域名查询ip命令_信息收集这一篇就够了

1.1 现场检查1.1.1 现场检查的概念

引用百度百科中对侦察兵的定义：

实地考察是指事先到某个地方进行考察，为在该地的正式工作做准备。例如，当你去商场购物时，你可能会通过某种形式获得别人不知道但你已经知道的有关该商场的最新信息。也就是说，获取信息的过程就叫实地考察。

这个解释跟我们渗透人员的“侦察”是一致的，“侦察”的目的就是收集情报。

俗话说，知己知彼，百战不殆。只有详细掌握目标的信息，才能有针对性地深入目标的薄弱环节。而侦察就是这样一种获取目标信息的方式。

1.1.2 渗透测试期间的现场检查

在渗透测试过程中，我们要做的第一件事就是收集信息，俗称“侦察”。在渗透测试中，“侦察”是指收集尽可能多的目标网络信息，以便找到多种入侵组织网络系统的方法的过程。当然，我们这里的入侵是为了通过黑客手段帮助网站找到薄弱环节，方便后期对网站的维护和整改。

信息收集与分析是黑客入侵过程中最基本的操作，也是入侵目标前的准备工作。现场侦察是主动或被动获取信息的过程，信息收集一般通过扫描来实现，可以发现远程服务的各种端口、提供的服务、版本等信息。

情报收集的目的是获取渗透目标的准确信息，以便了解目标组织的运作方式并确定最佳攻击路线。所有这些都应该悄悄地进行，对方不应该意识到你的存在或分析你的意图。

情报收集可能包括搜索网页信息、扫描和绘制特定目标的网络拓扑图等。这些任务往往需要很长时间。而且收集到的信息无需制定规则和规定。即使是最初看起来零散、毫无价值的数据，也可能在后续工作中派上用场。

站点检查的主要目的是为后续的渗透测试获取足够的信息，使渗透测试人员对网站有更为全面的了解。

为了“发现”，我们可以将其分为四个部分：

了解安全架构

缩小攻击范围

建立信息数据库

绘制网络拓扑

1.1.3 了解安全架构

足迹可以让攻击者了解组织的完整安全架构。

这包括了解：

公司使用哪些安全设备，比如防火墙、WAF等硬件或软件设备？防火墙是哪个厂商、哪个版本的？那么在后续的渗透中，我们就可以针对防火墙的弱点，进行相应的渗透。其他安全设备也是一样。

公司网络安全人员或网络管理人员的配置。如果公司只配备网站管理人员而没有专门的网络安全工程师，那么渗透测试可以以更加隐秘和迷惑的方式进行。

公司的监管制度是否完善？如果一个公司的安保制度不完善，比如机房管理不严格，任何人都可以随意进出机房，那么无论该公司对于互联网的防护措施有多严格，效果都几乎为零；

侦察后获得的目标公司IP地址范围、网络、域名、远程接入点等信息可以帮助在后续的渗透测试中缩小攻击范围。

通过缩小攻击面，您可以确定哪些敏感数据面临风险以及它们位于何处。

初期的“侦察”就是为了获得足够的信息，然后锁定那些敏感数据和脆弱点，这样才有利于有针对性的攻击和渗透，而不是通过大规模的攻击，这样费时费力。

1.1.4 建立信息数据库

渗透测试人员在收集、分析信息之后，可以为目标组织建立一个安全漏洞信息数据库，然后利用这个信息数据库进行下一步的入侵。

这个信息数据库可能包含网站漏洞的信息、同一服务器上邻近站点的信息以及其他一些重要信息。

在建立这个信息数据库之后，渗透测试人员完全可以通过这个渗透数据库来制定入侵计划。

例如下表：

信息

网站

IP地址

10.2.7.9

是否使用cms

网站端口

80

渗透测试人员在对渗透目标有了充分的了解之后，可以绘制公司的网络拓扑图，然后利用这个网络拓扑图来分析，寻找最有可能入侵的攻击路径。

在“侦察”的过程中，我们还需要有针对性地收集一些目标的信息，而不是收集所有的，毕竟我们的精力是有限的，所以只需要“侦察”那些比较重要的目标就可以了。

1.2 IP资源 1.2.1 获取真实IP

说到真实IP，我们先简单介绍一下什么是CDN技术，它的中文名字是内容分发网络，为了保证网络的稳定和快速传输，网站服务商会在网络的不同位置架设节点服务器，通过CDN技术将网络请求分发到最优的节点服务器上。

那么如何判断服务器上是否有 CND 呢？下面是三个网站：

网站管理员工具：

爱站网络：

海外ping检测：

这里我们以站长工具为例，如下图：

如果响应了多个IP地址，则意味着可能存在CDN。

1.2.2 绕过CDN获取真实IP

第一种方法是搜索子域名，子域名可能与主站在同一台服务器上或者在同一个C段网络，通过子域名探测可以收集目标的子域名信息，通过查询子域名的IP信息可以确定主站的真实IP信息。

第二种方法是通过微步在线查询域名[***.com]的历史DNS解析信息，然后分析出哪些IP不在当前的CDN解析IP中，这些IP有可能是没有加入CDN加速之前的真实IP。

第三种方法就是检测，检测也有两种方法，一种是利用自己已有的海外主机直接检测，另一种就是如果没有海外主机，可以使用公共的多点ping服务，多点ping服务有海外检测节点，可以通过海外节点的返回信息判断真实IP信息。

1.2.4 现场信息收集

侧站是与目标位于同一台服务器上的不同网站，在目标没有漏洞的情况下，可以找到侧站的漏洞，对侧站进行攻击，然后进行提权，获取服务器的最高权限。

这里可以使用工具NMAP，它可以检测目标主机开放的端口，通过识别新的服务器来审计网络的安全性，通过检测设备或防火墙来审计其安全性，并检测网络上的主机。以下是完整端口扫描结果的详细说明：

root@kali:~# nmap -sV -p 1-65535 192.168.88.21

主机已启动 (0. )。

未显示：65523 个端口

港口国

80/tcp 打开 http httpd 2.4.23 ((Win32) /1.0.2j PHP/5.2.17)

135/tcp 打开 msrpc RPC

139/tcp 打开-ssn-ssn

445/tcp open -ds 2003 或 2008 -ds

800/tcp 打开 http IIS httpd 6.0

1025/tcp 打开 msrpc RPC

1030/tcp 打开 msrpc RPC

1433/tcp 打开 ms-sql-s SQL 2005 9.00.1399；RTM

3306/tcp 打开 mysql MySQL 5.5.53

3389/tcp 打开 ms-wbt-

您也可以使用第三方网站，例如站长工具，选择同IP网站查询模块进行查询。

1.2.5 C段主机信息收集

C段主机是指与目标服务器处于同一个C段网络中的服务器，攻击目标尚存的C段主机是信息收集的重要信息，很多单位、企业的内部服务器可能处于一个C段网络中。

也可以使用NMAP进行C段扫描，使用命令【nmap -sn IP/24】扫描目标IP的C段主机存活情况，根据扫描结果判断目标IP的C段还有哪些主机存活，然后对存活的主机进行渗透，获取最高权限后，进行内网渗透。

1.3 域名发现 1.3.1 子域名信息收集

子域名是属于 DNS 层次结构中更高级别域名的域名。例如，和 是两个子域名。

一个企业可能有多个、几十个甚至很多个子域名应用，由于子域名数量众多，企业在人员和防护方面的投入可能不如主站那么及时，当攻击者在主站域名找不到突破口时，就可以收集子域名的信息，然后通过子域名的漏洞发起迂回攻击。

域名有以下几种类别，如下表所示：

域名

类别

.com

对于商业和金融企业

。网

对于互联网信息中心

.edu

对于教育机构

.gov

对于政府部门

1.3.2 子域名枚举工具

这里推荐几个好用的子域名枚举工具，一个是Layer子域名挖掘器，Layer子域名挖掘器用于网站子域名查询，有服务接口、暴力破解、同服挖矿三种模式。

子域名爆破结果

对【】子域名进行暴力破解，结果发现其下有【】、【】、【】等多个子域名。

第二个比较有用的子域名枚举工具是，这个工具是开源的，地址是

支持批量，并根据域名生成相应文件，如下图：

1.3.3 搜索引擎发现子域名

例如：site:，如下图

还有其他语法和搜索引擎，这里不讨论。

1.4 服务器和人力资源情报 1.4.1 NMAP

Nmap可以探测目标主机是否在线、端口开放情况、运行服务的类型及版本、操作系统和设备类型等，是网络管理员评估网络系统安全性的必备软件之一。

Nmap的扫描结果以六种方式显示，如下

打开

由于数据包过滤阻止探测数据包到达端口，因此 Nmap 无法确定端口是否开放。

（已过滤）

当无法确定某个端口是开放的还是被过滤的时，Nmap 会将该端口归类为这种状态。

打开|（打开或过滤）

当 Nmap 无法确定端口是否关闭或被过滤时使用此状态。

（关闭）

即使没有应用程序在监听关闭的端口，Nmap 也可以访问该端口。

|（已关闭或已过滤）

未过滤状态意味着该端口可访问，但 Nmap 无法确定它是开放还是关闭。

（未过滤）

即使没有应用程序监听关闭的端口，Nmap 也可以访问该端口。

端口扫描结果如下：

root@kali:~# nmap -sV -p 1-65535 192.168.88.21

主机已启动 (0. )。

未显示：65523 个端口

港口国

80/tcp 开放 http

135/tcp 打开 msrpc

139/tcp 打开-ssn

445/tcp 打开 -ds

800/tcp 开放 http

1025/tcp 打开 msrpc

1030/tcp 打开 msrpc

1433/tcp 打开 ms-sql-s

3306/tcp 打开 mysql

3389/tcp 打开 ms-wbt-

识别服务器版本，参数为-sV，如下：

root@kali:~# nmap -sV -p 1-65535 192.168.88.21

主机已启动 (0. )。

未显示：65523 个端口

港口国

80/tcp 打开 http httpd 2.4.23 ((Win32)/1.0.2j PHP/5.2.17)

135/tcp 打开 msrpc RPC

139/tcp 打开-ssn-ssn

445/tcp open -ds 2003 或 2008 -ds

800/tcp 打开 http IIS httpd 6.0

1025/tcp 打开 msrpc RPC

1030/tcp 打开 msrpc RPC

1433/tcp 打开 ms-sql-s SQL 2005 9.00.1399；RTM

3306/tcp 打开 mysql MySQL 5.5.53

3389/tcp 打开 ms-wbt-

操作系统识别，参数为-O，结果如下：

root@kali:~# nmap -O 192.168.88.21

Nmap 扫描 192.168.88.21

主机已启动 (0. )。

未显示：997 个端口

港口国

22/tcp 开启 ssh

80/tcp 开放 http

2004/TCP 开放

MAC地址：00：0C：29：D6：A7：12（）

类型：

：Linux 3.X|4.X

操作系统 CPE：cpe:/o:Linux::3 cpe:/o:Linux::4

操作系统：Linux 3.2 - 4.6

：1 跳

操作系统 . 任意 .

Nmap 已完成：1 个 IP（1 个主机启动）在 1.89 中

1.4.2 Whois 信息

Whois是用于查询域名IP地址和所有者的传输协议。Whois是用于查询域名是否被注册以及注册域名的详细信息（如域名所有者、域名注册商等）的数据库。Whois用于查询域名信息。

您可以到站长之家查询域名拥有者、注册商等相关信息，查询地址为

【】。如下所示

也可以使用Whois信息查询，如下图

1.4.3 社会工程学

社会工程是通过自然、社会和制度的方法建立理论来逐步解决各种社会问题，特别强调现实的双向规划和设计经验。

社会工程入侵一般分为信息间谍、心理应用、反查验技术三个部分，我们先说信息间谍。

1. 善用身边的信息

尽量利用已有的信息，这样才能更好地应对突发事件。这些信息包括规则、制度、方法和协议。

2. 学习侦探的伪装

假设我们已经获得了目标的一些信息，但必须进行沟通才能获得更敏感的信息。我们不能直接

对方可能会发现，所以我们必须先隐藏身份。

3. 人性的弱点

每个人都有心理弱点，没有人能永远摆脱这些弱点，可以说这部分是社会工程学的重要组成部分。

他们能够利用人们的信任、帮助的愿望和同情心来欺骗你。

4.组织信息结构陷阱

假设现在我们掌握了目标同事的信息，例如目标的真实姓名、联系方式、作息时间等，一个优秀的社交工程师会把这些信息全部进行整理、分类、过滤，构造一个精心准备的陷阱，让目标自己主动上门。

二是心理学的应用。模仿使对方以为冒充者是内部工作人员。如果行为模仿正确，别人就不会对你产生任何怀疑，也不会怀疑同事的请求和帮助。NPL内存记忆NPL强调行为、内存记忆、生理状态模仿和对周围环境的识别，通过视觉、听觉、嗅觉传递信息。

第三是反查技术，伪造信息攻击最重要的不是成功入侵主机，而是清除痕迹，不让管理员发现入侵和数据伪造行为。

1.4.4 利用客户服务收集信息

攻击者利用文件传输功能进行社会工程钓鱼，直接向客服发送木马文件。安全意识较弱的客服人员点击后可能被植入木马，攻击者将完全控制其电脑文件。客服办公室电脑可能存储了大量敏感信息，攻击者可以通过信息收集分析进一步进行渗透攻击。