通过提供一个用于监测和审核 HTTPS 证书的开放式框架，来保障证书签发流程安全无虞。”

4.3.6 证书透明度工具:

• Crtsh - 常用

• Censys - 常用

• Google
• Facebook
• Entrust
• Certspotter
• Spyse

---

• 补充：CT日志缺陷
• CT日志只能增加，不能减少，所以证书上的子域名可能是过期的状态，可以用过masdns工具对域名可解析的识别。

4.3.8 CSP （功能有限）:

• 网页安全政策(Content Security Policy，缩写CSP) 。CSP的实质就是白名单制度，开发者明确告诉客户端，哪些外部资源可以加载和执行，等同于提供白名单。
• 我们可以查看HTTP的Content-Security-Policy字段来搜集子域名信息。

4.3.9 DNS区域传送漏洞 :

• 一般DNS服务器会存在冗余备份，而主备之间同步域数据库的操作，就是DNS区域传送(DNS zonetransfer)。主服务器对来请求的备用服务器未作访问控制，验证身份就做出响应故而出现这个漏洞。
• Nslookup命令检测:

1. nslookup -type=ns xxx.yyy.cn #查询解析此域名的dns服务器
2. nslookup #进入交互
3. server dns.xxx.yyy.cn # 指定dns服务器
4. Is xxx.yyy.cn #列出域信息

• Dig命令检测:

1. dig NS xx.yyy.cn #查询解析该域名的DNS服务器
2. dig @dns.xxx.yy.cn axfr xxx.yy.cn #@指定域名服务器;axfr为域传送指令; xxx.edu.cn表示要查询的域名

---

4.3.10 子域名挖掘机 :

4.3.11 Sublist3r（综合性应用） :

• Sublist3r使用许多搜索引擎（例如Google,Yahoo，Bing，Baidu和Ask)枚举子域。使用Netcraft,Virustotal，ThreatCrowd，DNSdumpster和ReverseDNS枚举子域。subbrute与Sublist3r集成在一起,以增加使用具有改进的单词表的bruteforce查找更多子域的可能性。

4.3.12 OneForAll（综合性应用） :

• 综合性工具，正在开发使用的话记得常更新。
• 缺少域名监控，每天扫描更新。

4.3.13 其他拓展 :

• LangSrcCurise
• ESD
• subdomain3
• subbrute
• wydomain

---

4.4 获取真实IP

4.4.1 CDN介绍 :

• Content Delivery Network或Content Ddistribute Network，即内容分发网络。
• CDN是将媒体资源，动静态图片(Flash)，HTML，CSS，JS等等内容缓存到距离你更近的节点，从而让用户进行共享资源，实现缩减站点间的响应时间等等需求，提高用户访问的响应速度和成功率。解决因分布、带宽、服务器性能带来的访问延迟问题，适用于站点加速、点播、直播等场景。

4.4.2 目标IP信息收集 :

• 有些站点可能会上CDN，那么我们就无法获取真实的IP地址。

4.4.3 如何判断是否存在CDN :

• 使用站点工具的 Ping 测试，会从多个节点去 Ping 目标服务器，如果是不同IP地址可能上了CDN。注意对IP归属地址进行解析。
• 常用在线平台：
• 站长工具Ping

• IPIP 查询

• IPIP 查询

• CDN Finder tool

• 常用工具：
• xcdn

4.4.4 如何绕过CDN获取真实IP地址 :

• 大多数情况下，企业在互联网上的网站资产较多，不会对所有站点都使用CDN进行加速。那么我们可以从子域名入手，获取真实IP。
• 通过子域名来获取C段，从C段中来确定真实IP地址。
• 网站中的注册或找回密码功能中会发送邮件验证，或者RSS订阅、邮件订阅等这些功能就会让服务器主动发起请求，我们可以获得对方服务器的IP地址。但大多数时候获取的是邮件服务器地址。
• 可以通过找回密码、邮箱联系你之类的。简单来说就是你主动联系别人，跟别人主动联系你不是一个态度。

4.4.5 查询SSL证书 :

• 在censys上搜索一下语句，来查询证书中是否有匹配的域名:
• 搜索语句： 443.https.tls.certificate.parsed.extensions.subject_ alt_name.dns_names:www.xXx.com

4.4.6 利用DNS记录:

• 查询域名与IP的历史记录，可能会发现使用CDN之前的目标IP地址。
• DNSDB

• 微步在线-情报威胁社区
• Netcraft

• 17CE

• RISKIQ

• crimeflare
• 利用一些冷门的DNS请求： 某些CDN对国外的覆盖不广，那么可以利用这种特性进行探测。使用国外的代理或DNS解析来查看IP.
• 利用站点漏洞： 利用某些漏洞，让服务器得到信息泄露，或者主动对我们发起请求，则可以获得域名真实IP例如phpinfo，SSRF漏洞。

4.5 案例解析：

• 第一步： 判断有没有上CDN，查看IP地址归属地与网站注册地址进行判断。
• 第二步： 利用工具来想办法获取子域名的相关情况。得到子域名来分析归纳一下，并尝试进行访问。
• 第三步： 根据网站的回显信息来进行判断是否要进行再次Ping来查看一下这个域名是否挂了CDN代理。来判断一下是否是真实IP地址。
• 第四步： 修改本地 hosts 文件，将获取到的子域名信息与得到的IP地址进行绑定写入本地 hosts文件 再通过浏览器来尝试进行访问。查看是否还是刚才访问的那个站点。如果一样说明是真实IP地址。

五、服务器信息搜集

5.1 操作系统类型判断

5.1.1 什么是Nmap:

• Nmap可以检测目标主机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。它是网络管理员必用的软件之一，用以评估网络系统安全。

5.1.2 操作系统类型判断:

第一种判断方法：

• 使用Nmap，你可以检测远程主机上运行的操作系统和版本。
• 操作指令： nmap -O 192.168.0.101
• 指令模板：nmap -O IP地址
• 操作指令： nmap -Pn -O 192.168.0.101
• 指令含义：-Pn 不判断主机存货直接进行系统扫描判断

第二种判断方法：

• Windows 系统中不区分大小写，Linux系统中大小写敏感。
• 举个例子：修改URL中的大小写进行判断，修改之后无影响则是 Windows 反之 则是 Linux 系统

5.2 端口扫描

5.2.1 端口扫描:

• 使用Nmap探测主机的端口开放情况
• 操作指令： nmap 192.168.0.101
• 指令模板：nmap IP地址

• 查找主机服务版本号
• 操作指令： nmap -sV 192.168.0.101
• 指令模板：nmap -sV IP地址

5.3 Web 应用架构

5.3.1 Web 应用架构探测:

• 对于具有Web应用的服务器，我们需要深入探测Web应用架构，包括Web中间件、服务端脚本语言、数据库、Web应用开发框架、Web应用指纹等等。

第一种判断方法：

• 可以通过Burp Suite （俗称 BP）进行抓包分析
• 可以发现暴露的信息：搭建框架、服务器信息等

第二种判断方法：

• 不同应用程序框架的报错信息不同，可以根据这个来进行判断应用的是哪些服务框架。

第三种判断方法：

• 浏览器插件： wappalyzer
• 个人觉得非常好用

5.3.2 Web指纹信息探测:

• 如果要判断网站的一些指纹信息的话，我们可以用工具来进行判断。

• 云悉指纹

5.3.3 Web 应用敏感信息探测:

• 寻找Web 应用的敏感目录、敏感文件、源码泄露。
• 敏感信息探测工具：
• wfuzz可以用在做参数的模糊测试，也可以用来做Web目录扫描等操作。
• 操作指令： wfuzz -w DIR.txt http://xxx.com/FUZz

5.3.4 Web 应用敏感信息探测:

• 推荐御剑扫描工具

• 各种字典：
• Fuzzdb
• SecLists
• dictionaries
• fuzzDicts

---

各位路过的朋友，如果觉得可以学到些什么的话，点个赞 再走吧，欢迎各位路过的大佬评论，指正错误，也欢迎有问题的小伙伴评论留言，私信。

每个小伙伴的关注都是本人更新博客的动力！！！
请微信搜索【 在下小黄 】文章更新将在第一时间阅读 ！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化资料的朋友，可以点击这里获取

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！