Skip to content

资产发现

该备忘录主要用于渗透测试中,信息收集阶段快速查漏补缺。

这个阶段可以帮助我们了解攻击面、使用的技术。并且在某些情况下,发现开发环境甚至被遗忘和未维护的基础设施,这些基础设施可能导致我们访问内部网络,因为它们通常受到较少的保护和监控。信息收集通常是一个迭代过程。当我们发现资产(例如,子域或虚拟主机)时,我们将需要对正在使用的技术进行指纹识别,寻找隐藏的页面/目录等,这可能会导致我们发现另一个子域并重新开始该过程。 By academy.hackthebox.com

搜寻公司及其子公司所有资产,确认属于目标的所有东西

域&子域

whois

域名注册信息查询

反查 通过IP反查域名

SITE MAP

DNS

利用dig、nslookup查询域名A、MX、PTR、CNAME记录

A记录
$ nslookup facebook.com
$ dig facebook.com @1.1.1.1

子域记录
$ nslookup -query=A www.facebook.com
$ dig a www.facebook.com @1.1.1.1

IP地址的PTR记录
$ nslookup -query=PTR 1.2.3.4
$ dig -x 1.2.3.4 @1.1.1.1

任何现有记录
$ nslookup -quert=ANY google.com
$ dig any google.com @8.8.8.8

TXT记录
$ nslookup -query=TXT facebook.com
$ dig txt facebook.com @1.1.1.1

MX记录
$ nslookup -query=MX facebook.com
$ dig mx facebook.com @1.1.1.1

结合whois查询验证信息

子域名发现

在线网站

//微步
https://x.threatbook.com/v5/domain/pingan.com
//VirusTotal
https://www.virustotal.com/gui/domain/pingan.com/relations
//站长之家
https://tool.chinaz.com/subdomain/pingan.com
//不知名网站 结果详细 Github:https://github.com/bin-maker
https://ruo.me/

使用VirusTotal搜索域名

Project Sonar

https://sonar.omnisint.io/subdomains/{domain} - 获取所有子域
https://sonar.omnisint.io/tlds/{domain}       - 查询其他顶级域名
https://sonar.omnisint.io/all/{domain}        - 查询所有相关域名
https://sonar.omnisint.io/reverse/{ip}        - IP反查域名
https://sonar.omnisint.io/reverse/{ip}/{mask} - IP段反查域名

$ export TARGET="baidu.com"
$ curl -s https://sonar.omnisint.io/subdomains/$TARGET | jq -r '.[]' | sort -u
$ curl -s https://sonar.omnisint.io/tlds/$TARGET | jq -r '.[]' | sort -u
$ curl -s https://sonar.omnisint.io/reverse/$TARGET/24 | jq -r '.[]' | sort -u

证书

证书透明度(CT),要求将证书颁发机构(CA)颁发的每个SSL/TLS证书都发不在可公开访问的日志中。

site: https://search.censys.io/certificates?q=[doamin] https://crt.sh?q=[domain] tool: openssl

使用curl处理输出
$ curl -s "https://crt.sh/?q=${TARGET}&output=json" | jq -r '.[] | "\(.name_value)\n\(.common_name)"' | sort -u > "${TARGET}_crt.sh.txt"

$ export TARGET="facebook.com"
$ export PORT="443"
$ openssl s_client -ign_eof 2>/dev/null <<<$'HEAD / HTTP/1.0\r\n\r' -connect "${TARGET}:${PORT}" | openssl x509 -noout -text -in - | grep 'DNS' | sed -e 's|DNS:|\n|g' -e 's|^\*.*||g' | tr -d ',' | sort -u

自动化被动子域枚举

Netcraft

搜索语法

site:""

字典爆破

企业查询

tool:oneforall

IP范围

组件

虚拟主机

网络绘测

Fofa

页面全量信息

敏感信息

Github 敏感信息发现

网盘搜索

CDN识别及绕过

WAF识别