## 1.Whois信息 地址：https://www.whois.com whois信息可以获取关键注册人的信息，包括注册公司、注册邮箱、管理员邮箱等,对后期社工很有用。 同时该工具还可以查询同一注册人注册的其他的域名，域名对应的NS记录、MX记录，自动识别国内常见的托管商。 常用的工具：chinaz,kali下的whois命令。 注意：有的域名会做whois保护。 ## 2.子域名 主要用到 * 搜索引擎 * 子域名挖掘机Layer * subDomainsBrute * https://phpinfo.me/domain/ * 穷举爆破 ## 3.目标真实IP 在CMD命令工具中使用 ping 命令加上目标主机域名即可得到IP地址，如果有CDN，那么可以ping 目标主机的二级域名得到真实IP地址。 ## 4.旁站C段 旁站是和目标网站在同一台服务器上的其它的网站。 如果从目标站本身找不到好的入手点，这时候，如果想快速拿下目标的话，一般都会先找个目标站点所在服务器上其他的比较好搞的站下手，然后再想办法跨到真正目标的站点目录中。 ## 5.邮箱 首先确定目标的邮件服务器所在的真实位置，看看邮件服务器自身有没有什么错误配置，比如，没有禁用VREY或者EXPN命令导致用户信息泄露。 然后通过whois中获取域名的注册人、管理员邮箱，利用搜索引擎或者社工库查看有木有泄露的密码，然后尝试泄露的密码进行登录，最后从目标站点上搜集邮箱 ## 6.CMS类型 一半使用免费工具建站的站点都可以通过查看网站特征找到一些基本信息 * 网站特有文件/dedecms.css — dedecms ，wp-content ——wordpress * 网站独有文件的md5 cms 带了一个favicon.ico * 网站命名规则 * 返回头的关键字 * 网页关键字 * URL特征 * Script特征 * robots.txt wp-admin * 网站路径特征 * 网站静态资源 bootstrap前端框架 * 爬取网站目录信息 ### 使用工具： 云悉：http://yunsee.cn Whatweb：http://whatweb.bugscaner.com/look/ ## 7.敏感文件 .git .svn .DB_store源代码泄露 扫描 御剑 www.zip>整个网站的备份或者是源代码 dirbrute ## 8.端口信息 扫描全端口一般使用Nmap，masscan进行扫描探测 自写脚本https://www.chabug.org/tools/510.html ## 9.服务器和中间件 Waf 防火墙 https://github.com/Ekultek/WhatWaf 安全狗 cookie Safedog:asdawasdwa 360主机卫士 360:asdasdad 护卫神: Hsw:dwadwadwa 历史漏洞信息 https://bugs.shuimugan.com/