1。谷歌黑客攻击

Google 黑客数据库(GHDB)：https://www.exploit-db.com/google-hacking-database

Google搜索语法介绍：https://program-think.blogspot.com/2013/03/internet-resource-discovery-2.html

常见案例：

搜索语法

功能

site:edu.cn filetype:xls “身份证”

查找教育机构包含“身份证”字段的Excel 工作表

inurl:phpmyadmin/index.php?server=1

找到phpmyadmin登录页面

inurl:info.php intext:”PHP版本” intitle:”phpinfo()

查找显示phpinfo() 的站点

inurl:”.php?id=” “您的SQL 语法有错误”

查找可能存在SQL 注入的网站

intitle:后台登录inurl:http:

查找带有http 登录页面的网站

intitle:“索引” intext:“上次修改”

查找存在目录遍历的站点

注意：频繁的Google Hack会被Google识别为异常流量，并进行人机验证。

2。网络空间资产测绘平台

2.1 Shodan(/ˈʃoʊ.dæn/)

官网（需要登录）：https://www.shodan.io/search/advanced

浏览器扩展程序：https://chromewebstore.google.com/detail/shodan/jjalcfnidlmpjhdfepjhjbhnhkbgleap

CLI用法： python -m pip install shodan -i https://pypi.tuna.tsinghua.edu.cn/simple

常见案例：

搜索语法

功能

海康威视-网站国家:cn 城市:长沙

搜索长沙海康威视摄像头后台页面

港口:3389 国家:cn 城市:北京

搜索北京启用RDP的服务器

vuln:CVE-2017-0144 国家:cn

搜索存在永恒之蓝漏洞的中国设备（漏洞搜索需要付费）

国家:cn 城市:长沙nginx

搜索长沙的Nginx服务器

isp:华为国:cn

搜索华为基础设施设备

2.2 FOFA

官网：https://fofa.info/

浏览器扩展程序（非官方）：https://chromewebstore.google.com/detail/fofa-pro-view/dobbfkjhgbkmmcooahlnllfopfmhcoln

常见案例：

搜索语法

功能

body=”{\”你好\”:\”冲突\”}” || body=”{\”你好\”:\”clash.meta\”}” ||端口=”9090” body=”{\”消息\”:\”未经授权\”}”

查找Clash 的RESTful API 接口

IP=”119.29.29.29/24”

检查C部分信息

icon_hash=”-1825654886” 国家/地区=CN

查找图标哈希值

body=”自动抓取tg频道及订阅地址”

查找公共节点池

协议=“socks5”国家=“CN”横幅=“Method:无身份验证”

查找公共socks5代理

2.3微步在线

官网（需要登录） : https://x.threatbook.com/v5/mapping

2.4 钟馗之眼（ZoomEye）

官网：https://www.zoomeye.org/

无需学习它的搜索语法，可以直接使用自带的搜索工具组合不同条件进行搜索：

2.5 以上

了解网络空间资产图谱平台和威胁情报平台的更多信息，请参考以下两篇文章：

https://mp.weixin.qq.com/s/1v9y1Ib2ckIlo5eaxS_R-g

https://mp.weixin.qq.com/s/Ye0eE15b6S-V2Ohh3tOqug

3。 Whois和ICP备案

3.1 whois

3.1.1 CLI

Windows：https://learn.microsoft.com/zh-cn/sysinternals/downloads/whois

Debian/Linux：sudo apt install whois

3.1.2 网页

Bugscaner：http://whois.bugscaner.com/

爱站网：https://whois.aizhan.com/

站长之家：https://whois.chinaz.com/

流氓CNNIC（建议查.cn域名）：https://webwhois.cnnic.cn/WhoisServlet

与命令行搜索相比，在网络上搜索whois信息的优点是关键信息经过优化排版并以中文显示。有的还可以反查ICP备案、解析地址等信息；有些网站查询的whois信息是缓存信息，可以通过其提供的更新按钮获取最新信息。

3.2 ICP备案

工业和信息化部服务平台：https://beian.miit.gov.cn/#/Integrated/recordQuery

爱站网址：https://icp.aizhan.com/

站长之家：https://icp.chinaz.com/

.cn域名没有whois隐私保护（whois保护），会泄露注册人的真实姓名和电子邮件地址。如果是公司注册的话，公司名称就会被透露。可以用天眼查到他的法定代表人姓名，最后利用社会工程库根据已知信息进行猎魔搜索。社会工作数据库找不到？使用之前教授的Google Hacking：inurl:t.me intitle:社会工程库

4 子域名集合

4.1 谷歌黑客攻击

站点:域

查找QQ的子域名：

4.2 微步在线

4.3 通过命令行手动采集

Windows：nslookup [域] [DNS]

Linux：dig [域] [@DNS]

验证连接：curl -I -L -k [域]

4.4 Sublist3r

项目地址：https://github.com/aboul3la/Sublist3r

下载使用：

12345python -m pip install -rrequirements.txt -i https://pypi.tuna.tsinghua.edu.cn/simple # 安装依赖python -m pip install win_unicode_console colorama -i https://pypi.tuna.tsinghua.edu.cn/simple # 高亮模块git clone https://github.com/aboul3la/Sublist3r.gitcd sublist3rpython sublist3r.py -d lololowe.com -p 80,443 -v -b # 开始爆破

如果sublist3r不添加-b选项，则不会进行域名枚举和爆破，只会从多个搜索引擎收集子域名信息。

4.5 subDomainsBrute

项目地址：https://github.com/lijiejie/subDomainsBrute

下载使用：

123456python -m pip install dnspython==2.2.1 async_timeout -i https://pypi.tuna.tsinghua.edu.cn/simple # 安装依赖git clone [email protected]:lijiejie/subDomainsBrute.gitcd subDomainsBrutepython subDomainsBrute.py --versionpython subDomainsBrute.py bilibili.com #开始爆破记事本bilibili.com.txt #查看爆破结果

注意：subDomainsBrute 默认从dict/dns_servers.txt 文件中随机选择一个DNS 服务器。该文件包含阿里云的公网DNS，阿里云将于2024年9月30日开始限制请求速率（20QPS）。为了不影响爆破，建议注释掉阿里云的DNS服务器223.5.5.5和223.6.6.6。

4.6层子域矿工

项目地址：https://github.com/euphrat1ca/LayerDomainFinder

4.7 证书透明日志查询

证书透明度是一个记录程序、监控程序和审核程序的框架，通过公共记录记录和监督所有SSL/TLS 证书的颁发:

参考链接

什么是CT（证书透明度）

公钥密码学开放社区

crt.sh：https://crt.sh/

Censys（比较完整的菜单，但需要登录才能使用）：https://search.censys.io/search?resource=certificates

注意：并非所有https 域名都会记录在证书透明度日志中。有些子域名对根域名使用通配符证书，因此日志中不会显示子域名，也不会显示自签名证书。 crt.sh可能会显示很多重复的域名（可能是CA机构不同、证书有效期不同造成的），导致采集效率低下。可以使用前面提到的Sublist3r来搜索： python sublist3r.py -d example.com -e ssl

4.8 页面内超链接集合

4.8.1 浏览器扩展

链接提取器: https://link-extractor.cssnr.com/

链接抓取器: https://chromewebstore.google.com/detail/link-grabber/caodelkhipncidmoebgbbeemedohcdma

4.8.2 哈克劳勒

项目地址：https://github.com/hakluke/hakrawler

12345git 克隆https://github.com/hakluke/hakrawlercd hakrawlersudo docker build -t hakluke/hakrawler .sudo docker run --rm -i hakluke/hakrawler --helpecho https://www.bilibili.com | docker run --rm -i hakluke/hakrawler -subs # 爬取B站主页引用的链接

4.9 Kali其他内置子域名收集工具

子域使用以下示例中的每个工具对我的lololowe.com 进行了攻击：

123456nmap --script dns-brute lololowe.comdnsmap lololowe.comdnsenum --enum lololowe.comamass enum -d lololowe.comdnsrecon -d lololowe.comfierce --domain lololowe.com

5。 Web指纹信息采集

5.1 Wappalyzer

扩展链接： https://chromewebstore.google.com/detail/gppongmhjkpfnbhagpmjfkannfbllamg

5.2 WhatRuns

扩展程序链接：https://chromewebstore.google.com/detail/cmkdbmfndkfgebldhnkbfhlneefdaaip?utm_source=ext_extensions_menu

5.3 潮指

项目地址：https://github.com/TideSec/TideFinger

在线使用官网（需要登录）：http://finger.tidesec.com/

安装使用：

12345git clone [email protected]:TideSec/TideFinger.gitcd TideFinger/python3python -m pip install -rrequirements.txt -i https://mirrors.aliyun.com/pypi/simple/python TideFinger.pypython TideFinger.py -u https://weread.qq.com/# 对微信阅读进行指纹识别

5.4 网页检查

项目地址: https://github.com/lissy93/web-check

在线使用：https://web-check.xyz/

5.5内置

官网：https://builtwith.com/zh/

5.6 WhatWeb

在线使用：https://whatweb.net/

Linux使用：

12sudo apt install -y Whatwebwhatweb -v https://www.v2ex.com/# 指纹V2ex论坛

Windows 预编译器：

参考链接

Whatweb-plus

github.com/winezer0

6。 Web目录扫描

请自行衡量后果后再进行主动信息收集！

6.1 CLI

6.1.1 搜索

项目地址：https://github.com/maurosoria/dirsearch

123python -m pip install dirsearch -i https://mirrors.aliyun.com/pypi/simple/dirsearch --versiondirsearch -u http://scanme.nmap.org/# 开始扫描

6.1.2 wfuzz

项目地址：https://github.com/xmendez/wfuzz

123python -m pip install wfuzz -i https://mirrors.aliyun.com/pypi/simple/wfuzz -Vwfuzz -w /usr/share/wordlists/dirb/common.txt --hc 404 http://testphp.vulnweb.com/FUZZ # 开始扫描

6.2 图形用户界面

6.2.1 Burp Suite

使用Intruder 模块扫描：

6.2.2 7kbscan-WebPathBrute

项目地址：https://github.com/7kbstorm/7kbscan-WebPathBrute

7。 CDN 绕过

7.1 CDN判断

使用CDN Finder网站测试：https://www.cdnplanet.com/tools/cdnfinder/

如果使用nslookup命令可以解析出2个IP，则很可能使用了CDN：

7.2 多地DNS拨号测试

大多数CDN服务都是收费的，所以为了节省成本，一些公司会将网站分流给国内外用户，即国内用户访问国内CDN节点，国外用户直接连接源服务器。这种情况下，您可以使用多区域DNS拨号测试工具，在全球不同地理位置进行DNS分析，找到真正的源服务器IP。

ITDOG: https://www.itdog.cn/dns/

DNS检查器：https://dnschecker.org/

WhatsMyDNS：https://www.whatsmydns.net/

7.3 子域

一般来说，CDN只会用在重要业务的主域名和部分子域名上。有些子域名不会在CDN上列出，因此您可以通过收集子域名的IP来绕过CDN。上面已经介绍了收集子域名的方法，这里不再重复。

7.4 DNS历史解析记录

该网站刚上线时可能没有使用CDN，因此可以通过DNS历史分析记录找到真实IP。

查看DNS：https://viewdns.info/iphistory/

微步在线（需要登录）：https://x.threatbook.com/

IP138: https://site.ip138.com/

7.5 电子邮件标头信息

为了提高自己的专业性，企业通常会自建邮件服务器，但邮件服务无法使用CDN，所以可以尝试让企业的邮件服务器向自己发送邮件（注册其服务并获取注册验证码，或者直接将邮件发送到网站预留的邮箱并等待回复），然后查看邮件头中的Received字段来获取真实IP：

7.6 站点活动请求

部分网站为了提高用户访问量