[i=s] 本帖最后由 one-921 于 2025-7-22 15:38 编辑 [/i]
前言
信息收集在我们SRC挖掘当中还是至关重要的,你要是可以收集到别人没有收集到的一些资产,那你就会比别人出货的概率更大,可以肯定的来说你能否挖到漏洞的很大一部分原因来自信息收集。当然信息收集也不能完全决定src挖掘的产出,各种渗透思路和自己的知识积累也是很重要的部分。除了这些还有一部分很重要的点就是特权账号
基本信息收集
在信息收集的初始阶段,首要任务是明确目标。这包括确定目标站点名、主站域名,查询相关的备案信息,以及收集公司的规模、业务范围等基础信息。这些信息为后续更深入的收集工作提供了方向和基础,确保我们能在正确的方向上开展安全分析和漏洞挖掘。
关注内容
- 企业股权架构:了解公司的股权结构,确定控股子公司,收集边缘业务系统资产。
- 网站备案:获取公司的备案信息,包括根域名及其子域名。
- 对外发布的产品:收集公司公开发布的产品信息,包括小程序、公众号APP、IoT设备等。
- 法人电话号、邮箱:获取公司法人的联系方式,可能作为渗透测试的联络点。
用处
获取控股子公司名称,收集边缘子公司资产,为漏洞挖掘提供更多可能性。
获取网站备案信息,帮助定位公司的在线资产,包括可能的子域名和IP地址。
收集对外发布的产品信息,发现额外的网络资产,扩大漏洞挖掘的范围。
获取法人联系方式,可能为进一步的社会工程学攻击提供线索
1.选择目标站点
在目标选择上是前期交互的重要环节,在企业src中选择比较简单资产较多。新手才挖时推荐可以从网易或者阿里先入手,他们几家的资产相对比较好整理也好挖一点,或者根据平台福利和平台评价进行目标选择。在edu中我们可以通过漏洞提交排行榜判断目标资产的难易程度。(注意并不是排名越靠后站点越容易攻破,也有可能是站点资源太少或者资产存在内网导致难以攻破排名靠后)。
2.开始正式的信息收集
首先可以先对该目标下的子域进行一个综合的信息收集,
我们就以某度为例进行一步步的信息收集,我经常有的信息收集工具就三四个这样,下面都分享给你们,首先我拿到一个企业的域名后下一步我考虑使用oneforall扫描获取子域名,就像网上信息收集的文章一样,主域名的站点不是静态界面就是安全防护等级极强,不是随便就能够发现漏洞的,我们挖掘SRC也是要从子域名开始,从边缘资产或一般资产中发现漏洞。
首先我们先将在官网查看到的域名的企业去小蓝本中查一下,小蓝本中一查该企业就会有许多的域名出现,你如果有耐心的话可以去一个一个的点击去看,肯定是可以找到几个有用的域名,而且你还不用担心资产会找偏,接着小蓝本整理完毕找到后,就可以使用一些工具将该企业的子域大规模的收集一下,这里推荐各位整理的时候可以搞一个表格,将收集的子域都塞进去,各个工具全部扫好之后,在将表格的子域去重一下就能得到每个都是不一样的子域了,下面给介绍一下子域名收集工具的用法
这里介绍两个我觉得比较好用的工具,分别是子域名挖掘机还有一个是oneforall,子域名挖掘机吗就是有一个专门的爆破字典,来一个个的把子域名爆破出来,其中或许能有一些意外收获了,找到一些非常有意思的资产,具体还需各位去试一试了
下面一个就是我们经常使用的收集工具oneforall,之所以经常用,因为这款工具的联动性很强可以和多个插件结合使用,信息收集的能力也是很不错
使用方法该脚本下载安装完毕后跟着github上的教程就可以了
这些工作都做完之后接下来就是要子域名探活了,我们一个个将找到的子域名打开查看肯定是不太现实的,这样看也非常累,假如现在你搜集到1万个子域名,你的看到什么时候了,所以这时就需要用到子域名探活工具,这里推荐一款工具集成平台yakit,他里面集成了我们不管是渗透还是挖掘src所要使用到的工具,我所用的探活工具就是它里面的一个插件
我一般就是使用这两个探活插件,用起来还可以
这些步骤完成后了,我们还可以借助空间测绘平台,来进一步的扩大我们的收集范围,信息收集肯定是你收集的资产越多,你出货的概率就会相对的提高,这里主流的空间引擎我推荐几个,在国内收集是比较好用的,fofa还有个是鹰图有这两款你收集就基本够用了
常用语法:
domain="xx.edu.cn"&&(title="平台"||title="系统")
title="网站头标题"
header=“”
body=“”
domain=""
icp=""
js_name=""
icon_hase=""
fid=""
domain=“xx.edu.cn”&&after="2024-5-1"&&(body="注册"||“register”)&&status_code="200"
常用语法:
icon图片搜索资产web.icon="" 重点关注独立ip数、icp备案
web.title="资产名"
icp.name="icp备案企业"
web.body="js标头"(不要找框架类型)
&&等于and
web.body="css/index/index.js"&&web.title="掌控安全"
C段 ip/24
ip="47.99.153/24"
这些收集完毕后就可以差不多开始我们的src挖掘之路了
关于信息收集的附加建议
我们在这些步骤都完成后为了可以概率更高的出货我们可以在他们一些js信息域名进行收集,有时候说不准就能够遇到为未授权访问,点击这个收集到的js信息可以直接访问到某网站的后台,这里我推荐两款js收集的工具,一款是在谷歌里的一个插件
这款插件只需要你访问某个要收集的网站即可查询到相关的js信息,你可以将查询到的信息放到bp里直接一个个跑,看他们响应的结果,如果响应是200的你就可以仔细点进去查看一下
这是一个一键自动化的js查找脚本,你只需要将域名丢进去便可以一键获得相关的js信息了
关于信息收集的详解暂时就这么多了,如后续还有什么信息收集的新思路我还会继续在论坛上分享,欢迎大家多多关注本版块
