icp备案

通常演练时会告知目标单位的名字，但可能不是全称，而是简称或者缺少某些关键字，这时需要百度目标单位的全称。 获取全称后在工信部备案网站查询目标单位备案的域名，这样查询到的资产最准确，也保证了后面子域名的准确性，不至于最后收获的是“非目标单位资产”。 也可以在企查查/天眼查/小蓝书网站查询，关注官网、邮箱、备案号、公众号、小程序等。

子域名

域名明确了下一步进行子域名收集。

• subfinder+ksubdomain+httpx ./subfinder -d baidu.com -silent|./ksubdomain -verify -silent|./httpx -title -content-length -status-code

  1 2 3 4 5 6

  subfinder：用来查询域名的子域名信息的工具，可以使用很多国外安全网站的api接口进行自动化搜索子域名信息。 Httpx：一款运行速度极快的多功能HTTP安全工具，它可以使用retryablehttp库来运行多种网络探针，并使用了多线程机制来维持运行的稳定性和结果的准确性。 ksubdomain是一款基于无状态子域名爆破工具，支持在Windows/Linux/Mac上使用，它会很快的进行DNS爆破，在Mac和Windows上理论最大发包速度在30w/s,linux上为160w/s的速度。 https://github.com/projectdiscovery/subfinder https://github.com/projectdiscovery/httpx https://github.com/knownsec/ksubdomain

• fofa 通过fofa模糊搜索查询子域名或系统名称。 如果目标资产有CDN，使用的是https，可以通过fofa扩展功能定位真实IP：

  1 2 3

  * 首先查看https获得网站证书序列号； * 将序列号十六进制转换成十进制（https://tool.lu/hexconvert/） * 利用fofa语法cert：cert="十进制序列号"搜索证书（https或imaps等）中带有对应证书的资产。

• hunter

  hunter有两个语法很给力，一个是icp.name可直接搜索目标的备案资产，还有domain.suffix查询主域为对应域名的网站。

• 零零信安 (company=目标单位名) 有些资产可能是第三方开发公司或平台的资产。

• OneForAll

• google语法 site:baidu.com -www

端口

目前好用的有naabu和nmap，但是速度都有点慢。

naabu -host [IP] -p - -nmap-cli "nmap -sV"

nmap -sS -Pn -n --open 122.14.193.200 --min-hostgroup 4 --min-parallelism 1024 --host-timeout 30 -T4 -v -p 1-65535 嫌慢的话直接用空间搜索引擎查看也可以。

指纹识别

关注一些重要的指纹，OA、spring、thinkphp、hikvision……

• Ehole
• dismap
• kscan
• TideFinger

目录扫描

• dirsearch
• ffuf

dirsearch扫描太慢，用ffuf替代

邮箱

钓鱼或者邮箱系统少不了。

• google语法

  1 2 3

  site:xxx.cn intitle:邮箱 sport socks site:xxx.com "@163.com" 等等

• 第三方网站

  邮箱查询地址	推荐程度
  https://phonebook.cz	高
  http://www.skymem.info	高
  https://hunter.io	中
  https://www.email-format.com/i/search	低

前端JS

• 浏览器插件：FindSomething
• URLFinder
• Packer Fuzzer 如果网站时webpack打包的，可以试试这个

说明/指导文档

在很多系统可能进去后操作略微繁琐，可能会在旁边或者下面放一个说明或者指导文档，可以重点关注一下这个内容，说不定在里面就会暴露一些账号信息，url信息等等。

github