根据个人的习惯和经验总结的信息搜集的顺序:
1、由于主站的防护措施较好以及攻打主站的人较多,所以先进行子域名收集。个人用的比较多的是fofa、layer子域名挖掘机、subDomainsBrute,其中后两种都是基于爆破的方法进行子域名收集,类似的还有kali下的dnsmap,而fofa是一种网络空间搜索引擎。fofa的好处是可以直接搜索存在与网络中的主机,然后显示出主机的IP、端口、中间件、摄像头,工控设备banner、等其他网络设备信息,fofa的网站也很酷,类似的还有钟馗之眼和shodan。
2、对收集到的子域名大致阅览一下,挑选好要测试的网站之后进行进一步的信息搜集,进行whois查询(站长之家,linux,nmap),收集一波注册人的邮箱,电话等信息,之后可以进行邮箱反查域名、邮箱爆破、或者根据已有信息针对性生成社工密码。
3、对网站指纹信息进行识别:查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞。
4、获取网站真实IP,首先要判断是否存在CDN,可以通过多地ping来判断网站是否存在CDN,目前没有100%能绕过CDN查找真实IP的方法,比较好用的方法有对二级域名进行ping来获取真实ip、查询域名解析历史记录、国外访问目标网站、让站点内部的邮箱系统发送邮件到自己的邮箱中,其中最后一种方法最有效,前提是能让目标站点给你发送邮件。绕过CDN的好处有很多,由于CDN的本质是对网络流量的拦截,因此如果能绕过CDN获取真实IP,也就可以绕过诸如加速乐等云防火墙。
5、对ip进行端口扫描,对端口进行漏洞检测,例如心脏滴血,ssh弱口令,telnet弱口令;
6、目录扫描,二级/三级目录扫描,可以使用御剑扫描、dirsearch-master、DirBuster,目录扫描很重要,有可能发现管理员登录后台、备份文件、敏感文件。
7、对网站的功能大概浏览一下,对常见漏洞进行检测,如sql注入,xss,平行/垂直越权,文件包含,任意文件读取、信息泄露等,重点对搜索框,登录框,密码找回等功能进行检测。
情报收集:
主动收集:通过直接访问、扫描网站,这种流量将流经网站;
被动收集:利用第三方的服务对目标进行访问了解,比例:Google搜索、Shodan搜索等
