一文搞定資訊打點——超詳細

web資訊打點

0x01 資訊架構

語程式設計言：搜所引擎、檔案字尾、搭建組合推算

中介軟體：埠掃描、看返回資料包

域名資產：收集、分析

作業系統：大小寫、ttl值、指紋識別

WINDOWS NT/2000   TTL：128
WINDOWS 95/98     TTL：32
UNIX              TTL：255
LINUX             TTL：64
WIN7          	  TTL：64

社會工程學：釣魚郵件、社會工程學攻擊

資產監控：git資產監控

web應用：外掛、應用、環境

0x02 域名

2.1 真實ip獲取

2.1.1 真實ip介紹

在部分網站中部署有cdn加速當我們直接ping包或者訪問的時候我們的ip 是cdn主機IP不是真實IP

2.1.2 cdn

2.1.2.1 什麼是cdn

• 內容分發網路（CDN）： 是指企業利用分佈在不同區域的節點伺服器群組成流量分配管理平臺，為使用者提供內容分散儲存和快取記憶體服務
• 在滲透測試過程中，經常會碰到網站有CDN的情況。CDN即內容分發網路，主要解決因傳輸距離和不同運營商節點造成的網路速度效能低下的問題。說的簡單點，就是一組在不同運營商之間的對接點上的快取記憶體伺服器，把使用者經常訪問的靜態資料資源直接快取到節點伺服器上，當使用者再次請求時，會直接分發到離使用者近的節點伺服器上響應給使用者，當使用者有實際資料互動時才會從遠端Web伺服器上響應，這樣可以大大提高網站的響應速度及使用者體驗。

2.1.2.2 cdn識別

• 超級ping

  出現多個ip不一樣的證明有cdn

  ITDOG:https://www.itdog.cn/ping/https://www.itdog.cn/ping/
  nodecook:https://www.nodecook.com/zh/ping
  站長工具：http://ping.chinaz.com/
  愛戰網：https://ping.aizhan.com/
  ITDOG:https://www.itdog.cn/ping/
  

• nslookup域名解析

  nslookup <url地址>
  

2.2 子域名

2.2.1 挖掘

• 頁面識別

  透過網頁頁面 包含的連結精準收集子域名

• 測繪工具

  透過測繪功工具來收集

  微步：https://x.threatbook.com/3
  360kuake:https://quake.360.cn
  fofa:https://fofa.info/
  鍾馗之眼：https://fofa.info/
  鷹圖：https://hunter.qianxin.com/
  

• 域名挖掘工具

  oneforall
  Subfinder
  lauer
  DNSRecon
  ......
  

• 反查

  ip138:https://site.ip138.com/
  ......
  

• 域名解析

  ip138:https://site.ip138.com/
  

2.2.2子域名綜合查詢工具

http://tool.chinaz.com/subdomain/
http://i.links.cn/subdomain/
http://subdomain.chaxun.la/
http://searchdns.netcraft.com/
https://www.virustotal.com/
https://x.threatbook.com/v5/mapping
https://ip138.com

2.3 網站其他資訊收集

2.3.1 whois查詢

線上工具

站長之家域名；http://whois.chinaz.com/

愛站網域名；https://whois.aizhan.com/

騰訊雲域名；https://whois.cloud.tencent.com/

美橙互聯域名；https://whois.cndns.com/

愛名網域名；https://www.22.cn/domain/

易名網域名；https://whois.ename.net/

中國萬網域名；https://whois.aliyun.com/

西部數碼域名；https://whois.west.cn/

新網域名WHOIS；http://whois.xinnet.com/domain/whois/index.jsp

納網域名W；http://whois.nawang.cn/

中資源域名：https://www.zzy.cn/domain/whois.html

三五互聯域名：https://cp.35.com/chinese/whois.php

新網互聯域名：http://www.dns.com.cn/show/domain/whois/index.do

國外WHOIS資訊查詢：https://who.is/

域名反查：
https://mwhois.chinaz.com/
https://whois.chinaz.com/

icp備案查詢：
https://beian.mlit.gov.cn/
https://icp.chinaz.com/
https://beian88.com/

2.3.2 站點資訊

2.3.2.1 堆疊建站

• MERN Stack (MongoDB, Express.js, React, Node.js)

  MERN 堆疊是一個全棧 JavaScript 解決方案，適合構建現代化的 Web 應用程式。
  

• MongoDB: NoSQL 資料庫，適合儲存非結構化資料。

  Express.js: 基於 Node.js 的輕量級 Web 應用框架。
  React: Facebook 開發的用於構建使用者介面的 JavaScript 庫。
  Node.js: 伺服器端執行 JavaScript 的環境。
  

• MEAN Stack (MongoDB, Express.js, Angular, Node.js)

  MEAN 堆疊與 MERN 類似，但使用 Angular 代替 React
  Angular: Google 開發的用於構建動態 Web 應用的框架。
  

• LEMP Stack (Linux, Nginx, MySQL, PHP)

  LEMP 堆疊與 LAMP 類似，只是使用了 Nginx 作為 Web 伺服器。
  Nginx: 一個高效能的HTTP和反向代理伺服器，適合處理高併發請求。
  

• MEVN Stack (MongoDB, Express.js, Vue.js, Node.js)

   MEVN 堆疊也是全棧 JavaScript 解決方案，使用 Vue.js 替代 React 或 Angular。
  Vue.js: 一種用於構建使用者介面的漸進式框架。
  

• .NET Stack (Windows, IIS, SQL Server, ASP.NET)

  .NET 棧主要面向 Windows 平臺。
  

• Windows: 作業系統。

  IIS: Internet Information Services，是 Windows 上的 Web 伺服器元件。
  SQL Server: 微軟的關係型資料庫管理系統。
  ASP.NET: 微軟的 Web 應用框架，支援多種程式語言。
  

• Ruby on Rails with PostgreSQL

  Ruby on Rails: 一個用於快速開發 Web 應用的 MVC 框架。
  PostgreSQL: 一個功能強大的開源物件關聯式資料庫系統。
  

• Django with PostgreSQL or MySQL

  Django: 一個高階的 Python Web 框架，鼓勵快速開發並乾淨、務實的設計。
  PostgreSQL/MySQL: 資料庫管理系統。
  

• Java EE Stack (Apache Tomcat, MySQL, Java)

  Apache Tomcat: Java Servlet 容器。
  MySQL: 關係型資料庫管理系統。
  Java: 程式語言，Java EE 規範提供了企業級應用開發的標準。
  

• Flask or Django with SQLite or PostgreSQL (Python)

  使用 Python 的輕量級框架 Flask 或者 Django，配合 SQLite 或 PostgreSQL 資料庫。
  

• Flask: 輕量級 Web 應用框架。

  SQLite: 輕量級嵌入式資料庫引擎。
  

• ASP.NET Core (Cross-Platform)

  ASP.NET Core: 微軟的跨平臺 Web 框架，支援 Windows、Linux 和 macOS。
  SQL Server/MySQL/PostgreSQL: 資料庫選項。
  

2.3.2.2 軟體建站

比如phpstudy、寶塔等搭建軟體搭建的站點，各有其特徵。

• 如何判斷是否是軟體建站
  抓包，看server行，一般比較詳細的就是使用搭建軟體搭建，下面就是一個對比
• 判斷建站軟體
  最好就是親手用最新的改款搭建軟體去搭一個，一般同版本的搭建軟體給的中介軟體都是相同的，並且各有其特徵。
  例如寶塔搭建的網站，其8888埠一般就是其管理網站，可以使用8888埠去嘗試訪問
• 又例如phpstudy搭建的網站，一般會有一個phpmyadmin目錄，嘗試訪問這種目錄，如果正常跳轉回顯，那麼基本上就是Phpstudy

伺服器作業系統

• 透過ping包欄位識別
• 指紋識別工具

2.3.2.3 瀏覽器語法搜尋

谷歌瀏覽器常見語法

基本搜尋語法
intitle: 查詢頁面標題中含有特定關鍵詞的網頁。
例：intitle:"index of"

inurl: 查詢URL中含有特定關鍵詞的網頁。
例：inurl:"admin"

filetype: 查詢特定型別的檔案。
例：filetype:pdf "security report"
site: 限制搜尋結果來自於指定的網站。
例：site:example.com

related: 找出與指定網站相關的其他網站。
例：related:example.com

cache: 檢視谷歌快取的頁面版本。
例：cache:example.com

define: 查詢詞語的定義。
例：define:information

高階搜尋語法
intext: 查詢頁面正文中包含特定文字的網頁。
例：intext:"confidential"

link: 查詢連結指向特定URL的網頁。
例：link:example.com

info: 顯示關於URL的一些基本資訊。
例：info:example.com

allintitle: 頁面標題中包含所有給定片語。
例：allintitle:"index of"

allinurl: URL中包含所有給定片語。
例：allinurl:"login"

allintext: 正文文字中包含所有給定片語。
例：allintext:"secret document"

組合使用
你可以組合使用上述語法來進一步細化搜尋結果。例如：

intitle:"index of" filetype:pdf site:example.com
這條搜尋語句將會尋找在example.com上標題包含index of並且是PDF格式的檔案。

baidu瀏覽器常見語法

通用搜尋語法
intitle: 搜尋網頁標題中包含的特定關鍵詞。
例如：intitle:後臺管理 可以找到標題中含有“後臺管理”的網頁。

inurl: 搜尋URL中包含的特定關鍵詞。
例如：inurl:/wp-admin/ 可以找到URL中含有“/wp-admin/”的頁面。

filetype: 搜尋特定型別的檔案。
例如：filetype:pdf 安全報告 可以找到PDF格式的安全報告檔案。

site: 限定搜尋範圍在特定的網站內。
例如：site:example.com 僅在example.com網站內搜尋。

雙引號 ("..."): 搜尋完全匹配的短語。
例如："預設密碼" 只會返回包含完整短語“預設密碼”的網頁。

減號 (-): 排除含有特定關鍵詞的網頁。
例如：登入頁面 -test 排除含有“test”的登入頁面。

常見的應用
尋找登入頁面
inurl:/login
intitle:"登入頁面"

查詢配置檔案或敏感文件
filetype:txt config
filetype:xml password

查詢子域名
site:.example.com
結合子域名列舉工具，可以更加高效地查詢未公開的子域名。
尋找開發環境或測試環境

intitle:"開發環境"

intitle:"測試伺服器"

2.4 埠及其對應服務資訊

2.4.1使用埠掃描工具

Nmap 是一個強大的網路探索工具，也是埠掃描工具，可以用來發現主機和服務。例如：

TCP SYN 掃描：nmap -sS -p- <target>，掃描所有 TCP 埠。
TCP 連線掃描：nmap -sT -p 80,443 <target>，掃描指定埠（如 HTTP 和 HTTPS）。
UDP 掃描：nmap -sU -p 161 <target>，掃描 UDP 埠（如 SNMP）。
服務版本探測：nmap -sV -p 80,443 <target>，探測服務版本。
作業系統探測：nmap -O <target>，探測作業系統型別。

2.4.2 使用 Whois 查詢

透過 Whois 查詢可以獲取目標域名的註冊資訊，包括 IP 地址等，從而進一步進行埠掃描。例如：

whois <domain>

2.4.3 DNS 列舉

使用工具如 DNSRecon 或 Layer 子域名挖掘機來發現與目標域名相關的其他域名或子域名。

DNSRecon: dnsrecon -d <domain> -r <resolver>
Layer 子域名挖掘機: layer_subdomain_brute <options>

2.4.4 使用線上埠掃描工具

有許多線上埠掃描服務可以直接在瀏覽器中使用，例如：

TooL.cc: https://tool.lu/port/
Postjson: https://tool.postjson.com/online-port-scanner.html

2.4.5 手動使用命令列工具

Netcat: 可以用來測試單個埠是否開放。

nc -zv <target> <port>

Telnet: 也可以用來測試埠。

telnet <target> <port>

2.4.6 使用自動化工具

Metasploit: 包含了許多用於埠掃描和服務探測的模組

msfconsole
use auxiliary/scanner/portscan/tcp
set RHOSTS <target>
run

2.5 目錄掃描

2.5.1 常見敏感目錄

reboot.txt
sitemap.xml
網站備份檔案/資料：線上壓縮(檔案)/帝國備份王(資料)
後臺登入目錄：/admin /.manage
安裝包（原始碼）：非開源，商用/zip檔案/install
檔案上傳的目錄：/upload /upload.php
檔案上傳的目錄-webshell
mysql的管理介面：web頁面去管理/phpadmin
程式安裝路徑：/install
php探針：phpinfo/雅針探黑
文字編輯器
linux：使用者—cat /etc/passwd 密碼—cat/etc/shadow 執行sudo—cat /etc/sudoers
MacOS ：.DS_Store 資料夾自定義屬性的隱藏檔案（一定要刪掉）
編輯器的臨時檔案：.swp
目錄穿越 tomcat WEB-INF
其他非常規檔案：secret.txtp / assword.txt

2.5.2 工具掃描

御劍
dirb
Burp Suite
DirBrute
Dirsearch
Dirmap
wfuzz
鑄劍

2.6 抓包分析

2.6.1 目的

• 理解通訊行為：透過分析資料包，可以瞭解Web應用與外部系統的互動細節。
• 檢測安全漏洞：識別資料包中的敏感資訊洩露、認證機制薄弱等問題。
• 模擬攻擊：基於捕獲的資料包模擬攻擊，驗證系統的安全性。
• 問題診斷：幫助網路管理員和開發者診斷網路問題或應用故障。

2.6.2 常見工具：

• Wireshark
• Fiddle
• Burp Suite
• tcpdump
• cURL

2.6.3 分析資料包

• 使用顯示過濾器：在捕獲到的資料包中使用顯示過濾器來查詢感興趣的特定資料包。
• 檢查協議欄位：仔細檢視資料包中的協議欄位，如HTTP請求頭、響應頭、Cookie等。
• 分析敏感資訊：檢查是否存在明文密碼、API金鑰等敏感資訊。
• 檢視異常行為：留意是否有異常的響應程式碼或不尋常的請求模式

0x03 原始碼

分類：CMS開源、閉源

3.1 CMS識別

3.1.1 識別方法

3.1.1.1 手動識別

• 透過頁面特徵和頁尾資訊識別

  在頁尾宣告中部分會留下cms的名字

• 檢查網站原始碼

  CMS通常會在網頁的原始碼中留下一些特定的標記，如HTML <meta> 標籤中包含的generator屬性此外，還可以檢查特定的檔名或路徑，例如/wp-admin/（WordPress）或/admin/（Joomla）等

• 檔案和目錄特徵

  不同的CMS會有各自獨特的檔案和目錄結構。例如，WordPress可能會有wp-content目錄，而Joomla可能會有administrator目錄透過查詢這些特定的檔案或目錄，可以識別出CMS的型別。

• JavaScript和CSS檔案

  CMS通常會在頁面中載入特定的JavaScript和CSS檔案。透過分析這些檔案的名稱和內容，也可以幫助識別CMS

• HTTP響應頭資訊

  一些CMS會在HTTP響應頭中包含特定的資訊，比如X-Powered-By欄位，這可以用來識別CMS型別2.1.1.2

3.1.1.2 工具識別

• 雲悉指紋識別
• 潮汐指紋識別
• 工具識別tidefinger
• 線上指紋識別
• wappalyzer 瀏覽器外掛
• whatweb（本地）

3.2 能識別CMS的

3.2.1 CMS開源

如果目標網站是使用開源的CMS（內容管理系統）構建的，可以透過訪問官方網站下載最新版本的原始碼。例如，WordPress、Drupal等都有官方釋出的版本

3.2.2 利用搜尋引擎

透過搜尋引擎使用特定的查詢語句，有時候可以找到一些未受保護的原始碼檔案。例如，使用Google Hacking技巧，透過如filetype:zip intext:source code這樣的搜尋條件，有可能找到存放原始碼的壓縮包檔案。

3.2.3 利用公開的程式碼倉庫

開發人員有時會在公開的程式碼倉庫如GitHub、Gitee 等平臺上無意間上傳了專案的原始碼，這些原始碼可能包含了敏感資訊。透過搜尋相關的關鍵字或者開發者的使用者名稱，有可能找到有關的專案倉庫。

3.3不能識別CMS

• composer.json(PHP特性)

• git原始碼洩露：

• svn原始碼洩露：

• hg原始碼洩露：

• 網站備份壓縮檔案洩露：

• web-INF/web.xml洩露:

• DS_store檔案洩露：

• SWP檔案洩露：

• CVS洩露：

• bzr洩露：

• github原始碼洩露：

3.4 黑原始碼：

• 互站

0x04 工商資訊收集

4.1 關注的基本資訊

• 企業基本資訊：包括公司名稱、註冊地址、法定代表人、註冊資本、經營範圍等。
• 股東資訊：瞭解公司的所有權結構，識別主要股東及其持股比例。
• 財務資訊：雖然財務資訊通常較為敏感，透過公開渠道獲取部分財務報告。
• 法律狀態：包括公司的法律訴訟記錄、行政處罰記錄等。
• 技術資訊：使用的軟體、硬體和服務提供商等，這些資訊有助於識別可能的技術漏洞。
• 域名資訊：包括主域名、子域名、旁站等資訊。
• 網路資訊：包括IP地址、開放埠、網路裝置等。
• 系統資訊：作業系統版本、中介軟體資訊、伺服器配置等。
• 聯絡電話/電子郵箱：聯絡資訊可用於社會工程學攻擊或釣魚測試。

4.2 資訊收集的方法

4.2.1 被動資訊收集

被動資訊收集是在不與目標系統直接互動的情況下，透過公開渠道獲取目標系統的相關資訊。

• 常用的方法包括：搜尋引擎：使用Google、Bing等搜尋引擎查詢與目標企業相關的資訊。
• 網路空間搜尋引擎：使用FOFA、Shodan、ZoomEye等工具搜尋網際網路上的裝置和服務。
• Whois查詢：透過Whois查詢獲取域名註冊資訊。
• 備案資訊查詢：透過ICP備案查詢網站獲取目標網站的備案資訊。
• 社交媒體和專業網路：在LinkedIn、微博等平臺上搜尋目標公司的員工資訊
• 企查查、天眼查、啟信寶：這些平臺提供全面的企業資訊查詢服務
• 國家企業信用資訊公示系統：查詢相關資訊
• 地方工商局網站：部分地區工商局網站提供更詳細的企業資訊。
• 證券交易所網站：上市公司會在證券交易所網站釋出年報、公告等資訊。
• 內部群：姓名、職位、聯絡 方式、地址、郵箱、合作企業（包括社工）

4.3 收集的資訊整理

4.3.1 基本資訊整理

• 企業基本資訊：名稱、地址、聯絡方式等。
• 網路基礎設施：IP地址、子網掩碼、域名、開放埠、服務等。
• 技術資訊：使用的軟體、硬體、框架、版本號等。
• 員工資訊：關鍵人員的名字、職位、聯絡資訊等。
• 社會工程學資訊：員工的習慣、社交賬號、可能的社會工程學入口點等。
• 財務及法律資訊：財務狀況、法律糾紛等。
• 公開文件：報告、手冊、白皮書等。

4.3.2 詳細標註

• 標籤：為每條資訊加上標籤。
• 註釋：對資訊來源、收集時間和可信度等進行標註。

0x05 從軟體收集web資訊

5.1 app資訊收集

5.1.2 反編譯

先反編譯檢視原始碼或者其他資訊

5.1.3AppInfoScanner使用

1. 執行(基礎版)

• 掃描Android應用的APK檔案、DEX檔案、需要下載的APK檔案下載地址、儲存需要掃描的檔案的目錄

    python app.py android -i 檔案地址（包括網路地址 ）

• 掃描iOS應用的IPA檔案、Mach-o檔案、需要下載的IPA檔案下載地址、儲存需要掃描的檔案目錄

    python app.py ios -i 檔案地址（包括網路地址 ）

• 掃描Web站點的檔案、目錄、需要快取的站點URl

    python app.py web -i 檔案地址（包括網路地址 ）

引數說明：

python app.py android -i :

對本地apk進行掃描
對url中包含的apk檔案進行掃描
對本地url站點包括本地web和url包含站點進行掃描
-r
新增臨時規則（關鍵字）
-s
關閉網路嗅探
-n
忽略所有的資原始檔
-t
設定併發數量
-o
指定結果集或者檔案輸出目錄
-p
對指定包名下的檔案內容進行掃描只能是Android

5.2 exe收集web資訊

5.2.1 應用基本資訊收集

• 軟體官網：訪問軟體官方網站，獲取軟體的版本資訊、更新日誌、使用者手冊等。
• 開發者資訊：查詢開發者或發行商的相關資訊，瞭解他們是否有其他的軟體產品或Web服務。
• 許可證和註冊資訊：如果軟體需要許可證金鑰，嘗試獲取相關資訊。

5.2.1 逆向工程與程式碼分析

• 反編譯：使用 IDA Pro、Ghidra 或 OllyDbg 等工具反編譯 .exe 檔案，分析其內部邏輯。
• 字串提取：使用 strings.exe 或類似工具從 .exe 檔案中提取字串，尋找可能指向 Web 服務的 URL 或 IP 地址。
• 依賴庫：檢查 .exe 檔案所依賴的庫檔案，如 DLLs，分析它們的功能。

5.2.3 網路通訊分析

• 抓包工具：使用諸如 Wireshark、Fiddler、Burp Suite 或 Charles Proxy 這樣的工具來攔截並分析應用程式與 Web 服務之間的通訊。
• HTTPS 流量：確認應用程式是否使用了 HTTPS 協議，以及 SSL/TLS 版本和加密套件。
• API 端點：識別應用程式呼叫的 API 端點，分析請求方法、引數、響應格式等

0x06 工具資訊收集

6.1 finger

python finger.py -引數

finger追求極簡命令引數只有以下幾個:

• -u 對單個URL進行指紋識別
• -f 對指定檔案中的url進行批次指紋識別
• -i 對ip進行fofa資料查詢採集其web資產
• -if 對指定檔案中的ip批次呼叫fofa進行資料查詢採集其web資產
• -fofa 呼叫fofa api進行資產收集
• -quake 呼叫360 quake進行資產收集
• -o 指定輸出方式預設不選擇的話是xlsx格式，支援json，xls。

6.2 shuize(水澤)

語法	功能
python3 ShuiZe.py -d domain.com	收集單一的根域名資產
python3 ShuiZe.py --domainFile domain.txt	批次跑根域名列表
python3 ShuiZe.py -c 192.168.1.0,192.168.2.0,192.168.3.0	收集C段資產
python3 ShuiZe.py -f url.txt	對url裡的網站漏洞檢測
python3 ShuiZe.py --fofaTitle XXX大學	從fofa裡收集標題為XXX大學的資產，然後漏洞檢測
python3 ShuiZe.py -d domain.com --justInfoGather 1	僅資訊收集，不檢測漏洞
python3 ShuiZe.py -d domain.com --ksubdomain 0	不呼叫ksubdomain爆破子域名

6.3 kunyu

命令

-info 查詢使用者資訊
-searchhost <IP地址> 搜所host資產
-searchweb <url> 搜尋web資產
-seerchlcon <本地檔案/遠端檔案地址>
-Seebug Thinkphp 檢視thinkphp的漏洞歷史

6.4 燈塔（ARL）

• 域名資產發現和整理
• IP/IP 段資產整理
• 埠掃描和服務識別
• WEB 站點指紋識別
• 資產分組管理和搜尋
• 任務策略配置
• 計劃任務和週期任務
• Github 關鍵字監控
• 域名/IP 資產監控
• 站點變化監控
• 檔案洩漏等風險檢測
• nuclei PoC 呼叫
• WebInfoHunter 呼叫和監控

0x07 資訊識別

7.1 障礙

7.1.1 常見阻礙

• 超級ping
• WAF:看圖識別、wafw00f、waf線上識別
• 負載均衡：cdn
• 防火牆：系統自帶、且還有外部物理防火牆，部分nmap可以識別

7.1.2 CDN

7.1.2.1 cdn判斷

• 超級ping 判斷有無CDN
• 看網速響應：影片、圖片檔案
• 還可以使用Windows命令查詢：nslookup，若目標存在多個IP的話，就很有可能有CDN服務
• 使用工具查詢，工具地址如下
  CDN Planet：https://www.cdnplanet.com/tools/cdnfinder/

7.1.2.2 CDN配置

• 騰訊雲：內容分發網路 CDN 從零開始配置 CDN-快速入門-文件中心-騰訊雲 (tencent.com)
• 阿里雲：新手指引_CDN(CDN)-阿里雲幫助中心 (aliyun.com)

7.1.2.3 CDN繞過

• 子域名

  子域名查詢：

  在一些網站中有可能只加速了主站，而一些其它子域名和主站在同一個C段或者同伺服器

  利用子域名查詢工具：

  http://tool.chinaz.com/subdomain/
  http://i.links.cn/subdomain/    
  http://subdomain.chaxun.la/
  http://searchdns.netcraft.com/
  https://www.virustotal.com/
  https://x.threatbook.com/v5/mapping
  https://ip138.com 
  

• 國外訪問

  一些CDN只加速了部分地區，那麼在為加速地區的訪問就是真實的主機ip

  可以利用線上工具進行超級ping來檢視ip，如：

  ipip線上工具
  itdog線上工具
  https://www.webpagetest.org/
  https://dnscheck.pingdom.com/
  

• 郵件訪問

  在進行郵件傳送時郵件的內容原始碼裡面包含了主機的真實IP

• 主動連線漏洞：xss ssrf

  透過漏洞來主動連線時，

• 遺留檔案

  在網站搭建時候的測試網站在許多時候會有測試檔案，比如說phpinfo.php檔案

• 檢視DNS歷史

  在CDN服務啟動以前他的真實ip可能被DNS服務記錄到，那麼此時它的DNS歷史中可能存在主機真實ip

  https://www.itdog.cn/dns/
  https://x.threatbook.com/
  https://site.ip138.com/
  

• 工具

  篩選：當查詢出來有相似ip時可以用工具來篩選

  工具查詢：

  線上工具：

  https://get-site-ip.com/
  

• 本地工具：

  zmap

  下載：https://github.com/zmap/zmap
  教程：https://linux.cn/article-5860-1.html
  

  fuckcdn

  w8Fuckcd

• 後續操作：
  更改 host檔案繫結IP 指定訪問

7.1.3 waf

7.1.3.1 waf分類

• 雲waf
• 硬體waf
• 軟體waf
• 其他waf

7.1.3.2 namp識別WAF

nmap -p 80,443 --script=http-waf-detect <目標網址或IP>
nmap -p 80,443 --script=http-waf-fingerprint <目標網址或IP>

7.1.3.3 wafwoof識別waf

nmap預設有19個指紋，sqlmap預設有94個指紋，wafw00f預設有155個指紋

wafw00f [url]
-h, --help 顯示此幫助訊息並退出
-v, --verbose 啟用詳細程度-多個-v選項可增加詳細程度
-a, --findall 檢測所有的Waf，不會在檢測到第一個Waf的時候停止
-r, --disableredirect 不要遵循3xx響應給出的重定向
-t TEST, --test=TEST 測試一個特定的WAF
-l, --list 列出我們能夠檢測到的所有WAF
-p PROXY, --proxy=PROXY
使用HTTP代理執行請求，例如：http://hostname:8080, socks5://hostname:1080
-V, --version 輸出版本資訊
-H HEADERSFILE, --headersfile=HEADERSFILE
傳遞自定義標頭，例如覆蓋預設的User-Agent字串

7.1.4.4 看圖識別

攔截頁面來識別waf

7.2 綜合資訊

7.2.2 基礎資訊

域名資訊：包括主域名和所有相關的子域名。
IP 地址：目標系統的公網 IP 地址。
物理位置：瞭解目標的地理位置可以幫助識別潛在的物理安全風險。

7.2.2 網路基礎設施

網路架構：瞭解目標網路的整體佈局，包括內部網路結構、防火牆配置等。
開放埠：掃描目標系統上開放的所有埠。
服務版本：識別目標系統提供的服務及其版本號，這有助於發現已知漏洞。
作業系統：確定目標系統使用的作業系統型別和版本。
中介軟體：識別使用中的 Web 伺服器、資料庫伺服器等中介軟體。

7.2.3 應用程式資訊

Web 應用程式：收集目標網站的 URL、使用的程式語言、框架等資訊。
CMS 指紋：識別目標是否使用了 CMS（如 WordPress、Drupal 等）及其版本。
Web 框架：識別使用的 Web 開發框架（如 Django、Ruby on Rails 等）。
API 端點：發現 API 端點並嘗試理解其功能。

7.1.4 敏感資訊

資料庫資訊：嘗試發現資料庫檔案或配置檔案的位置，如 database.ini 或 .env 檔案。
備份檔案：查詢可能存在的備份檔案或目錄。
配置檔案：尋找可能暴露的配置檔案，這些檔案可能包含使用者名稱、密碼等敏感資訊。
敏感檔案：如 .gitignore 檔案，可能透露專案的結構或其他敏感資訊。

7.2.5 目錄和服務資訊

目錄列表：嘗試列出網站的目錄結構。
敏感目錄：尋找可能包含敏感資訊的目錄，如 /admin、/login 等。
未授權訪問：查詢可能存在未授權訪問的 URL 或檔案。

7.2.6 社會工程

員工資訊：透過社交媒體（如 LinkedIn）瞭解員工的角色和責任。
組織結構：瞭解公司的組織結構，包括部門設定、員工分工等。
供應鏈資訊：識別目標企業的合作伙伴、供應商等。

7.2.7 其他資訊

歷史漏洞：檢查 CVE 資料庫，瞭解目標系統是否有已知的安全漏洞。
證書資訊：收集 SSL/TLS 證書資訊，瞭解證書的有效期、頒發機構等。
電子郵件資訊：透過郵件頭資訊來獲取郵件伺服器的 IP 地址等。
社交媒體賬戶：瞭解目標組織的官方社交媒體賬戶。