一、IP資源

1.1 真實IP獲取

​ 為了保證網路的穩定和快速傳輸，網站服務商會在網路的不同位置設定節點伺服器，通過CDN（Content Delivery Network，內容分發網路）技術，將網路請求分發到最優的節點伺服器上面。如果網站開啟了CDN加速，就無法通過網站的域名資訊獲取真實的IP，要對目標的IP資源進行收集，就要繞過CDN查詢到其真實的IP資訊。

• 如何判斷是否是CDN

​ 多地ping

​ 國外ping

​ 如果返回的IP資訊是多個不同的IP，那就有可能使用了CDN技術。

1.1.1 查詢子域名

​ 由於CDN加速需要支付一定的費用，很多網站只對主站做了CDN加速，子域名沒有做CDN加速，子域名可能跟主站在同一個伺服器或者同一個C段網路中，可以通過子域名探測的方式，收集目標的子域名資訊，通過查詢子域名的IP資訊來輔助判斷主站的真實IP資訊。

1.1.2 查詢歷史DNS記錄

​ 通過查詢DNS與IP繫結的歷史記錄就有可能發現之前的真實IP資訊，一般都是通過第三方服務網站進行查詢

​ 微步線上：https://x.threatbook.cn/

​ 查詢域名的歷史DNS解析資訊，然後分析哪些IP不在現在的CDN解析IP裡面，就有可能是之前沒有用CDN加速的真實IP。

1.1.3 使用國外主機解析域名

​ 部分國內的CDN加速服務商只對國內的線路做了CDN加速，但是國外的線路沒有做加速，這樣就可以通過國外的主機來探測真實的IP資訊。

1.2.4 網站漏洞

​ 利用網站存在的漏洞和資訊洩露的敏感資訊檔案（如：phpinfo檔案、網站原始碼檔案、Github洩露的資訊等）獲取真實的IP資訊。

1.2.5 郵件資訊

郵件資訊中會記錄郵件伺服器的IP資訊，有些站點有類似於RSS郵件訂閱的功能，可以利用其傳送的郵件，通過檢視原始碼的方式檢視真實伺服器的IP資訊。

1.2 旁站

​ 在同一ip上的不同網站，在攻擊目標沒有漏洞的情況下，可以通過查詢旁站的漏洞攻擊旁站，然後再通過提權拿到伺服器的最高許可權，拿到伺服器的最高許可權後攻擊目標也就拿下了。

• 站長工具可以進行"同IP網站查詢"

• 通過Bing搜尋，連結為“https://cn.bing.com/search?q=ip:x.x.x.x”

1.3 C段主機

C段主機是指與目標伺服器在同一C段網路的伺服器。

• Nmap掃描獲取C段資訊
• 搜尋引擎收集C段資訊：site:x.x.x.*

二、域名發現

​ 像“www.xxx.com”這樣的域名為企業的主站域名，企業對於主站域名的應用的防護措施比較健全，不管是應用本身的漏洞發現、漏洞修復，還是安全裝置相關的防護都做得更加及時和到位，而企業可能有多個、幾十個甚至更多的子域名應用，因為子域名數量多，企業子域名應用的防護可能會沒有主站及時。攻擊者在主站域名找不到突破口時，就可以進行子域名的資訊收集，然後通過子域名的漏洞進行迂迴攻擊。

2.1 列舉

​ 列舉需要一個好的字典，製作字典時會將常見子域名的名字放到欄位裡面，增加列舉的成功率。

​ Layer子域名挖掘機

2.2 搜尋引擎

​ site:xxx.com

2.3 DNS域傳送漏洞

​ 正常情況下，主DNS伺服器的DNS區域傳送請求只會轉發給從DNS伺服器，進行資料更新，但是很多DNS伺服器由於錯誤配置導致任意DNS區域傳送請求都會進行資料庫同步，區域資料庫的資訊就被別人非正常獲取了，這樣就蒐集到了資料庫中儲存的攻擊域下面的所有子域名相關的資訊，導致了域名的洩露，甚至可能會包含一些測試域名、內網域名，而測試域名和內網域名的安全防護措施相對較低，更容易被攻擊者攻擊。

DNS域傳送漏洞發現子域名：

​ 使用“dig axfr @dns xxx.com”命令對目標發起axfr請求，獲取其域內所有的域名，

三、伺服器資訊收集

​ 收集伺服器開放了哪些埠，這些埠都運行了什麼型別的服務，這些服務的具體版本資訊。因為不同服務的漏洞點不一樣，相同服務不同版本的漏洞點也可能有很大差異，所以要識別每個服務的具體版本資訊，才能根據這些資訊進行相關版本漏洞的利用。

3.1 埠資訊收集

全埠掃描：nmap -p 1-65535 IP

服務版本識別：nmap -sV -p 1-65535 IP

作業系統資訊識別：-O 或 -A

四、網站關鍵資訊識別

4.1 指紋識別

​ 常見的指紋識別內容有CMS識別、框架識別、中介軟體識別、WAF識別。CMS識別一般利用不同的CMS特徵來識別，常見的識別方式包括特定關鍵字識別、特定檔案及路徑識別、CMS網站返回的響應頭資訊識別等。

• 特定關鍵字識別。如：Powered by XXCMS
• 特定檔案及路徑識別。

​ 不同的CMS會有不同的網站結構及檔名稱

​ 利用這些特定檔案的MD5值作為指紋資訊來判斷CMS的型別，

• 響應頭資訊識別
• 指紋識別工具。WhatWeb、Wappalyzer

4.2 敏感路徑探測

​ 敏感路徑探測是資訊收集非常重要的一部分，通過敏感路徑探測可以獲取很多由於錯誤配置而洩露的檔案、預設檔案、測試檔案、備份檔案等，這些檔案裡面可能存在了很多資料庫配置、應用程式配置等敏感資訊。

​ 常見的敏感路徑探測檔案有robots檔案、phpinfo檔案、DS檔案、備份檔案、上傳頁面、後臺登入頁面、sitemap.xml檔案、WEB-INF/web.xml檔案等。

• BurpSuite的Intruder模組
• dirsearch
• 7kb