资产发现
该备忘录主要用于渗透测试中,信息收集阶段快速查漏补缺。
这个阶段可以帮助我们了解攻击面、使用的技术。并且在某些情况下,发现开发环境甚至被遗忘和未维护的基础设施,这些基础设施可能导致我们访问内部网络,因为它们通常受到较少的保护和监控。信息收集通常是一个迭代过程。当我们发现资产(例如,子域或虚拟主机)时,我们将需要对正在使用的技术进行指纹识别,寻找隐藏的页面/目录等,这可能会导致我们发现另一个子域并重新开始该过程。 By academy.hackthebox.com
搜寻公司及其子公司所有资产,确认属于目标的所有东西
域&子域
whois
域名注册信息查询
反查 通过IP反查域名
SITE MAP
DNS
利用dig、nslookup查询域名A、MX、PTR、CNAME记录
A记录
$ nslookup facebook.com
$ dig facebook.com @1.1.1.1
子域记录
$ nslookup -query=A www.facebook.com
$ dig a www.facebook.com @1.1.1.1
IP地址的PTR记录
$ nslookup -query=PTR 1.2.3.4
$ dig -x 1.2.3.4 @1.1.1.1
任何现有记录
$ nslookup -quert=ANY google.com
$ dig any google.com @8.8.8.8
TXT记录
$ nslookup -query=TXT facebook.com
$ dig txt facebook.com @1.1.1.1
MX记录
$ nslookup -query=MX facebook.com
$ dig mx facebook.com @1.1.1.1
结合whois查询验证信息
子域名发现
在线网站
//微步
https://x.threatbook.com/v5/domain/pingan.com
//VirusTotal
https://www.virustotal.com/gui/domain/pingan.com/relations
//站长之家
https://tool.chinaz.com/subdomain/pingan.com
//不知名网站 结果详细 Github:https://github.com/bin-maker
https://ruo.me/
使用VirusTotal搜索域名
Project Sonar
https://sonar.omnisint.io/subdomains/{domain} - 获取所有子域
https://sonar.omnisint.io/tlds/{domain} - 查询其他顶级域名
https://sonar.omnisint.io/all/{domain} - 查询所有相关域名
https://sonar.omnisint.io/reverse/{ip} - IP反查域名
https://sonar.omnisint.io/reverse/{ip}/{mask} - IP段反查域名
$ export TARGET="baidu.com"
$ curl -s https://sonar.omnisint.io/subdomains/$TARGET | jq -r '.[]' | sort -u
$ curl -s https://sonar.omnisint.io/tlds/$TARGET | jq -r '.[]' | sort -u
$ curl -s https://sonar.omnisint.io/reverse/$TARGET/24 | jq -r '.[]' | sort -u
证书
证书透明度(CT),要求将证书颁发机构(CA)颁发的每个SSL/TLS证书都发不在可公开访问的日志中。
site: https://search.censys.io/certificates?q=[doamin] https://crt.sh?q=[domain] tool: openssl
使用curl处理输出
$ curl -s "https://crt.sh/?q=${TARGET}&output=json" | jq -r '.[] | "\(.name_value)\n\(.common_name)"' | sort -u > "${TARGET}_crt.sh.txt"
$ export TARGET="facebook.com"
$ export PORT="443"
$ openssl s_client -ign_eof 2>/dev/null <<<$'HEAD / HTTP/1.0\r\n\r' -connect "${TARGET}:${PORT}" | openssl x509 -noout -text -in - | grep 'DNS' | sed -e 's|DNS:|\n|g' -e 's|^\*.*||g' | tr -d ',' | sort -u
自动化被动子域枚举
搜索语法
site:""
字典爆破
企业查询
tool:oneforall
IP范围
组件
虚拟主机
网络绘测
Fofa
页面全量信息
敏感信息
Github 敏感信息发现
网盘搜索
CDN识别及绕过
WAF识别