[toc]

域名信息收集

域名（Domain Name）是互联网上用于标识和定位资源（如网站、服务器）的地址，替代复杂的IP地址，方便用户访问。域名通过DNS（域名系统）解析为IP地址。域名按照结构和用途可以分为不同的类别，以下是常见的域名分类：

1. 按层级分类

域名从右到左按层级划分，层级由点（.）分隔：

• 根域名：最高层级，位于域名结构的最右端，通常不显式写出（表示为.）。
• 顶级域名（TLD）：根域名下的第一级，如 .com、.org、.cn。
• 二级域名：顶级域名下的子层，如 example.com 中的 example。
• 子域名：二级域名下的进一步细分，如 api.example.com 中的 api。

Whois协议

查询域名的ip和所有者等信息

Whois服务是一个在线的'请求/响应"式服务。WHOIS server运行在后台监听43端口，当lnternet用户搜索一个域名（或主机、联系人等其他信息）时，WHOIS server首先建立一个与Client的TCP连接，然后接收用户请求的信息并据此查询后台域名数据库。如果数据库中存在相应的记录，它刽相关信息如所有者、管理信息以及技术联络信息等，反馈给CIient输出结束，Client关闭连接，至此，一个查询过程结束。

• whois反查

通过注册人的邮箱，电话等信息反向查询其他相关信息

https://whois.chinaz.com/lally.top

备案信息

https://beian.miit.gov.cn/

https://icplishi.com/

所有在中国大陆服务器上托管或通过中国大陆网络接入服务的网站都需要ICP备案，可以用网页的备案号反查

子域名查询

https://github.com/shmilylty/OneForAll

https://tool.chinaz.com/subdomain

搜索引擎的高级语法

dns查询工具

https://dnsdumpster.com/

https://www.dnsgrep.cn/

资产搜索高级引擎

https://fofa.info/

https://hunter.qianxin.com/

https://www.zoomeye.org/

https://www.shodan.io/

SSL证书查询

https://crt.sh/

ip信息收集

旁注技术：通过这台服务器上其他网站的漏洞获取服务器控制权

ip反查域名/域名查询ip

• https://tool.chinaz.com/same
• https://tools.ipip.net/ipdomain.php

C段存活主机探测是扫描一个C类IP网段（如 192.168.1.0/24）以发现活跃主机的技术，常用于网络安全中的资产收集。它帮助识别目标网络中的服务器、API主机等，为后续漏洞扫描（如 /admin 目录、API端点）提供基础。

nmap -sP lally.top/24
nmap -sP 192.168.1.*

CDN

有些网站设置CDN可能没有把国外的访问包含进去，所以可以这么绕过

https://ping.sx/ping

CDN流量收费高，站长而可能只会对主站或者流量大的字段做了CDN，小的子站可能跟主站在同一个服务器内，所以可以查询子域名的ip来辅助找到主站的真实IP

可以通过MX记录查找原始服务器IP

查找历史DNS记录

• https://viewdns.info/iphistory/
• https://www.ip138.com/

1. A记录 A（Address）记录是用来指定主机名（或域名）对应的IP地址记录。用户可以将该域名下的网站服务器指向到自己的web server上。同时也可以设置域名的子域名。通俗来说A记录就是服务器的IP,域名绑定A记录就是告诉DNS,当你输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。 简单的说，A记录是指定域名对应的IP地址。

2. NS记录 NS（Name Server）记录是域名服务器记录，用来指定该域名由哪个DNS服务器来进行解析。 您注册域名时，总有默认的DNS服务器，每个注册的域名都是由一个DNS域名服务器来进行解析的，DNS服务器NS记录地址一般以以下的形式出现： ns1.domain.com、ns2.domain.com等。 简单的说，NS记录是指定由哪个DNS服务器解析你的域名。

3. MX记录 MX（Mail Exchanger）记录是邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。例如，当Internet上的某用户要发一封信给 [email protected] 时，该用户的邮件系统通过DNS查找mydomain.com这个域名的MX记录，如果MX记录存在， 用户计算机就将邮件发送到MX记录所指定的邮件服务器上。

4. CNAME记录 CNAME（Canonical Name ）别名记录，允许您将多个名字映射到同一台计算机。通常用于同时提供WWW和MAIL服务的计算机。例如，有一台计算机名为 “host.mydomain.com”（A记录），它同时提供WWW和MAIL服务，为了便于用户访问服务。可以为该计算机设置两个别名（CNAME）：WWW和MAIL， 这两个别名的全称就“www.mydomain.com”和“mail.mydomain.com”，实际上他们都指向 “host.mydomain.com”。

端口信息收集

https://edu.yijinglab.com/post/280

其实主要是nmap的使用

网站信息收集

操作系统

1. ping判断：windows的TTL值一般为128，Linux则为64。

TTL大于100的一般为windows，几十的一般为linux。

1. nmap -O参数
2. windows 大小写不敏感，linux 则区分大小写

网站服务，容器类型

1. F12查看响应头 Server 字段
2. whatweb ：https://www.kali.org/tools/whatweb/

apache ，nginx ，tomcat，IIS

通过容器类型、版本可考虑对应容器存在的漏洞（解析漏洞）

脚本类型

1. php
2. jsp
3. asp/aspx
4. python

知道是什么语言才可以针对性的进行文件扫描、文件上传

数据库类型

https://edu.yijinglab.com/post/298

CMS识别

CMS：内容管理系统，用于网站内容文章管理

https://www.yunsee.cn/cms/

敏感文件，目录

A. 常见敏感文件或目录

robots.txt

crossdomain.xml

sitemap.xml

后台目录

网站安装目录

网站上传目录

mysql管理页面

phpinfo

网站文本编辑器

测试文件

网站备份文件（.rar、.zip、.7z、.tar、.gz、.bak）

DS_Store文件

vim编辑器备份文件（.swp）

WEB-INF/web.xml文件

敏感文件、敏感目录挖掘一般都是靠工具、脚本来找，比如御剑、dirsearch