【网安笔记】资产收集
渗透测试资产搜集
渗透的本质就是信息收集,目的是尽可能全面的描绘目标资产的全貌,包括所有域名、子域名、IP 地址、开放端口及关联的公司信息,为后续漏洞探测提供基础。
域名及子域名搜集(深度和广度)
拿 baidu.com 举例,我们的目的是找到所有和目标主域名关联的二级,三级甚至四级域名:www.baidu.com,one.two.baidu.com 等
被动查询(利用公共数据库)
常用的在线查询网站
我个人常用 crt.sh
- 特点:这是最老牌、最著名、也是最常用的 CT 日志搜索引擎之一。它汇总了来自多个 CT 日志的数据,查询结果非常全面。
- 用法:输入域名,例如 %baidu.com (使用百分号 % 可以进行通配符搜索,以匹配所有子域名)
自动化工具
个人常用的
- OneForAll
- 特点:一个功能强大的综合子域名收集工具,它内置了对 crt.sh 、Censys 等多个 CT 日志源的查询模块。
还有些常见的空间搜索引擎:fofa,shodan,censys。 常用的为 fofa`,作为国内最老牌的空间搜索引擎,FOFA 的主要优势在于对中文和国内资产的覆盖度高,支持多维度搜索。
主动探测
子域名爆破
关键要素:高质量字典
在没经过目标产商的允许擅自爆破属于违法行为!此教程仅作学习分享交流!
暴力破解的成败很大程度上取决于使用的字典(Wordlist)。渗透测试人员通常会使用的字典包括:
- 通用字典 (General Wordlists):如 SecLists 中的 DNS 目录,包含常见的 mail , dev , test ,api , admin , vpn 等。
- 企业定制字典:结合目标公司业务、员工姓名、产品名称、城市名称等自定义生成的字典。
- 大型综合字典:通过爬虫、CT 日志、公共数据等方式汇集的大型子域名列表。
顶级域名的收集
除了常见的子域名收集姿势,还有顶级域名的收集,例如像 google,星巴克这样的大厂,它们的资产遍布全球,也就是说它有可能并不会告诉你一个确切的域名范围。
被动收集
搜索域名购买(任意一个都行),这里拿 google 举例
发现以下都被注册,再对这些域名进行子域名收集,这样的你的攻击面就比先前广了许多。
代码与页面信息泄露
这一阶段的目标是深入分析目标网站的代码和公开配置,以发现隐藏的 API 端点、敏感文件、内部注释和不应公开的路径。
前端代码分析
现代 Web 应用大量依赖前端 JavaScript (JS) 代码与后端 API 通信。JS 文件中经常硬编码或逻辑性地包含大量敏感信息。
核心关注点:
- API 接口路径:发现所有前端调用的 API 端点,例如 /api/v1/user/info 。
- 敏感字符串:搜索 token 、 secret 、 key 、 password 、 admin 等关键词。
- 子域名 / 内部域名:JS 文件中可能硬编码了开发环境或测试环境的域名(如 dev.corp.com ),或
调用的第三方服务域名。 - 云服务凭证:寻找 AWS S3 bucket 名称、Google Cloud 或 Azure 存储服务的 URL 等。
- API 接口路径:发现所有前端调用的 API 端点,例如 /api/v1/user/info 。
- 敏感字符串:搜索 token 、 secret 、 key 、 password 、 admin 等关键词。
- 子域名 / 内部域名:JS 文件中可能硬编码了开发环境或测试环境的域名(如 dev.corp.com ),或
调用的第三方服务域名。 - 云服务凭证:寻找 AWS S3 bucket 名称、Google Cloud 或 Azure 存储服务的 URL 等。
公开文件和配置检查
部分系统默认或管理员疏忽,会导致一些重要的配置或文件被公开访问。
核心检查清单:
- Dirb / Dirbuster / Gobuster:这些目录爆破工具的字典中通常会包含上述常见的敏感配置文件路径,能够批量扫描并检测这些文件的存在性。
- 手动浏览器访问:直接在目标域名后拼接 /robots.txt 和 /sitemap.xml 进行检查。
笔记写的有点潦草,希望各位佬友担待一下 ,如果该笔记有什么问题或者什么可以优化的地方,希望佬能在下面回复,我会认真看的
