内外网信息收集

外网信息收集

IP/域名

1. RapidDNS 查询，可查子域名、IP反查域名。

2. FOFA 查询。

3. Google hacking语法：site:"test.com" -www。

4. 子域名爆破工具：layer、gobuster。

5. 工信部备案查询，收集目标单位的所有域名。

6. 爬虫工具扫描目标网站所有链接，提取子域名。

7. 社交媒体，比如在微信公众号、招聘软件等社交平台上寻找域名信息。

8. 电子邮件，通过查找目标的公开电子邮件地址，可能会找到域名信息，比如rxa@ruixinan.com。

有时候在枚举子域名时，域名会解析到内网 IP，这时可以将收集到的内网域名以及外网 IP 放到 POC 中进行 HOST 头碰撞。

端口扫描

1. nmap 扫描，-sS-sT-sV-sn-Pn-O-A 等扫描方式。

2. fscan 扫描，本来是内网渗透工具，但在外网信息收集阶段也非常好用。

3. goby 扫描，资产测绘非常强大。

4. FOFA 查询，被动收集端口利器。

指纹识别

1. 在线 CMS 指纹识别：潮汐指纹识别、What CMS。

2. Kali 自带工具：whatweb、wafw00f。

3. 浏览器插件：whatruns、wappalyzer。

CDN 的识别与绕过

识别

1. 多地 ping 服务器，如果返回域名解析对应多个 IP，则可能使用了 CDN。

2. nslookup 检测，原理同上。

绕过

1. 查询历史 DNS 记录。

2. 子域名绕过。

3. 去掉www访问。

4. 国外访问。

5. 信息泄露，如 phpinfo。

6. HTTP 请求头伪造：伪造HTTP请求头中的一些字段，如 User-Agent、Referer 等，使CDN无法正确识别请求，从而直接将请求传递给源站。

7. SSL/TLS 漏洞利用：利用 SSL/TLS 协议本身的漏洞或者 SSL/TLS 证书的问题来绕过 CDN。

敏感信息

1. robots.txt

2. 网站上的邮箱、联系方式、开发单位、领导班子等，文章中的作者。

3. google hacking 查学号、身份证号、工号、docx、pdf、xlsx文件。

4. 企查查公司高管、股东。

内网信息收集

搜索文件内容

比如查找 C 盘下，以 .txt 结尾的文件，且该文件内容包含 “password” 关键词

findstr /s /i /m /c:"password" C:\*.txt

查看当前在线用户

query user || qwinsta

防火墙

查看防火墙

netsh advfirewall show allprofiles

关闭防火墙

Windows Server 2003 及之前的版本

netsh firewall set opmode disable

Windows Server 2003 之后的版本

netsh advfirewall set allprofiles state off

RDP

3389 端口修改后，使用如下命令查询

tasklist /svc | findstr "ter" # 查询RDP服务的PID
netstat -ano | findstr "pid"

或通过注册表查询，结果为 16 进制

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /V PortNumber

开启 RDP 服务

REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 0 /f

Windows Server 2003 中开启 RDP

wmic path win32_terminalservicesetting where (_CLASS !="") call setallowtsconnections 1

Windows Server 2008 和 Windows Server 2012 中开启 RDP

wmic /namespace:\\root\CIMV2\TerminalServices PATH Win32_TerminalServiceSetting WHERE (__CLASS !="") CALL SetAllowTSConnections 1