注意每个小标题都有加超链接,可以直接访问。
网盘信息搜集
网盘搜索引擎一般通过互联网爬虫来实现,本来就是不受官方支持的灰色地带,经常关站或停止维护,不付费的搜索引擎结果只能说差强人意。
凌风云搜索
资源保持更新,支持筛选排序,免费用户可以搜索,但访问资源需要开通VIP
大力盘/大圣盘
同一套东西,资源比较旧,微信扫码访问资源
超能搜/云铺子
搜索聚合,但结果质量不高
邮箱收集
进一步作为账户口令or钓鱼用,一般来自于官网通知/招聘信息/信息披露中的爬取。要注意一个集团可能不止一个邮箱后缀。
hunter.io
Google账号登录使用,可关联到企业,可显示来源(泄露文章链接)
snov.io
结果较多但是不显示来源,准确性未知,高级版除了邮箱还支持其他比如推特领英的搜索,我没试过:
email-format
普普通通
微匹
国内平台,面向客户发掘和信息骚扰,搜企业名or邮箱。
小程序/公众号
比较重要的一环,基于B/S的Web已经被挖烂了,看着手里枚举出来却访问不到业务的域名,其实还掩藏着很多小程序后端。而别人对小程序搜集和抓包的陌生就是你的竞争力。
小蓝本
对我们想要知道的企业信息覆盖非常全面,【新媒体】里面包含公众号/微博/小程序,弥补了从微信官方搜索关键字的不足。此外还有【APP】和【网站】,信息搜集家中常备:
极致了数据
界面比较恼人。网上其实有很多这种第三方的数据服务商,可以探索一下为我们所用。
0.zone
域名
老生常谈。 基本操作见深入了解子域名挖掘tricks
招股书
来源于Micropoor,但我没有找到合适的企业去实践过,不知道和ICP备案中的结果会不会有出入。
Host碰撞
很多文章没讲清楚,Host碰撞本质上是Nginx配置不当产生的安全问题。nginx.conf配置server_name字段为某个域名后,可以防止外部通过IP直接访问或其他解析过来的域名访问,在此基础上也可以配置return来返回403或500等。
server {
listen 8080 default_server;
server_name _;
return 400;
}
server {
listen 8080;
server_name 0sec.com.cn;
location {
proxy_pass http://127.0.0.1:8001;
root html;
index index.html index.htm;
}
}
第一个server表示host为空时会返回400,第二个server会根据访问路径的不同返回不同的页面,当host为0sec.com.cn时才会返回127.0.0.1:8001上的服务。
有时候业务下线/更换,域名删除了A记录,但是nginx的配置没有更新,通过正确的域名与IP的组合,nginx还是会进行反向代理,那么还是可以访问到该系统。
这个缺陷应该归于OWASP 2021 A05:Security Misconfiguration的范畴,通过安全配置缺陷造成了A01:Broken Access Control,突破访问控制访问到的系统可能是内部系统或测试系统,Google在2017年也被发现过这个漏洞。
利用
收集IP:通过ASN号段(范围很大)/(历史)域名解析记录
然后域名与IP碰撞。
Burp里面可以通过Match/Replace功能进行Fuzz:
Host碰撞小工具:
集成工具:
- 水泽:集成了host碰撞、爱企查接口、RCE POC批量,护网利器。