重要:使用工具前先设置go的环境变量!!!
export PATH=/home/kali/go/bin:$PATH
阶段 1:信息收集(Recon)—— 资产发现(最重要,决定能挖多少)
目标:拿到尽可能多的子域名、IP、历史 URL、邮箱等。
核心工具:
- 被动收集:
- FOFA / 鹰图 / Quake / Hunter(国内资产测绘,必备)
- crt.sh(证书透明度)
- theHarvester、Amass(被动子域名)
- 主动枚举:
- OneForAll 或 Subfinder(推荐 Subfinder,速度快)
- Layer 子域名挖掘机(国内老牌,字典强)
- IP 反查:ip138、微步、VirusTotal
被动收集
举个例子,比如我要用fofa进行初步的资产测绘,以cqcst.edu.cn为例,首先通过fofa相应的语法进行查询【fofa首页已经给出】:
domain="cqcst.edu.cn" || cert="cqcst.edu.cn"
主动枚举
利用相应的工具进行子域名收集,其实OneForAll可能会因python版本问题而报错,因此这里采用Subfinder,后续所有工具均在kali中使用,这里可以用subfinder进行枚举:
subfinder -d cqcst.edu.cn -silent -t 10 -o subdomains.txt
| 参数 | 含义 | 说明 |
|---|---|---|
subfinder |
工具名称 | ProjectDiscovery 开发的子域名发现工具 |
-d |
domain(目标域名) | 后面跟你要查询的主域名 |
cqcst.edu.cn |
目标域名 | 你要枚举子域名的目标(重庆城市建设学院?) |
-o |
output(输出文件) | 将结果保存到指定的文件 |
subdomains.txt |
输出文件名 | 结果会保存在这个文件中 |
然后对得到的子域名进行去重后导入到新的文件中:
# 合并去重 + 解析
cat subdomains.txt | anew all_subs.txt
| 部分 | 含义 | 说明 |
|---|---|---|
cat subdomains.txt |
读取文件 | 输出 subdomains.txt 中的所有内容 |
| |
管道 | 将前一个命令的输出传递给下一个命令 |
anew all_subs.txt |
去重追加 | 只把不重复的行写入 all_subs.txt |
阶段 2:存活探测 + 指纹识别
工具:
- httpx(ProjectDiscovery,必装!)
- Wappalyzer(浏览器插件,快速看技术栈)
- WhatWeb / Nuclei(指纹)
用httpx探测存活的网站:
cat all_subs.txt | ~/go/bin/httpx -threads 15 -delay 300ms -status-code -title -silent -o live.txt
这里用的是go环境下的绝对路径,因为kali中还有一个是python的httpx的优先级更高,如果不想搞的话可以自行设置一个环境变量
| 部分 | 含义 | 说明 |
|---|---|---|
cat all_subs.txt |
读取子域名列表 | 输出之前收集的所有子域名 |
| |
管道 | 将子域名传给 httpx |
~/go/bin/httpx |
执行 Go 版 httpx | 用完整路径确保使用的是正确版本 |
-status-code |
显示 HTTP 状态码 | 如 200(成功)、403(禁止)、404(未找到) |
-title |
显示网页标题 | 如 "百度一下,你就知道" |
-content-length |
显示响应内容长度 | 网页大小(字节),可用来判断是否为空白页 |
-response-time |
显示响应时间 | 服务器响应速度(毫秒) |
-o live.txt |
输出到文件 | 结果保存到 live.txt |
阶段 3:路径 / 链接发现(你最关心的 FindSomething path 阶段)
这是之前手动输入 path 的痛点,这里用自动化替代。
核心工具:
- katana(下一代爬虫,推荐主力!支持 JS 渲染)
- gau / waybackurls(历史 URL)
- hakrawler / gospider(备用)
# 用 katana 深度爬所有存活子域,这里 print1是打印第一个字段,即纯URL
cat live.txt | awk '{print $1}' | ~/go/bin/katana -jc -kf all -c 15 -d 3 -delay 200 -o crawled_nbu.txt
常用参数
| 需求 | 命令 |
|---|---|
| 基础爬取 | cat live.txt | katana -o crawled.txt |
| 爬取 + 解析 JS | cat live.txt | katana -jc -o crawled.txt |
| 爬取 + 已知文件 | cat live.txt | katana -kf all -o crawled.txt |
| 完整功能(推荐) | cat live.txt | katana -jc -kf all -o crawled.txt |
| 完整功能 + 自动填表 | cat live.txt | katana -jc -kf all -aff -o crawled.txt |
| 控制爬取深度 | cat live.txt | katana -jc -kf all -d 3 -o crawled.txt |
考虑到合法性,建议控制并发数和爬取深度:
# 深度爬取 3 层,20 并发,避免对目标造成太大压力
cat live.txt | katana -jc -kf all -d 3 -c 20 -o crawled.txt
但 katana 只接受纯 URL,不接受后面跟着状态码、标题这些额外信息,因此还要再重新生成一个文件进行爬取:
# 生成只有 URL 的文件
cat all_subs.txt | ~/go/bin/httpx -silent -threads 15 -delay 300 -o live_urls.txt# 用这个文件爬取,注意设置并发数,时延和爬取深度,防止被ban
katana -list live_urls.txt -jc -kf all -c 15 -d 3 -delay 200 -o crawled.txt
阶段 4:目录 / 文件暴力扫描(Path 深度挖掘)
核心工具:
- feroxbuster(Rust 写,递归最强,推荐主力)
- ffuf(最灵活,支持过滤)
注意这里是暴力擦测隐藏路径,一定要进行相应限制,要不然直接秒封!!!
feroxbuster -u http://zs.cqcst.edu.cn:12616 -w ~/wordlists/aspx.txt -t 20 --rate-limit 50 --auto-tune --timeout 5 -o ferox.txt
这个配置:
-
线程20:比默认200温和
-
限速50/s:对大部分服务器友好
-
自动调优:遇到拦截自动降速
-
超时5秒:避免卡死
先跑10分钟,观察输出:
-
如果看到大量
429或超时,说明太激进,降线程 -
如果正常返回,可以适当提到
-t 30 --rate-limit 80
信息搜集拓展
文中介绍的基本上都是工具,但是手工获取相应信息的方法也非常重要:
Google黑客语法
收到信息收集和资产收集怎么可能少的了Google浏览器呢,Google浏览器的黑客语法是一个十分强大的存在,特别是在以前网络方面管的不是很严控的时候,很多大牛都是使用一些厉害的Google语法进行一个资产的收集,在以前学校的一些身份证和学号信息经常能够利用这些语法找到的。
下面我也简单的给师傅们整理了下一些常见的一些Google检索的语法,如下:
1.site:域名 intext:管理|后 台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system2.site:域名 inurl:login|admin|manage|manager|admin_login|login_admin|system3.site:域名 intext:"手册"4.site:域名 intext:"忘记密码"5.site:域名 intext:"工号"6.site:域名 intext:"优秀员工"7.site:域名 intext:"身份证号码"8.site:域名 intext:"手机号"
GitHub 手工搜索(免费无门槛)
直接用搜索语法精准定位教育行业相关代码库,运气好能直接挖到数据库密码、配置文件等敏感信息!
-
标题含关键词:
in:name 教育 -
描述含关键词:
in:description 高校系统 -
限定 stars 数量:
stars:>1000 教务管理 -
组合搜索(精准打击):
user:edu in:readme 数据库配置👉 官方语法文档:
https://docs.github.com/en/search-github/searching-on-github/searching-for-repositories(支持简体中文)