站长对象seo综合查询隐私查询_收藏若何经由进程公开渠道收集信息提升安然意识

红队知识点大致流程：

外网信息网络——>打点——>权限坚持——>提权——>内网信息网络——>横向移动——>痕迹清理

打点关键资产数据信息：

目录

Tell Me外网信息网络0x00 常用工具、资源简记：0x01 主域名信息 1. ICP备案 备案信息查询： 备案反查主域名 2. Whois 3. IP反查 如何查询 4. HOST碰撞 5. DNS共享记录 关于DNS 利用代价 手腕 6. Google 7. 配置信息 8. 众测 9. 企业资产信息 股权投资信息 "大众年夜众号信息 小程序 运用信息 关于工具0x02 子域名信息 1. 列举爆破 手腕先容 关于泛解析 列举爆破常用工具： 关于字典 2. DNS域传送 检测方法： nslookup Dig 其他 3. 证书透明度网络子域 网络方法： 在线查询： 浏览器查询 工具：4. 公开数据集5. 第三方聚合做事6. 搜索引擎先容搜索方法：主流搜索引擎Goolge：网络空间引擎fofaShodan0.zonehunter其他7. 工具自动化OneForAllsubfinderksubdomainJSINFO-SCANURLFinderLayer子域名挖掘机ESDEyeWitness0x03 IP信息网络1. 绕过CDN获取真实ip简述常见CDN做事商CDN判断0x01 多ping0x02 nslookup0x03 header头信息0x04 在线检测工具获取真实IP0x01 dns历史绑定记录0x02 网络空间测绘搜索引擎0x03 子域名0x04 异地ping0x05 SSL证书在线：命令行工具：0x06 敏感文件透露0x07 CDN配置问题0x08 漏洞0x09 邮件头信息0x10 vhost碰撞0x11 运用程序0x12 通过 F5 LTM 解码0x13 其他真实ip验证：cdn节点判断真实IP利用：2. 组织IP段3. C段C段紧张网络点：扫描常用工具：网络空间搜索引擎（fofa、quake...)nmapmsscanGobyshuizefscanALLin4. 旁站（ip反查域名）常见查询方法：5. 端口端口渗透思路表6. IP定位0x04 指纹信息1. CMS开拓措辞识别思路做事器系统识别思路CMS识别思路特定文件的MD5页面关键字要求头信息关键字url关键字在线平台工具浏览器插件2. WAF手工工具3. 组件4. 信息处理EholeAlliNBufferflyHKToolsEyeWitnessanew(去重)0x05 敏感信息1. 目录构造及敏感文件常见敏感目录及文件工具推举dirsearchferoxbusteryjdirscan字典推举fuzzDictsWeb-Fuzzing-BoxXXE 暴力列举字典2. JS信息网络JS信息查找方法1. 手工2. 半自动3. 工具：4. 其他赞助工具历史界面反混肴url采集js中关键信息简记3. Google Hacking解释hacking常用语法管理后台地址上传类漏洞地址注入页面编辑器页面孔录遍历漏洞SQL缺点公开文件透露邮箱信息社工信息tips：百度语法图片反查百度识图、googleimage、tineye等识图引擎从图片原图获取坐标在线查看器经纬度转地址4. Github信息网络Github搜索语法网络工具GitDorkertrufflehog其他检索方法：代码仓库在线搜索平台pinatahubsearchcode其他仓库5. 邮箱信息网络邮箱入口查找方法C段扫描探求入口通过子域名扫描探求入口通过搜索引擎探求入口邮箱网络方法搜索引擎Google Hacking网络空间搜索引擎在线网络平台Snov.iohunterphonebookintelxskymem爱企查、企查查等批量查询邮箱透露信息查询其他工具网络theHarvester验证邮箱在线平台工具邮箱爆破常用字典组合工具临时邮箱匿名邮箱6. 网盘信息网络在线平台搜索关键词爬虫0x06 其他信息1. APPApp查找入口搜索引擎在线聚合平台App敏感信息网络手工网络工具推举：2. OSINT情报干系资源OSINT 情报工具3. 个人隐私信息从邮箱查询从用户名查询从IP查询稠浊查询从注册信息查询4. 历史漏洞5. 蜜罐识别工具向参考

对付外网信息网络紧张有几点：ip、域名、企业等资产信息以及相应端口/做事、指纹、敏感信息、社工碰撞等易受攻击面信息。

tips：

挂代理池，走负载均衡，防止被锁IP。

确定目标后，析缕分条，找到打破及利用点。

关于打点时隐匿：攻击前：虚拟机做全局代理、浏览器隐私模式或Tor，脚本、账号啥的非本人攻击后：Rootkit……

工具、网站

备注

爱站、站长工具

Whois、备案号、权重、公司名称等

天眼查、企查查、搜狗搜索引擎

公司注册域名、微信"大众年夜众号、APP、软件著作权等

ZoomEye、Shodan、FOFA、0.Zone、quake

网络空间资产搜索引擎

ENScanGo、ICP备案

主域名网络

OneForAll、Layer、Rapid7的开源数据项目、ctfr、EyeWitness

子域名网络

Kscan、ShuiZe_0x727、ARL灯塔、Goby

自动化、批量信息网络

Bufferfly、Ehole

资产处理、信息筛选

dnsdb、CloudFlair

CDN干系

VirusTotal、微步、ip2domain

C段、域名/ip情报信息

Nmap、Masscan

端口做事信息

Google Hacking、dirsearch、URLFinder

WEB站点信息、api接口等

wafw00f

waf识别

云悉、潮汐、WhatWeb

在线CMS识别

七麦、小原本

APP资产

ApkAnalyser

App敏感信息

乌云漏洞库、CNVD、waybackurls

历史漏洞、历史资产等

n0tr00t/Sreg、reg007

个人隐私信息

GitDorker

资产信息、源码透露

theHarvester、Snov.io

邮箱信息网络

OSINT开源情报和侦擦工具

开源情报资源导航

anti-honeypot、Honeypot Hunter

蜜罐识别

域名用来代替IP使其更随意马虎被用户找到、记住。

对付"非用户"来说，通过域名信息获取：主域名、存活站点、关联信息、钓鱼信息。
为漏洞挖掘供应数据支撑。

海内做事器线上运营都必须先办理ICP备案后才能上线。

https://beian.miit.gov.cn/#/Integrated/index

公安部备案查询

反查可分为备案域名查询和未备案域名查询。

备案域名查询

未备案域名查询

whois是用来查询域名的IP以及所有者等信息的传输协议。

通过whois信息可以获取注册人的关键信息。
如注册商、联系人、联系邮箱、联系电话，也可以对注册人、邮箱、电话反查域名，也可以通过搜索引擎进一步挖掘域名所有人的信息。
深入可社工、可漏洞挖掘利用。

ps:

部分whois查询存在隐蔽信息，可以在其他站点查询。

whois紧张还是注册商、注册人、邮件、DNS 解析做事器、注册人联系电话。

由于GDRP，ICANN哀求所有域名注册商必须对域名whois隐私信息进行保护，以是whois信息越来越少……但还是会存在一些whois域名系统是旧缓存数据。

ps:

目标可能存在多个域名绑定于同一ip上，通过ip反查可以获取到其他域名信息。
比如旁站。

通过获取目标真实IP后，进行反查的旁站更真实。

查询站点需繁芜性，单一的站点会有反查不出信息的可能。

大型企业不同的站点收录可能不一样

个人推举3个不同站点反查

在线查询网站：

搜索引擎：

信息网络过程中，每每会由于配置缺点或是未及时回收等缘故原由，存在一些隐形资产。
直接访问的话会涌现访问限定的问题，如下：

域名解析后到内网地址有做事器真实 IP，但找不到内网域名。

究其缘故原由，大多数是由于中间件对ip访问做限定，不能通过ip直接访问，必须利用域名进行访问。
如果域名解析记录里也找不到域名记录，这时就可以用到HOST碰撞技能，通过将域名和IP进行捆绑碰撞，一旦匹配到后端代理做事器上的域名绑定配置，就可以访问到对应的业务系统，从而创造隐形资产。

手腕：

利用网络到的目标IP、爬虫或自定义的内部域名（内网host池），作为字典，通过脚本进行碰撞，脚本会自动仿照绑定ip与host进行要求交互，通过标题或相应大小判断结果。
只要字典够强大，总能出一两个，爆破时最好也试下TLS，部分主机会利用TLS的。

验证结果，只需修正本机host文件绑定host与ip后，看访问变革。

自动化：

DNS（Domain Name Server，域名做事器）是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的做事器。
DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表，以解析的域名，即保存了IP地址和域名的相互映射关系。
域名是Internet上某一台打算机或打算机组的名称，用于在数据传输时标识打算机的电子方位（有时也指地理位置）。
域名是由一串用点分隔的名字组成的，常日包含组织名，而且始终包括两到三个字母的后缀，以指明组织的类型或该域所在的国家或地区。
也正是由于DNS的存在，访问相应做事只需记住域名，不须要记住无规则的ip地址。

可以通过查询共享DNS做事器的主机来获取到干系的域名，多是用于自建DNS做事器。
如果是公开的DNS做事器，那么查询的效果将会特殊差。

nslookup -query=ns baidu.com 8.8.8.8

直接搜索目标干系关键内容来查询，比如公司名、备案、引用的分外js等。

搜索引擎很多，这里以Google为例：

7. 配置信息

由于信息透露问题，某些配置或文件会存储一些目标干系的域名，如子域名、代码托管平台等，一样平常来说存储信息有限且不应公网存在此类文件。

策略文件域名信息问题如：

策略配置方面如：

这是一种声明的安全机制，可以让网站运营者能够掌握遵照CSP的用户代理（常日是浏览器）的行为。
通过掌握要启用哪些功能，以及从哪里下载内容，可以减少网站的攻击面。
CSP的紧张目的是防御跨站点脚本（cross-ste scripting，XSS）攻击。
例如，CSP可以完备禁止内联的JavaScript，并且掌握外部代码从哪里加载。
它也可以禁止动态代码实行。
禁用了所有的攻击源，XSS攻击变得更加困难。
CSP中的关键字有default-src、img-src、object-src和script-src。
个中-src可能会存在域名信息。

关键点：

HTTP header的Content-Security-Policy属性

8. 众测

补天、漏洞银行、先知、hackerone等众测的广商供应的域名测试范围。

比如hackerone：alibaba

9. 企业资产信息

通过企业名称拓展查询目标企业的组织架构、股权信息、股权穿透图、子公司、孙公司、对外投资50%等目标信息，获取其产品业务、域名、邮箱资产范围等，扩大攻击面。
大概企业资产网络点如下：

一样平常哀求50%持股或者100% 持股都可以算测试目标。

https://www.tianyancha.com/

企查查

https://www.qcc.com/

https://www.dingtalk.com/qidian/home?spm=a213l2.13146415.4929779444.89.7f157166W6H4YZ

https://wx.sogou.com/

企查查

https://www.qcc.com/

小程序企查查

https://www.qcc.com/

微信app支付宝app运用信息天眼查

https://www.tianyancha.com/

七麦数据

https://www.qimai.cn/

企查查：

https://www.qcc.com/

https://www.xiaolanben.com/pc

点点数据

https://app.diandian.com/

豌豆荚

https://www.wandoujia.com/

方便获取app历史版本

关于工具ENScanGo

https://github.com/wgpsec/ENScan_GO

由狼组安全团队的 Keac 师傅写的专门用来办理企业信息网络难的问题的工具，可以一键网络目标及其控股公司的 ICP 备案、APP、小程序、微信"大众年夜众号等信息然后聚合导出。

子域名一样平常是父级域名的下一级。
一样平常企业主站域名的防护都是重点，安全级别较高，打破难度较大，而企业可能会有数十个乃至更多的子域名运用，由于数量浩瀚，安全成分和本钱投入多，相应的防护也没有那么及时有效。
子域名每每是攻击打破口，通过子域名创造更多的可能性或是进行迂回攻击。

子域名信息点：

要说大略粗暴还是子域名列举爆破，通过不断的拼接字典中的子域名前缀去列举域名的A记录进行DNS解析，如果成功解析解释子域名存在。
如xxx.com拼接前缀test组合成test.xxx.com，再对其进行验证。
但是域名如果利用泛解析的话，则会导致所有的域名都能成功解析，使得子域名列举变得不精准。

nslookup验证下~

泛解析：利用通配符 来匹配所有的子域名，从而实现所有的子级域名均指向相同网站空间。

会存在域名挟制、域名恶意泛解析风险

会主站被降权，可能被恶意利用，占用大量流量

关于恶意解析：https://cloud.tencent.com/developer/article/1494534?from=article.detail.1874625

稠浊泛解析：在泛解析的根本上，增加一个限定，使记录可以按照需求进行分类。
https://cloud.tencent.com/document/product/302/9073

那么域名利用了泛解析怎么去办理呢？

一样平常有两种：

在线查询：

其他：

字典这块引用下https://feei.cn/esd/

DNS做事商的字典一样平常来说最准确有效，如：DNSPod公布的利用最多的子域名：dnspod-top2000-sub-domains.txt

普通字典：一些根本组合。

常用词组：常见的中英文词组。

爆破工具的字典: 可结合整理过的字典

DNS做事器分为：主理事器、备份做事器和缓存做事器。

在主备做事器之间同步数据库，须要利用“DNS域传送”的一种DNS事务。
域传送是指备份做事器从主理事器上复制数据，然后更新自身的数据库，以达到数据同步的目的，这样是为了增加冗余，一旦主理事器涌现问题可直接让备份做事器做好支撑事情。

若DNS配置不当，可能导致匿名用户获取某个域的所有记录。
造玉成部网络的拓扑构造透露给潜在的攻击者，包括一些安全性较低的内部主机，如测试做事器。
凭借这份网络蓝图，攻击者可以节省很少的扫描韶光。

axfr 是q-type类型的一种，axfr类型是Authoritative Transfer的缩写，指要求传送某个区域的全部记录。
只要欺骗dns做事器发送一个axfr要求过去，如果该dns做事器上存在该漏洞，就会返回所有的解析记录值。

# 查询nameserver nslookup -type=ns nhtc.wiki 8.8.8.8 # 指定nameserver，列举域名信息 nslookup # Server 命令参数设定查询将要利用的DNS做事器 server cloudy.dnspod.net # Ls命令列出某个域中的所有域名 ls nhtc.wiki

无法列出域，不存在此漏洞~

# 找到NS做事器 dig nhtc.wiki ns

# 发送axfr要求 dig axfr @cloudy.dnspod.net nhtc.wiki

nmap:

nmap --script dns-zone-transfer --script-args dns-zone-transfer.domain=nhtc.wiki -p 53 -Pn cloudy.dnspod.net

python

# DNS库 xfr = dns.query.xfr(where=server, zone=self.domain, timeout=5.0, lifetime=10.0) zone = dns.zone.from\_xfr(xfr)

一样平常情形下，DNS做事器配置都正常，关闭了域传送或设置白名单，利用率低。
推举交给自动化。

证书透明度（Certificate Transparency）是谷歌力推的一项拟在确担保书系统安全的透明审查技能。
其目标是供应一个开放的审计和监控系统，可以让任何域名的所有者，确定CA证书是否被缺点签发或恶意利用。
TLS的缺陷是你的浏览器隐性包含了一个大型受信赖CA列表。
如果任何这些CA恶意为域创建新证书，则你的浏览器都会信赖它。
CT为TLS证书信任供应了额外的安全保障：即公司可以监控谁为他们拥有的域创建了证书。
此外，它还许可浏览器验证给定域的证书是否在公共日志记录中。

————————Google 的证书透明度项目

由于证书透明性是开放架构，可以检测由证书颁发机构缺点颁发的 SSL 证书，也可以识别恶意颁发证书的证书颁发机构，且任何人都可以构建或访问，CA证书又包含了域名、子域名、邮箱等敏感信息，代价就不言而喻了。

一样平常利用 CT 日志搜索引擎进行域名信息网络，由于这天记网络，只增不减，可能会有一些失落效域名。

点击浏览器网站小锁-->安全连接-->更多信息-->查看证书-->查看主题替代名称处，有时候会有主域名和子域名信息。

工具：ctfrOneForAll4. 公开数据集

利用已有公开的全网扫描数据集，对子域名信息进行网络。

网络方法：

通过第三方平台供应的一些做事，快速创造子域名信息。

VirusTotal会运行DNS复制功能，通过存储用户访问URL时实行的DNS解析来构建数据库。

搜索引擎是用于查找和排名与用户搜索匹配的 Web 内容的工具。

搜索引擎通过“蜘蛛”对全网进行大量爬行并处理后，建立索引（索引是将抓取页面中的信息添加到叫做搜索索引的大型数据库中。
）。
在此期间每每网络了大量的域名信息，须要对应的语法，即可从这数据库中获取想要的信息。

一份国外调查表：

Goolge：

俗称Google Hacking 大法，有十几种语法，稠浊利用可以更加准确地查找信息。

搜索子域名信息

site:360.cn

搜索一个域名后台信息

site:xx.com inurl:id=1 intext:后台

FOFA是白帽汇推出的一款网络空间搜索引擎，它通过进行网络空间测绘，能够帮助研究职员或者企业迅速进行网络资产匹配，例如进行漏洞影响范围剖析、运用分布统计、运用盛行度排名统计等。

逻辑连接符

详细含义

\=

匹配，=""时，可查询不存在字段或者值为空的情形

\=\=

完备匹配，==""时，可查询存在且值为空的情形

&&

与

|

或者

!\=

不匹配，!\=""时，可查询值为空的情形

~\=

正则语法匹配专用（高等会员独占，不支持body）

()

确认查询优先级，括号内容优先级最高

目前FOFA支持了多个网络组件的指纹识别，包括建站模块、分享模块、各种开拓框架、安全监测平台、项目管理系统、企业管理系统、视频监控系统、站长平台、电商系统、广告同盟、前端库、路由器、SSL证书、做事器管理系统、CDN、Web做事器、WAF、CMS等等，详细信息见https://fofa.info/library

常用语法可通过”查询语法“功能获取：

https://fofa.info/

例句(点击可去搜索)用场解释注

例句(点击可去搜索)

用场解释

注

title="beijing"

从标题中搜索“北京”

-

header="jboss"

从http头中搜索“jboss”

-

body="Hacked by"

从html正文中搜索abc

-

domain="qq.com"

搜索根域名带有qq.com的网站。

-

icon_hash="-247388890"

搜索利用此icon的资产。

仅限高等会员利用

host=".gov.cn"

从url中搜索”.gov.cn”

搜索要用host作为名称

port="443"

查找对应“443”端口的资产

-

ip="1.1.1.1"

从ip中搜索包含“1.1.1.1”的网站

搜索要用ip作为名称

ip="220.181.111.1/24"

查询IP为“220.181.111.1”的C网段资产

-

status_code="402"

查询做事器状态为“402”的资产

-

protocol="https"

查询https协议资产

搜索指定协议类型(在开启端口扫描的情形下有效)

city="Hangzhou"

搜索指定城市的资产。

-

region="Zhejiang"

搜索指定行政区的资产。

-

country="CN"

搜索指定国家(编码)的资产。

-

cert="google"

搜索证书(https或者imaps等)中带有google的资产。

-

banner=users && protocol=ftp

搜索FTP协议中带有users文本的资产。

-

type=service

搜索所有协议资产，支持subdomain和service两种。

搜索所有协议资产

os=windows

搜索Windows资产。

-

server=="Microsoft-IIS/7.5"

搜索IIS 7.5做事器。

-

app="HIKVISION-视频监控"

搜索海康威视设备

-

after="2017" && before="2017-10-01"

韶光范围段搜索

-

asn="19551"

搜索指定asn的资产。

-

org="Amazon.com, Inc."

搜索指定org(组织)的资产。

-

base_protocol="udp"

搜索指定udp协议的资产。

-

is_ipv6=true

搜索ipv6的资产

搜索ipv6的资产,只接管true和false。

is_domain=true

搜索域名的资产

搜索域名的资产,只接管true和false。

ip_ports="80,161"

搜索同时开放80和161端口的ip

搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)

port_size="6"

查询开放端口数量即是"6"的资产

仅限FOFA会员利用

port_size_gt="3"

查询开放端口数量大于"3"的资产

仅限FOFA会员利用

port_size_lt="12"

查询开放端口数量小于"12"的资产

仅限FOFA会员利用

ip_country="CN"

搜索中国的ip资产(以ip为单位的资产数据)。

搜索中国的ip资产

ip_region="Zhejiang"

搜索指定行政区的ip资产(以ip为单位的资产数据)。

搜索指定行政区的资产

ip_city="Hangzhou"

搜索指定城市的ip资产(以ip为单位的资产数据)。

搜索指定城市的资产

ip_after="2019-01-01"

搜索2019-01-01往后的ip资产(以ip为单位的资产数据)。

搜索2019-01-01往后的ip资产

ip_before="2019-07-01"

搜索2019-07-01以前的ip资产(以ip为单位的资产数据)。

搜索2019-07-01以前的ip资产

根本理解后，可以试试规则专题，官方有供应相应的指纹、组件查找，包含“数据库专题”、“工控专题”和“区块链专题”。
也可以自己提交。

Shodan是一个搜索接入互联网的设备的搜索引擎，2009年由约翰·马瑟利发布。
学生会员可以每个月下载1w条数据，黑五可能会有优惠价格。

ps：Shodan 侧重于主机设备

它是一个免费的外部攻击面管理SaaS平台，供红蓝队利用，为防御者供应攻击者视角下的企业外部攻击面数据，减少攻防信息差，以促进企业攻击面的收敛和管理。

搜索企业名称示例（须要会员才能获取企业黄页）

可查看此公司下匹配到的信息系统、移动端运用、敏感目录、邮箱、文档、代码、职员信息数据。
这个功能定向查找单位资产非常方便好用。

不同于fofa，该平台做了收录信息归纳，觉得还不错。

环球鹰是奇安信的一款产品。
通过网络空间测绘技能，环球鹰测绘平台可以供应IP、域名、开放端口、运用/组件、所属企业等关键安全信息，同时结合攻防场景绘制了资产画像与IP画像，实现互联网资产的可查、可定位、操作可识别的检索，助力企业日常的安全运营事情，例如未知资产创造、风险识别、漏洞修复等。
目前环球鹰网络空间测绘平台已有3亿独立IP，资产(剔除历史重复数据)总数超过20亿，已实现全端口覆盖。
在环球我们已覆盖了261个国家，96% ASN域。
海内web资产最快4天更新，最慢7天更新。

语法参考

其他

还有一些不错的检索平台，就不一一先容，可以辞官网瞧瞧语法和规则这块，这块还是api用得多。
（没会员没法爽玩。
。
）

关于搜索引擎详细可以参考下：

总的来说，信息网络有很多重复性查询筛选，手工相对费时费力，因此可以借助半自动化工具来达到事半功倍的效果。

https://github.com/shmilylty/OneForAll

办理大多传统子域名网络工具不足强大、不足友好、短缺掩护和效率问题的痛点，是一款集百家之长，功能强大的全面快速子域网络终极神器。

https://github.com/projectdiscovery/subfinder

brew install subfinder

Subfinder 是一个子域创造工具，它通过利用被动在线资源来创造网站的有效子域。
它具有大略的模块化架构，并针对速率进行了优化。
subfinder 是为只做一件事而构建的——被动子域列举，它做得很好。

https://github.com/knownsec/ksubdomain

ksubdomain是一款基于无状态子域名爆破工具，支持在Windows/Linux/Mac上利用，它会很快的进行DNS爆破，在Mac和Windows上理论最大发包速率在30w/s,linux上为160w/s的速率。

https://github.com/p1g3/JSINFO-SCAN

递归爬取域名(netloc/domain)，以及递归从JS中获取信息的工具

https://github.com/pingc0y/URLFinder

URLFinder是一款用于快速提取检测页面中JS与URL的工具。

功能类似于JSFinder，但JSFinder好久没更新了。

https://github.com/euphrat1ca/LayerDomainFinder

Layer子域名挖掘机是一款子域名网络工具，拥有简洁的界面和大略的操作模式，支持做事接口查询和暴力列举获取子域名信息，同时可以通过已获取的域名进行递归爆破。

https://github.com/FeeiCN/ESD

支持泛解析功能较全的列举子域工具

https://github.com/FortyNorthSecurity/EyeWitness

Eyewitness可自动查询URL对应网站的截图、RDP做事、Open VNC做事器以及一些做事器title、乃至是可识别的默认凭据等，终极会天生一个详细的html报告。

通过ip或域名获取到一些基本信息（端口、做事、架构、目录等）后，也可以通过ip段目标扩大攻击面，也有可能找到一些未分配的边缘资产。

CDN是IP信息探测或打点必不可绕过的一个话题。
当目标利用了CDN加速，获取到的目标ip不一定是真实ip。
以是常日在履行端口、漏扫等测试之前，需判断下是否真实IP，是否利用了CDN或其他代理等等，避免无效操作、蜜罐、非目标点。

CDN的全称是Content Delivery Network，即内容分发网络。
其基本思路是尽可能避开互联网上有可能影响数据传输速率和稳定性的瓶颈和环节，使内容传输的更快、更稳定。
通过在网络各处放置节点做事器所构成的在现有的互联网根本之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的间隔和相应韶光等综合信息将用户的要求重新导向离用户最近的做事节点上。
其目的是利用户可就近取得所需内容，办理 Internet网络拥挤的状况，提高用户访问网站的相应速率。

一、海内 CDN 做事商

二、国外 CDN 做事商

确定CDN加速解析后，那就要考虑如何绕过来获取真实ip，以进一步攻击利用。

通过多地ping目标域名，如果没有利用CDN，只会显示一个IP地址，或者双线接入情形的两个不同运营商ip。

多ping在线站点：

如图，不同地区访问有不同ip，一样平常存在CDN：

0x02 nslookup

获取到的DNS域名解析结果中返回多个ip的，一样平常都是存在CDN做事。

0x03 header头信息要求相应包header头中是否存在cdn做事商信息报错信息若 asp 或者 asp.net 网站返转头的 server 不是 IIS、而是 Nginx，则多数利用了nginx反向代理到 CDN

查询域名历史解析记录，可能会存在未利用cdn之前的真实ip记录：

CDN判断：

存在CDN，利用微步查询获取历史记录，然后将每个ip都测试一篇

通过源代码获取，确定真实ip

0x02 网络空间测绘搜索引擎

网络空间测绘，一样平常都会定时把全网资产扫一遍存在数据库里。

通过网络空间测绘搜索引擎搜索其收录的目标干系信息，有概率获取到目标真实IP。

大概从以下几个关键成分去搜索验证：

通过获取logo icon指纹哈希特色，搜索其相同的主机结果，进一步探测真实IP：

未找到~

考虑到CDN本钱问题，一些主要站点会采取cdn加速，而一些子域名则没有利用。
一样平常情形下，一些子域名与主站的真实ip在同一c段或同一台做事器上，这时就可以通过创造子域名c段ip、端口信息，逐个探测定位主站真实ip地址。

常见查找方法和工具：

部分海内cdn广商只做了海内的线路，而没有铺设对国外的线路，这时就可以通过外洋解析直接获取到真实IP。

可以利用：

证书颁发机构 (CA) 必须将他们发布的每个 SSL/TLS 证书发布到公共日志中，SSL/TLS 证书常日包含域名、子域名和电子邮件地址。
因此可以利用 SSL/TLS 证书来创造目标站点的真实 IP 地址。

CDN在供应保护的同时，也会与做事器之间进行加密通信（SSL）。
当通过服443端口去访问做事器ip或域名时，就会暴露其SSL证书，也就可以通过证书比对创造做事器的真实IP地址。

通过 https://crt.sh 进行快速证书查询网络

Censys 引擎Censys 搜索引擎能够扫描全体互联网，每天都会扫描 IPv4 地址空间，以搜索所有联网设备并网络干系的信息，可以利用 Censys 进行全网方面的 SSL 证书搜索，找到匹配的真实 IP 。

通过Censys引擎搜索证书信息，创造多个有效或无效的证书：

https://search.censys.io/certificates?q=www.roken-niji.jp

ps: 并不是有效的证书才是有代价的，无效的证书中也会有很多做事器配置缺点依然保留着的信息。

精准定位有效SSL证书：

parsed.names: xxx.com and tags.raw: trusted

逐个打开，根据sha1署名反查主机

无果~~~

命令行openssl

openssl s\_client -connect roken-niji.jp:443 | grep subject

curl -v https://www.roken-niji.jp/ | grep 'subject'工具：

CloudFlair

项目地址：https://github.com/christophetd/CloudFlair

利用来自 Censys 的全网扫描数据查找 CloudFlare 背后网站的源做事器。

包括但不限于：

某些站点只做了www cname到CDN上，导致www.xxx.com和xxx.com是两条独立的解析记录，以是可以通过直接ping域名xxx.com获取到未加入cdn的真实IP，同理http协议和https协议配置也是有可能涌现这种问题。

一样平常邮件系统都在内部，没有经由CDN解析，通过邮件发送、RSS订阅等sendmail功能去获取到做事器与邮箱系统交互的邮件源码，在源文件头信息或者源代码中就会包含做事器真实ip。
但需把稳该ip是否第三方邮件做事器（如腾讯企业邮件、阿里企业邮箱），一样平常只有运用与网站在同一做事器上时，才获取到当前做事器的真实ip。

常见交互功能点：

可以通过查mx记录确定下是否第三方邮件做事器，当然这里这个邮箱很明显了。
。

大佬分享的奇淫技巧：通过发送邮件给一个不存在的邮箱地址，比如 000xxx@domain.com ，由于该用户不存在，以是发送将失落败，并且还会收到一个包含发送该电子邮件给你的做事器的真实 IP 关照。

foxmail导出的邮件可以用编辑器打开查看其内容。

只要字典够强大，数据够多，通过 IP 和子域的碰撞，总会有所收成。

在线工具：

https://pentest-tools.com/information-gathering/find-virtual-hosts#

一些app、小程序会直接采取ip进行通信交互，也可以通过一些历史版本探测真实ip。

一样平常常用的负载均衡实现办法：

基于cookie的会话保持

基于session的会话保持，如weblogic的session复制机制

基于四层的负载，ip+端口。

例如：基于cookie会话保持情形：

F5在获取到客户端第一次要求时，会利用set cookie头，给客户端标记一个特定的cookie。

Set-Cookie: BIGipServerPool-i-am-na\_tcp443=2388933130.64288.0000; path=/;

后续客户端要求时，F5都会去校验cookie中得字段，判断交给那个做事器处理。
那么就可以利用此机制，获取处理做事器的ip地址，大概率也是网站做事器真实ip。
详细解法如下：

一样平常来说基本都是内网ip，但也有例外，得看支配情形，无意间找到一个：

Set-Cookie: BIGipServerpool-shibboleth3-dev-8080=3045805720.36895.0000; path=/; Httponly

自动化解码工具：

https://github.com/ezelf/f5_cookieLeaks

Set-Cookie: BIGipServerpool-shibboleth3-dev-8080=3045805720.36895.0000; path=/; Httponly0x13 其他扫全网https://github.com/superfish9/hackcdnhttps://github.com/boy-hack/w8fuckcdn流量攻击对不设防的CDN发起大量访问，导致出错或做事器改换时可能会透露真实ip。
长期关注定期访问记录ip变革，业务变更或架构调度可能会有改换做事器改换ip的情形。
流量包问题部分开拓者会将真实ip记录到一些header相应头或者相应包中。
403绕过当目标地址放在标头（如Location头）中时，可通过抓包将http协议改为1.0并将要求中除第一行外的所有数据删掉，再发送要求有机会再相应包中Location头获取到真实ip地址。
……

更多方法可以参考binmaker大佬的总结：

渗透测试中最全的CDN绕过总结

对付一些cdn节点可以利用阿里云的CDN节点判断验证找到的ip是否为CDN节点：

https://www.alibabacloud.com/help/zh/alibaba-cloud-cdn/latest/query-ip-addresses

如果是假，则返回cdn信息

2. 组织IP段

当目标信息比较笼统时，可以通过IP地址注册信息查询运营商给目标组织所分配的ip段信息，继而对这个段进行测试。
这样既可以扩大范围也有可能直接找到CDN后的真实做事器。

以阿里为例，网络组织对应ip信息

Hurricane Electric BGP Toolkit

一样平常都是扫C段为主，B段为辅。
通过获取同在一个ip段的同类型网站或业务来扩大攻击面，每每同ip段中会存在一些后台、api干系处理做事等。

ps: 手工扫描都是实时的，比较空间搜索引擎较精准些。

nmap -vvv -Pn -p- ip/24 -n -T4 #-v 输出详细信息，-v/-vv/-vvv v越多信息越详细 上线3个v #-Pn 扫描时不用ping #-p- 扫描所有端口（65535个）。
如果不该用 -p- ，nmap 将仅扫描1000个端口，GUI参数不可用 #-n 不做DNS解析 #-T4 设置韶光模板,0-5部分做了扫描韶光优化，默认3未作优化。
4加速扫描又保持一定准确性扫描全端口，并调用各种脚本

#!/usr/bin/env bash read -p "ip: " ip nmap -v -Pn -p- --open -sV $ip -n -T4 --max-scan-delay 10 --max-retries 3 --min-hostgroup 10 -oX $ip-result-\`date +%y-%m-%d-%H-%M-%S\`.xml --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version,ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute快速扫描常见端口，并调用各种脚本

#!/usr/bin/env bash read -p "ip: " ip nmap -vvv -Pn -p 20,22,23,25,53,69,80-89,443,8440-8450,8080-8089,110,111,137,143,161,389,512,873,1194,1352,1433,1521,1500,1723,2082,2181,2601,3128,3312,3306,3389,3690,4848,5000,5432,5900,5984,6379,7001,7002,7003,7778,8000,8069,8888,9000,9002,9080-9081,9090,9200,10001,10002,11211,27017,50070 --open -sV $ip -n -T4 --max-scan-delay 10 --max-retries 3 --min-hostgroup 10 -oX $ip-result-\`date +%y-%m-%d-%H-%M-%S\`.xml --script=dns-zone-transfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enum,http-webdav-scan,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version,ftp-brute,imap-brute,smtp-brute,pop3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brutemsscan

https://github.com/robertdavidgraham/masscan

https://github.com/7dog7/masscan_to_nmap

https://cn.gobies.org/

https://github.com/0x727/ShuiZe_0x727

https://github.com/shadow1ng/fscan

https://github.com/P1-Team/AlliN

一个做事器上存在多个站点，可通过ip查询相应站点，再从相应站点进一步打破获取做事器权限。

在线平台：

https://www.webscan.cc/https://viewdns.info/reverseip/https://reverseip.domaintools.com/https://tools.ipip.net/ipdomain.phphttps://dnslytics.com/

网络空间搜索引擎：

工具：

确定真实ip后，就可以进行端口扫描，比较常见的便是nmap和masscan了，masscan比较nmap多了速率的上风，可以快速扫描全端口。
扫描可以结合空间引擎结果创造更多目标端口。

tips:

大批量扫描时建议云上挂代理池进行。

查看端口涌现频率

https://github.com/laconicwolf/Masscan-to-CSV

masscan扫描出的端口可以用nmap去确认

工具可参考C段章节

引用下某大佬的端口渗透思路表，可以学习学习下。

端口

做事

渗透用场

tcp 20,21

FTP

许可匿名的上传下载,爆破,嗅探,win提权,远程实行(proftpd 1.3.5),各种后门(proftpd,vsftp 2.3.4)

tcp 22

SSH

可根据已搜集到的信息考试测验爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等

tcp 23

Telnet

爆破,嗅探,一样平常常用于路由,交流上岸,可考试测验弱口令

tcp 25

SMTP

邮件假造,vrfy/expn查询邮件用户信息,可利用smtp-user-enum工具来自动跑

tcp/udp 53

DNS

许可区域传送,dns挟制,缓存投毒,欺骗以及各种基于dns隧道的远控

tcp/udp 69

TFTP

考试测验下载目标及其的各种主要配置文件

tcp 80-89,443,8440-8450,8080-8089

各种常用的Web做事端口

可考试测验经典的topn,vpn,owa,webmail,目标oa,各种Java掌握台,各种做事器Web管理面板,各种Web中间件漏洞利用,各种Web框架漏洞利用等等……

tcp 110

POP3

可考试测验爆破,嗅探

tcp 111,2049

NFS

权限配置不当

tcp 137,139,445

Samba

可考试测验爆破以及smb自身的各种远程实行类漏洞利用,如,ms08-067,ms17-010,嗅探等……

tcp 143

IMAP

可考试测验爆破

udp 161

SNMP

爆破默认团队字符串,搜集目标内网信息

tcp 389

LDAP

ldap注入,许可匿名访问,弱口令

tcp 512,513,514

Linux rexec

可爆破,rlogin上岸

tcp 873

Rsync

匿名访问,文件上传

tcp 1194

OpenVPN

想办法钓VPN账号,进内网

tcp 1352

Lotus

弱口令,信息泄露,爆破

tcp 1433

SQL Server

注入,提权,sa弱口令,爆破

tcp 1521

Oracle

tns爆破,注入,弹shell…

tcp 1500

ISPmanager

弱口令

tcp 1723

PPTP

爆破,想办法钓VPN账号,进内网

tcp 2082,2083

cPanel

弱口令

tcp 2181

ZooKeeper

未授权访问

tcp 2601,2604

Zebra

默认密码zerbra

tcp 3128

Squid

弱口令

tcp 3312,3311

kangle

弱口令

tcp 3306

MySQL

注入,提权,爆破

tcp 3389

Windows rdp

shift后门[须要03以下的系统],爆破,ms12-020

tcp 3690

SVN

svn透露,未授权访问

tcp 4848

GlassFish

弱口令

tcp 5000

Sybase/DB2

爆破,注入

tcp 5432

PostgreSQL

爆破,注入,弱口令

tcp 5900,5901,5902

VNC

弱口令爆破

tcp 5984

CouchDB

未授权导致的任意指令实行

tcp 6379

Redis

可考试测验未授权访问,弱口令爆破

tcp 7001,7002

WebLogic

Java反序列化,弱口令

tcp 7778

Kloxo

主机面板登录

tcp 8000

Ajenti

弱口令

tcp 8009

tomcat Ajp

Tomcat-Ajp协议漏洞

tcp 8443

Plesk

弱口令

tcp 8069

Zabbix

远程实行,SQL注入

tcp 8080-8089

Jenkins,JBoss

反序列化,掌握台弱口令

tcp 9080-9081,9090

WebSphere

Java反序列化/弱口令

tcp 9200,9300

ElasticSearch

远程实行

tcp 11211

Memcached

未授权访问

tcp 27017,27018

MongoDB

爆破,未授权访问

tcp 50070,50030

Hadoop

默认端口未授权访问

端口号

端口解释

渗透思路

21/69

FTP/TFTP：文件传输协议

爆破、内网嗅探

22

SSH：远程连接

用户名列举、爆破

23

Telnet：远程连接

爆破、内网嗅探

25

SMTP：邮件做事

邮件假造

53

DNS：域名系统

DNS域传送\DNS缓存投毒\DNS欺骗\利用DNS隧道技能刺透防火墙

389

LDAP

未授权访问（通过LdapBrowser工具直接连入）

443

https做事

OpenSSL 心脏滴血（nmap -sV --script=ssl-heartbleed 目标）

445

SMB做事

ms17_010远程代码实行

873

rsync做事

未授权访问

1090/1099

Java-rmi

JAVA反序列化远程命令实行漏洞

1352

Lotus Domino邮件做事

爆破：弱口令、信息泄露：源代码

1433

MSSQL

注入、SA弱口令爆破、提权

1521

Oracle

注入、TNS爆破

2049

NFS

配置不当

2181

ZooKeeper做事

未授权访问

3306

MySQL

注入、爆破、写shell、提权

3389

RDP

爆破、Shift后门、CVE-2019-0708远程代码实行

4848

GlassFish掌握台

爆破：掌握台弱口令、认证绕过

5000

Sybase/DB2数据库

爆破、注入

5432

PostgreSQL

爆破弱口令、高权限实行系统命令

5632

PcAnywhere做事

爆破弱口令

5900

VNC

爆破：弱口令、认证绕过

6379

Redis

未授权访问、爆破弱口令

7001

WebLogic中间件

反序列化、掌握台弱口令+支配war包、SSRF

8000

jdwp

JDWP 远程命令实行漏洞（工具）

8080/8089

Tomcat/JBoss/Resin/Jetty/Jenkins

反序列化、掌握台弱口令、未授权

8161

ActiveMQ

admin/admin、任意文件写入、反序列化

8069

Zabbix

远程命令实行

9043

WebSphere掌握台

掌握台弱口令https://:9043/ibm/console/logon.jsp、远程代码实行

9200/9300

Elasticsearch做事

远程代码实行

11211

Memcache

未授权访问（nc -vv 目标 11211）

27017

MongoDB

未授权访问、爆破弱口令

50000

SAP

远程代码实行

50070

hadoop

未授权访问

端口号

做事

渗透思路

21

FTP/TFTP/VSFTPD

爆破/嗅探/溢出/后门

22

ssh远程连接

爆破/openssh漏洞

23

Telnet远程连接

爆破/嗅探/弱口令

25

SMTP邮件做事

邮件假造

53

DNS域名解析系统

域传送/挟制/缓存投毒/欺骗

67/68

dhcp做事

挟制/欺骗

110

pop3

爆破/嗅探

139

Samba做事

爆破/未授权访问/远程命令实行

143

Imap协议

爆破161SNMP协议爆破/搜集目标内网信息

389

Ldap目录访问协议

注入/未授权访问/弱口令

445

smb

ms17-010/端口溢出

512/513/514

Linux Rexec做事

爆破/Rlogin上岸

873

Rsync做事

文件上传/未授权访问

1080

socket

爆破

1352

Lotus domino邮件做事

爆破/信息泄露

1433

mssql

爆破/注入/SA弱口令

1521

oracle

爆破/注入/TNS爆破/反弹shell2049Nfs做事配置不当

2181

zookeeper做事

未授权访问

2375

docker remote api

未授权访问

3306

mysql

爆破/注入

3389

Rdp远程桌面链接

爆破/shift后门

4848

GlassFish掌握台

爆破/认证绕过

5000

sybase/DB2数据库

爆破/注入/提权

5432

postgresql

爆破/注入/缓冲区溢出

5632

pcanywhere做事

抓密码/代码实行

5900

vnc

爆破/认证绕过

6379

Redis数据库

未授权访问/爆破

7001/7002

weblogic

java反序列化/掌握台弱口令

80/443

http/https

web运用漏洞/心脏滴血

8069

zabbix做事

远程命令实行/注入

8161

activemq

弱口令/写文件

8080/8089

Jboss/Tomcat/Resin

爆破/PUT文件上传/反序列化

8083/8086

influxDB

未授权访问

9000

fastcgi

远程命令实行

9090

Websphere

掌握台爆破/java反序列化/弱口令

9200/9300

elasticsearch

远程代码实行

11211

memcached

未授权访问

27017/27018

mongodb

未授权访问/爆破

端口号

做事

渗透思路

20

ftp_data

爆破、嗅探、溢出、后门

21

ftp_control

爆破、嗅探、溢出、后门

23

telnet

爆破、嗅探

25

smtp

邮件假造

53

DNS

DNS区域传输、DNS挟制、DNS缓存投毒、DNS欺骗、深度利用：利用DNS隧道技能刺透防火墙

67

dhcp

挟制、欺骗

68

dhcp

挟制、欺骗

110

pop3

爆破

139

samba

爆破、未授权访问、远程代码实行

143

imap

爆破

161

snmp

爆破

389

ldap

注入攻击、未授权访问

512

linux r

直策应用rlogin

513

linux r

直策应用rlogin

514

linux r

直策应用rlogin

873

rsync

未授权访问

888

BTLINUX

宝塔Linux主机管理后台/默认帐户：admin｜默认密码：admin

999

PMA

护卫神佩带的phpmyadmin管理后台，默认帐户：root｜默认密码：huweishen.com

1080

socket

爆破：进行内网渗透

1352

lotus

爆破：弱口令、信息透露：源代码

1433

mssql

爆破：利用系统用户登录、注入攻击

1521

oracle

爆破：TNS、注入攻击

2049

nfs

配置不当

2181

zookeeper

未授权访问

3306

mysql

爆破、谢绝做事、注入

3389

rdp

爆破、Shift后门

4848

glassfish

爆破：掌握台弱口令、认证绕过

5000

sybase/DB2

爆破、注入

5432

postgresql

缓冲区溢出、注入攻击、爆破：弱口令

5632

pcanywhere

谢绝做事、代码实行

5900

vnc

爆破：弱口令、认证绕过

5901

vnc

爆破：弱口令、认证绕过

5902

vnc

爆破：弱口令、认证绕过

6379

redis

未授权访问、爆破：弱口令

7001

weblogic

JAVA反序列化、掌握台弱口令、掌握台支配webshell

7002

weblogic

JAVA反序列化、掌握台弱口令、掌握台支配webshell

80

web

常见Web攻击、掌握台爆破、对应做事器版本漏洞

443

web

常见Web攻击、掌握台爆破、对应做事器版本漏洞

8080

web｜Tomcat｜..

常见Web攻击、掌握台爆破、对应做事器版本漏洞、Tomcat漏洞

8069

zabbix

远程命令实行

9090

websphere

文件透露、爆破：掌握台弱口令、Java反序列

9200

elasticsearch

未授权访问、远程代码实行

9300

elasticsearch

未授权访问、远程代码实行

11211

memcacache

未授权访问

27017

mongodb

爆破、未授权访问

27018

mongodb

爆破、未授权访问

50070

Hadoop

爆破、未授权访问

50075

Hadoop

爆破、未授权访问

14000

Hadoop

爆破、未授权访问

8480

Hadoop

爆破、未授权访问

8088

web

爆破、未授权访问

50030

Hadoop

爆破、未授权访问

50060

Hadoop

爆破、未授权访问

60010

Hadoop

爆破、未授权访问

60030

Hadoop

爆破、未授权访问

10000

Virtualmin/Webmin

做事器虚拟主机管理系统

10003

Hadoop

爆破、未授权访问

5984

couchdb

未授权访问

445

SMB

弱口令爆破，检测是否有ms_08067等溢出

1025

111

NFS

2082

cpanel主机管理系统上岸 （国外用较多）

2083

cpanel主机管理系统上岸 （国外用较多）

2222

DA虚拟主机管理系统上岸 （国外用较多）

2601

zebra路由

2604

zebra路由

3128

代理默认端口,如果没设置口令很可能就直接漫游内网了

3311

kangle主机管理系统上岸

3312

kangle主机管理系统上岸

4440

参考WooYun: 借用新浪某做事成功漫游新浪内网

6082

参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接修改或者作为代理进入内网

7778

主机掌握面板登录

8083

主机管理系统 （国外用较多）

8649

8888

主机管理系统默认端口

9000

fcgi php实行

50000

SAP

命令实行

Web端口：

80,81,82,443,5000,7001,7010,7100,7547,7777,7801,8000,8001,8002,8003,8005,8009,8010,8011,8060,8069,8070,8080,8081,8082,8083,8085,8086,8087,8088,8089,8090,8091,8161,8443,8880,8888,8970,8989,9000,9001,9002,9043,9090,9200,9300,9443,9898,9900,9998,10002,50000,50070

做事器：

21,22,445,3389,5900

数据库：

1433,1521,3306,6379,11211,270176. IP定位

这里供应几个不错的溯源定位工具：

https://www.opengps.cn/Default.aspxhttps://www.chaipip.com/aiwen.htmlhttps://cz88.net/

通过关键特色，去识别出目标指纹信息可以快速理解目标架构信息，调度攻击方向。

常见指纹信息：

已知目标CMS后，可以通过已知漏洞匹配利用，如果是开源CMS，就可以进行审计精准创造问题点。

nmap -O IPCMS识别思路特定文件的MD5

一样平常来说，网站的特定图标、js、css等静态文件不会去修正，通过爬虫对这些文件进行抓取并与规则库中md5值做比拟，如果同等便是同一CMS。
这种情形不用除会涌现二开导致的误报，但速率较快。

正则匹配关键字或报错信息判断。
如Powered by Discuz、dedecms等、tomcat报错页面

通过匹配http相应包中的banner信息来识别。

如：

将url中存在路由、robots.txt、爬虫结果与规则库做比拟剖析来判断是否利用了某CMS

如：

ps: cms识别紧张还是在于指纹库的掩护和更新。

wappalyzer

插件开源指纹库：https://github.com/AliasIO/wappalyzer/tree/master/src/technologies

碰着WAF就得对症下药，总的来说识别分为两种手工和工具：

一样平常直接输入敏感字段触发拦截规则库就行，如XSS、SQL payload

常见的WAF拦截页面可以参考下某大佬总结的WAF一图流：https://cloud.tencent.com/developer/article/1872310

一样平常通过非常报错、常用路由、常用header头来获取组件版本、配置等干系信息。

常见组件漏洞简记参考博客《组件漏洞简记》章

对前期网络到的大量资产域名、ip信息批量进行存活性、title、架构、做事等信息进行验证提取时，可以用一些自动化工具筛选出有代价的数据，从而提高漏洞创造效率。

https://github.com/EdgeSecurityTeam/EHole

EHole是一款对资产中重点系统指纹识别的工具，在红队作战中，信息网络是必不可少的环节，如何才能从大量的资产中提取有用的系统(如OA、VPN、Weblogic...)。
EHole旨在帮助红队职员在信息网络期间能够快速从C段、大量凌乱的资产中精准定位到易被攻击的系统，从而履行进一步攻击。

https://github.com/P1-Team/AlliN

一个赞助平常渗透测试项目或者攻防项目快速打点的综合工具，由之前写的工具AG3改名而来。
是一款轻便、小巧、快速、全面的扫描工具。
多用于渗透前资产网络和渗透后内网横向渗透。
工具从项目上迭代了一些Bufferfly

https://github.com/dr0op/bufferfly

攻防资产处理小工具，对攻防前的信息搜集到的大批量资产/域名进行存活检测、获取标题头、语料提取、常见web端口检测、大略中间识别，去重等，便于筛选有代价资产。

https://github.com/Security-Magic-Weapon/HKTools

一款赞助安全研发在日常事情中渗透测试、安全研究、安全开拓等事情的工具

https://github.com/FortyNorthSecurity/EyeWitness

Eyewitness可自动查询URL对应网站的截图、RDP做事、Open VNC做事器以及一些做事器title、乃至是可识别的默认凭据等，终极会天生一个详细的html报告。

https://github.com/tomnomnom/anew

好用的去重比拟工具

常见的敏感目录及文件，会对渗透打破有着很大浸染，网络思路一样平常是爬虫采集、递归扫描、Google Hacking。

tips:

扫描核心紧张在于字典代价

403、404页面可能会存在一些信息，可以多fuzz下。

工具利用时长于关键字过滤，将会减少一些误报。

dirsearch 是一款利用 python3 编写的，用于暴力破解目录的工具，速率不错，支持随机代理、内容过滤。

用Rust编写的快速，大略，递归的内容创造工具

御剑目录扫描专业版

弘大的Web Pentesting Fuzz 字典，部分精准度不错，可惜更新是2021的时候了。

Web Fuzzing Box - Web 模糊测试字典与一些Payloads，紧张包含：弱口令暴力破解、目录以及文件列举、Web漏洞...

字典利用于实战案例：https://gh0st.cn/archives/2019-11-11/1

js文件一样平常用于帮助网站实行某些功能，存储着客户端代码，可能会存在大量的敏感信息，通过阅读剖析可能会找到宝藏。

通过查看页面源代码信息，找到.js后筛选特定信息，但这种方法费时费力，一样平常网站都会存在大量的js文件，还多数为稠浊后的信息。

关键信息查找可以利用浏览器自带的全局搜索：

如：通过path:来查Vue框架路由

2. 半自动

通过抓包拦截获取url后利用脚本筛选，比如Burp Suite专业版，可以在Target > sitemap下，选中目标网站选中Engagement tools -> Find scripts，找到网站所有脚本内容。

也可以利用Copy links in selected items复制出选中脚本项目中所包含的URL链接。

粘贴下，然后就可以手工验证url信息代价，有时候可以创造一些未授权、敏感的api接口或者一些GitHub仓库、key值等。

这种方法由于结合手工，在一些深层目录架构中，通过Burp Suite script可以获取到一些工具跑不到的js信息。

JSFinder

JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具

JSINFO-SCAN

递归爬取域名(netloc/domain)，以及递归从JS中获取信息的工具

URLFinder

URLFinder是一款用于快速提取检测页面中JS与URL的工具。

功能类似于JSFinder，但JSFinder好久没更新了。

HAE

HaE是基于 BurpSuite Java插件API 开拓的要求高亮标记与信息提取的赞助型框架式插件，该插件可以通过自定义正则的办法匹配相应报文或要求报文，并对知足正则匹配的报文进行信息高亮与提取。
如匹配敏感信息、提取页面中的链接信息等。

Repo-supervisor

Repo-supervisor 是一种工具，可帮助您检测代码中的秘密和密码。

command-line-mode 功能：

CLI 模式许可利用源代码扫描本地目录以检测文件中的机密和密码。
结果可能以明文或 JSON 格式返回。

信息网络过程中，js文件不用仅限于当前网站版本，网站的历史版本中也可能会存在一些未失落效的关键信息。

wayback会记录网站版本更迭，可以获取到之前版本的网站，不仅可以用于网络历史js文件，也有可能找到一些后来删除的敏感资产信息，或者一些漏洞

历史信息查找工具：

waybackurls

获取 Wayback Machine 知道的域的所有 URL

网络历史js文件

webbackurls target.com | grep "\.js" | uniq |sort

通过Wayback Machine网络到的url js列表须要进行存活考验，避免误报，可以利用curl命令或者hakcheckurl工具进行考验。
末了在做url提取即可。

对付存在稠浊的代码须要进行反稠浊美化下，使其更易看懂

js-beautify

这个小美化器将重新格式化和重新缩进书签、丑陋的 JavaScript、由 Dean Edward 的盛行打包程序打包的解包脚本，以及由 npm 包 javascript-obfuscator处理的部分去稠浊脚本。

de4js

在线JavaScript 反稠浊器和解包器

Rad

一款专为安全扫描而生的浏览器爬虫。

whatweb-plus

获取网站title头及Web指纹

url-extractor

在线url提取

Google作为一款环球通用的发达搜索引擎，爬取的和收录的数据量也是弘大无比，善用搜索引擎语法可以帮忙我们创造更多敏感信息。

指令

用法

示例

“”（引号）

用引号来查询一个确切的单词或短语

查找有关《百年孤独》这本书的网页，语法：“百年孤独”

OR（或者）

用OR分隔搜索词，同时实行两个搜索查询，这将找到包含多个单词之一的页面。

搜索引用了“Google Drive”、“Dropbox”或“OneDrive”的页面，语法：Google Drive OR Dropbox OR OneDrive

-（减号、连字符）

在单词或网站前利用连字符将其从搜索结果中打消

从搜索结果中打消www主机名，语法：-www site:wikipedia.org

allintext:

利用allintext:[搜索短语]查找正文中包含这些单词的页面

查找正文中有关Roth、IRA投资讯息的页面，语法：allintext:Roth IRA 投资

allintitle:

利用allintitle:[搜索短语]查找标题中包含这些单词的页面

查找标题中同时包含“Apple”和“notebook”的页面，语法：allintitle:Apple notebook

allinurl:

利用allinurl:[搜索短语]查找URL中包含这些单词的页面

查找URL中同时包含”Microsoft” and “Surface”的页面，语法：allinurl:Microsoft Surface

site:

利用site:[URL]将搜索结果限定到特定网站

查找云点SEO网关于谷歌SEO的页面，语法：site:yundianseo.com 谷歌SEO

~（波浪号）

利用波浪号得到目标关键词及其近似词的搜索结果

查找SEO方面的策略或者教程，语法：SEO ~教程

related:

利用related:[URL]查找与特定网站类似的网站

查找与云点SEO类似的网站，语法：related:yundianseo.com

define:

利用define:[搜索短语]查找其定义

查找SEO的定义，语法：define:SEO

$

利用$查找特定价格的商品

查找一款售价在99美金的手机，语法：mobile phone $99

location:

利用location:[地点]查看某个地区内的干系信息

查询南京的酒店，语法：hotel location:Nanjing

（星号）

添加星号作为未知单词或事实的占位符

查找以“生活就像一个”开头的引语，语法：生活就像一个

filetype:

利用filetype:[后缀]将结果限定为特定的文件格式，如PDF或DOC。

查找PDF格式的Microsoft Office键盘快捷键干系文件，语法：filetype:pdf Microsoft Office键盘快捷键

..（两点）

用两个句点分隔数字，不带空格，以搜索该范围内的数字

查找1950年至2000年间发生的打算机里程碑，语法：”打算机里程碑” 1950..2000

AROUND(n)

在两个搜索词之间加上AROUND(n)，以查找两个词间有特定间隔的页面。
用数字n设置术语之间的最大间隔，这对付查找两个搜索词之间的关系很有用。

查找在同一句话或段落中提到Facebook和Microsoft的页面，语法：Facebook AROUND(7) Microsoft

site:target.com intext:管理 | 后台 | 后台管理 | 上岸 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system site:target.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backend site:target.com intitle:管理 | 后台 | 后台管理 | 上岸 | 登录上传类漏洞地址

site:target.com inurl:file site:target.com inurl:upload注入页面

site:target.com inurl:?id= site:target.com inurl:php?id=编辑器页面

site:target.com inurl:ewebeditor目录遍历漏洞

site:target.com intitle: "index of"SQL缺点

``site:target.com intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:”Warning: mysql_query()" | intext:"Warning: pg_connect()"

##### phpinfo

site:target.com ext:php intitle:phpinfo "published by the PHP Group"

##### 配置文件透露

site:target.com ext:.xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini

##### 数据库文件透露

site:target.com ext:.sql | .dbf | .mdb | .db

##### 日志文件透露

site:target.com ext:.log

##### 备份和历史文件透露```bashsite:target.com ext:.bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar.gz | .tgz | .tar公开文件透露

site:target.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv邮箱信息

site:target.com intext:@target.com site:target.com 邮件 site:target.com email社工信息

site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证tips：判断目标是否被黑过。
（如html寄生虫）

site:xx.com指定搜索创造多个垃圾数据，大概率中招过。
（黑帽SEO挟制）

ps: 百度、搜狗、bing也是可以利用语法精确搜索，但限于seo逻辑、广告、资源等多个成分，常常不如Google，但有时候结合又有不错的收成。

改图宝https://www.gaitubao.com/exif图虫EXIF查看器https://exif.tuchong.com/我爱斗图https://www.52doutu.cn/tools/exifpython-exifread 库https://link.zhihu.com/?target\=https%3A//pypi.python.org/pypi/ExifRead

GPS查询网址1http://www.gpsspg.com/maps.htmGPS查询网址2http://www.gzhatu.com/dingwei.html地球在线https://www.earthol.com/python-geopy库https://www.osgeo.cn/geopy/

自从学会利用github并在上面乱捣鼓找到一些站点账号或源码后，就此走上不归路，各种Github监控搞上，又创造一些阿里key，切实其实是宝了……

高等搜索：https://github.com/search/advanced

Github高等搜索语法：https://docs.github.com/cn/search-github/getting-started-with-searching-on-github/understanding-the-search-syntax?spm=a2c6h.12873639.article-detail.6.55db74b8e8hJqq

Github有着自己的搜索语法，善用搜索语法能创造更多的有用信息。
一样平常来说，Github搜索都因此域名、备案、js路径、网站技能支持等关键内容为主。

搜索包含"AccessKey ID"和password内容的代码。

一些工具中总结了一些常见的搜索语法：

https://github.com/obheda12/GitDorker/tree/master/Dorks

搜索常用语法，可以搜索到一些敏感的私钥，一些SSH登录私钥，mysql的数据库密码，API key等等

"token" "password" "secret" "passwd" "username" "key" "apidocs" "appspot" "auth" "aws\_access" "config" "credentials" "dbuser" "ftp" "login" "mailchimp" "mailgun" "mysql" "pass" "pem private" "prod" "pwd" "secure" "ssh" "staging" "stg" "stripe" "swagger" "testuser" "jdbc" extension:pem private extension:ppk private extension:sql mysql dump password extension:json api.forecast.io extension:json mongolab.com extension:yaml mongolab.com extension:ica \[WFClient\] Password\= extension:avastlic “support.avast.com” extension:js jsforce conn.login extension:json googleusercontent client\_secret “target.com” send\_keys “target.com” password “target.com” api\_key “target.com” apikey “target.com” jira\_password “target.com” root\_password “target.com” access\_token “target.com” config “target.com” client\_secret “target.com” user auth网络工具GitDorker

https://github.com/obheda12/GitDorker

GitDorker 是一款github自动信息网络工具，它利用 GitHub 搜索 API 和作者从各种来源编译的大量 GitHub dorks 列表，以供应给定搜索查询的 github 上存储的敏感信息的概述。

https://github.com/trufflesecurity/trufflehog

Truffle Hog是一款采取Python开拓的工具，它可以检索GitHub代码库的所有代码提交记录以及分支，并搜索出可以表示密钥(例如AWS密钥)的高熵字符串。
一样平常用来探测泄露密钥的工具，支持扫描的数据源包括git、github、gitlab、S3、文件系统、文件和标准输入。

https://github.com/BishopFox/GitGot

https://github.com/UKHomeOffice/repo-security-scanner

https://github.com/gwen001/github-search

https://github.com/eth0izzle/shhgit

https://github.com/lightless233/geye

https://github.com/cve-search/git-vuln-finder

https://github.com/Securityautomation/DumpTheGit

https://github.com/4x99/code6

https://github.com/tillson/git-hound

https://pinatahub.incognita.tech

github敏感信息搜索引擎，有时候github搜索查看未便利，可以直接在这个网站搜索。

https://searchcode.com/

SearchCode从Github、BitBucket、CodePlex、SourceForge、Fedora等代码仓库里筛选了近160亿行开源代码，你能够利用文件扩展、特定代码库名字、URL、正则表达式、分外字符等过滤器对源代码进行过滤，以便搜到你想要的代码。

GitLab: https://about.gitlab.com/

gitee: https://gitee.com/

csdn：https://gitcode.net/explore

有时候不仅是正面硬刚就可以的，还须要迂回战术合营出击，正如攻防中社工一样，总会有一些意想不到的成果。
随着办公网络的发展，邮箱也成为了常用的办公办法之一。
攻防也是从信息网络逐渐延伸到钓鱼上，只要钓鱼技能好，轻轻松松混入内部，而要想社工钓鱼玩得溜，邮件方面是一个主要的打破口。

tips: 邮箱建议做筛选，把一些疑是网络管理员、运维职员、安全部门的职员提取出来，单独发送或者不发，由于这部分职员安全意识偏高，随意马虎打草惊蛇，一样平常多针对非技能职员，随意马虎下手。

邮件做事器紧张从端口和title标识两个信息点去确认的。

邮件做事器常见端口：

邮件做事器常见title：

紧张通过一些子域名网络工具去确认，如：Subdomainbrute、ksubdomain、Oneforall、Sublist3r、TeeMO、LangSrcCurise、Layer挖掘机等。

沙场主力也还是Google hacking和网络空间搜索引擎

site:target.com intitle:"Outlook Web App" site:target.com intitle:"mail" site:target.com intitle:"邮箱"

(group\==阿里&&title\==邮箱)

邮箱网络方法搜索引擎Google Hacking

有时候github一些仓库代码中也会存在邮箱信息。

一样平常都会有邮箱、手机号等官方联系办法信息。

0.zone邮箱网络

email\_type\==邮箱&&(group\==阿里)

在线网络平台

ps: 基本都须要注册，注册获取的信息比游客多好多，有些还须要绑定手机号。

Snovio是一个集成了“LinkedIn、GitHub、Moz、StackOverflow、Indeed、Behance、Upwork、Google页面邮箱采集”+“邮箱验证”+“联系人管理”+“邮件发送”为一身的网站。
在Snovio只要输入一个域名，就可以采集到该域名在以上平台中暴露的所有邮箱地址，还支持API批量读取。

强大的邮箱网络，可单个网络也可以批量网络，还支持api调用。

免费版每月可以有100条网络数量，也便是50信用。

该站点的Google插件更方便

https://snov.io/knowledgebase/how-to-use-snovio-extension-for-chrome/

Hunter可让您在几秒钟内找到专业的电子邮件地址，并与对您的业务主要的人建立联系。

打码信息须要注册绑定手机号后才能看到。

Phonebook例举所有的域名，邮件地址，或者是所予域名的url，支持.gov.uk的通配符，有340亿条记录。
可以批量下载想要的域名。

intelx

intelx是一个搜索引擎和数据存档。
通过电子邮件，域名，IP, CIDR，比特币地址等等查找数据透露信息。
随便搜一下彷佛搜索出了一个透露的邮箱数据库：

skymem

一款可查找公司和职员的电子邮件地址在线邮箱查找平台，数据量较少，准确度高，大批量的须要购买。

爱企查、企查查等批量查询

如通过爱企查的爱番番寻宝客“获取更多的联系办法”

如利用八爪鱼采集器进行批量查询

https://www.bazhuayu.com/tutorial/qccqyemailcj

theHarvester是Kali自带的一款社会工程学工具，默认集成了多个api，利用网络爬虫技能通过Google、Bing、PGP、LinkedIn、Baidu、Yandex、People123、Jigsaw、Shodan、PGP做事器平分歧公开源整理网络，能够网络e-mail、用户名、主机名、子域名、雇员、开放端口和Banner等信息。

theHarvester 参数详解

-h, \--help show this help message and exit #显示帮助信息并退出 -d, \--domain DOMAIN Company name or domain to search. #要搜索的公司名称或域名 -l, \--limit LIMIT Limit the number of search results, default\=500. #采集特天命量的结果，不指定情形下，默认为500 -S, \--start START Start with result number X, default\=0. #从采集到的信息编号“X”处开始实行采集，默认从0开始 -g, \--google-dork Use Google Dorks for Google search. #利用google Dorks进行google搜索。
（一样平常情形下不用，你懂的） -p, \--proxies Use proxies for requests, enter proxies in proxies.yaml. #对信息采集的要求利用代理 -s, \--shodan Use Shodan to query discovered hosts. #利用shodan查询创造的主机 --screenshot Take screenshots of resolved domains specify output directory: #对解析域的页面进行截图，需指定截图文件存放目录 \--screenshot output\_directory \# 截图保存目录 -v, \--virtual-host Verify host name via DNS resolution and search for virtual hosts. #通过DNS解析主机名并搜索虚拟主机 -e, \--dns-server DNS\_SERVER DNS server to use for lookup. #指定DNS解析做事器 -t, \--dns-tld DNS\_TLD Perform a DNS TLD expansion discovery, default False. #实行DNS TLD扩展创造，默认为False状态 -r, \--take-over Check for takeovers. #检讨接管 -n, \--dns-lookup Enable DNS server lookup, default False. \# 启用DNS做事器查找，默认为False状态 -c, \--dns-brute Perform a DNS brute force on the domain. \# 进行DNS域解析暴力破解 -f, \--filename Save the results to an HTML and/or XML file. #指定输出文件名，格式支持HTML和XML -b SOURCE, \--source SOURCE baidu, bing, bingapi, bufferoverun, certspotter, crtsh, dnsdumpster, duckduckgo, exalead, github-code, google, hackertarget, hunter, intelx, linkedin, linkedin\_links, netcraft, otx, pentesttools, projectdiscovery, qwant, rapiddns, securityTrails, spyse, sublist3r, threatcrowd, threatminer, trello, twitter, urlscan, virustotal, yahoo #指定采集信息的源

常用参数

-d：指定搜索的域名或网址-b：指定采集信息的源（如baidu，biying，google）-l：指定采集信息的返回数量，默认500-f：输出文件名并保存采集结果，可以保存为HTML或XML格式；如果不指定，采集信息仅作屏幕显示

api key没有配置的时候，结果较少。

网络到邮箱后，就要对其进行存活性验证，避免涌现被弃用、不可用的邮箱。

verifyemail

https://github.com/Tzeross/verifyemail

Python在线验证邮箱真实性，支持批量验证，支持全部域名邮箱，支持全部域名邮箱，支持全部域名邮箱，支持全部域名邮箱

弱口令爆破办法只适用于目标企业自己的邮件做事器如owa等，对第三方邮箱不优先考虑

员工名称拼音/首字母

员工名称拼音/首字母+日期

公司简称+年份

员工名称+公司名

passwd+日期

P@sswd!+日期

爆破字典

https://github.com/rootphantomer/Blasting_dictionary

https://github.com/TheKingOfDuck/fuzzDicts

爆破邮箱大概分为两种情形

邮箱干系端口：

SMTP默认端口：25

POP3默认端口：110

IMAP默认端口：143

#所谓的十分钟邮箱类 http://www.yopmail.com/zh/ https://10minutemail.com/ https://10minutemail.net/ https://www.guerrillamail.com/zh/inbox http://www.fakemailgenerator.com/ https://temp-mail.org/en/ https://www.guerrillamail.com/ http://tool.chacuo.net/mailsend https://maildrop.cc/ http://tool.chacuo.net/mailanonymous https://tempmail.altmails.com/ https://www.snapmail.cc/ https://www.linshi-email.com/匿名邮箱ProtonMailGet secure, reliable email hosting – FastMailxyfir/ptorxTutanota6. 网盘信息网络

一些安全意识薄弱的职员对付上传到网盘上的资源未作加密限定或者密码透露，然后又被一些云盘爬虫给网络到，终极导致信息透露。
通过一些网盘引擎可以获取到个中的透露信息。

https://lzpan.com/凌风云：https://www.lingfengyun.com/蓝菊花：http://www.lanjuhua.com/大力盘：https://www.dalipan.com/猪猪盘：http://www.zhuzhupan.com/PanSou：http://www.pansou.com/盘飞飞：https://panfeifei.com/

由于网盘搜索工具的时效性，可以通过搜索引擎去获取一些。

搜索关键词

关键词一样平常以单位名称、别称、产品业务等

爬虫百度网盘爬虫脚本搜索网盘搜索工具

网盘有时候会存在一些简历信息透露，如手机号、邮箱、部门等。

通过获取App配置、数据包，去获取url、api、osskey、js等敏感信息。

ps：App关联打算另写一篇。

一样平常是通过抓包网络接口数据或者逆向获取配置数据。

AppInfoScanner

https://github.com/kelvinBen/AppInfoScanner

一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、静态网站)信息网络扫描工具，可以帮助渗透测试工程师、攻击队成员、红队成员快速网络到移动端或者静态WEB站点中关键的资产信息并供应基本的信息输出,如：Title、Domain、CDN、指纹信息、状态信息等。

ApkAnalyser

https://github.com/TheKingOfDuck/ApkAnalyser

一键提取安卓运用中可能存在的敏感信息。

目前可提取APK内：

所有字符串

所有URLs

所有ip

可能是hash值的字符串

存在的敏感词（如oss.aliyun）

可能是accessKey的值

OSINT(Open-source intelligence) 指开源情报,一项从媒体、网络、博客、视频，等公开来源中进行信息网络、提取的技能。

Smshttps://www.materialtools.com/http://receivefreesms.com/Emailhttps://10minutemail.net/http://24mail.chacuo.net/https://zh.mytrashmailer.com/http://24mail.chacuo.net/enushttps://www.linshiyouxiang.net/Fake idhttps://www.fakenamegenerator.com/http://www.haoweichi.com/https://www.fakeaddressgenerator.com/

常日将蜜罐(honeypot)定义为一种安全资源，它不须要供应实际的运用，蜜罐的存在代价便是勾引和记录攻击行为，从而理解攻击者的入侵方法和手段，并能够延缓其攻击进程，进而根据捕获的攻击行为数据，剖析攻击者利用的攻击方法和工具，从而让防御方针对性地增强系统的安全防护能力

大略识别

持续更新……

https://github.com/0x727/ShuiZe_0x727

作者：Ske

团队：0x727，未来一段韶光将陆续开源工具，地址：https://github.com/0x727

定位：帮忙红队职员快速的信息网络，测绘目标资产，探求薄弱点

措辞：python3开拓

功能：一条龙做事，只须要输入根域名即可全方位网络干系资产，并检测漏洞。
也可以输入多个域名、C段IP等，详细案例见下文。

调用：脚本借用了ksubdomain爆破子域名和theHarvester网络邮箱，感谢ksubdomain和theHarvester作者

https://github.com/TophantTechnology/ARL

旨在快速侦察与目标关联的互联网资产，构建根本资产信息库。
帮忙甲方安全团队或者渗透测试职员有效侦察和检索资产，创造存在的薄弱点和攻击面。

https://github.com/wgpsec/ENScan_GO

由狼组安全团队的 Keac 师傅写的专门用来办理企业信息网络难的问题的工具，可以一键网络目标及其控股公司的 ICP 备案、APP、小程序、微信"大众号等信息然后聚合导出。

一个用于暴力破解的工具：

网站中的 URI（目录和文件）。

DNS 子域（支持通配符）。

目标 Web 做事器上的虚拟主机名。

打开 Amazon S3 存储桶

SecLists是安全测试职员的伴侣。
它是安全评估期间利用的多种类型列表的凑集，网络在一个地方。
列表类型包括用户名、密码、URL、敏感数据模式、模糊测试负载、Web Shell 等等。
目标是使安全测试职员能够将此存储库拉到一个新的测试框上，并可以访问可能须要的每种类型的列表。

https://www.osint-labs.org/tools/

https://ip.skk.moe/

参考

https://xz.aliyun.com/t/11112

https://mp.weixin.qq.com/s/MSLwTsfahF2NSSdDznvetw

https://blog.csdn.net/qq_53577336/article/details/122828715

https://www.lijiejie.com/dns-zone-transfer-1/

https://github.com/bin-maker/2021CDN/

https://www.freebuf.com/articles/web/265016.html

作者：0nlyuAar0n奇安信攻防社区https://forum.butian.net/share/1976