记一次黑客大牛的信息收集，不看后悔！！！

1.操作系统收集方法

操作系统：Windows和Linux

大小写敏感 Windows大小写不敏感：如果一个文件存在大小写，名字一致，在Windows上面，它是一个文件，也就是说，不管你大写也好，小写也好，你这个文件就是一个

我们的这个Windows搭建的网站，我们把网站的脚本格式asp和php改为大学的PHP或者ASP的话，返回正常就是Windows，返回不正常就是Linux

Linux敏感：但是，到了Linux上面是两个文件

Linux改后面的php为大写，它就返回错误，说明这个是Linux操作系统，，，

所以这就是敏感和不敏感的意思

另外的话，咱们可以用wappalyzer查看基础的中间件和常见的cms，此插件可在谷歌网上应用店查找安装

2、数据库类型收集

常见的数据库有：access、mysql、mssql(sql server)、oracle、postsql、db2

根据软件的扫描，可以看见这个网站的端口，1433就可以看见出是sql server

那如果别人将端口改了，这个时候该怎么办，我们可以用nmap，即使对方的端口被修改，它也能探针出对应的服务

（2）还有搭建组合来推算

根据网站脚本和操作系统来推算，

我们都知道，在Windows上面，可能有些数据库是无法运行的，在Linux上面也一样，在Linux上面，不可能出现access数据库，和mssql因为这两个是Windows微软公司出品的，在Linux上面是不兼容，如果我们知道对方是什么操作系统的话，是Linux，我们可以排除access和mssql，Windows操作系统的话，我们可以排除Linux操作系统上面的数据库，同样。我们还可以根据网站脚本类型来判定数据库，我们知道，php一般都是mysql，asp的话一般都是access和mssql（sql sever）

另外的话，可以根据常见的网站搭配

asp网站：常用的数据库是access，中间件iis，操作系统：Windows

aspx网站：常用的数据库是mssql数据库 中间件iis 操作系统Linux

php网站：常用的数据库是mysql 中间件Apache(Windows系统)、Nginx(Linux系统)

jsp网站：常用的数据库是oracle 中间件Apache Tomcat 操作系统Linux

3. 搭建平台、脚本类型收集

搭建平台iis、Apache、uginx Tomcat

脚本类型php、asp、aspx、jsp、cgi、py等

审查元素

通过查看元素或者审查元素，来请求数据包来看，它一般有三块，第一块是访问信息，第二个是回复信息（回复信息就是服务器对你访问的一个回复），第三个是请求信息（就是我们当前自己去访问的数据包、）

我们可以看到。在回复信息这里，对应的是Apache和win32位、同时泄露了PHP5.2.17的一个版本、从这里我们可以看到一个搭建平台和脚本类型。

、第三方查询平台，搜索引擎

4. 分目录站点收集

www.xxx.com

www.xxx.com/bbs

www.xxx.com/old

我们看以上两个站点，就是分目录站点

实战的意义

网站可能有多个cms或者框架组成，那么对于渗透而言，相当于渗透目标是多个（一个cms一个思路）

假如主站是php的cms，那么在它的分目录站点下可能是采用其它的cms搭建的，比如说phptink，然后我们就可以找到他这个cms有哪些漏洞，?就是这么一个情况

归根到底他就是一个。为什么？他在搭建网站的时候。只相差一个目录，入侵他目录下的站点。或者入侵主站，这些都是可以操作其它目录的，我入侵它其它分目录的

站点，那么， 同样。主站也是可以遭殃的，因为主站和分目录站仅仅只有一个分目录的相合，一般我们拿下分目录站的权限，都是可以拿下主站的权限的。

(2) 分端口站点

:80

:8080

实战的意义

网站可能有多个cms或者框架组成，那么对于渗透而言，相当于渗透目标是多个(一个cms一个思路)

工具:nmap(也可用其它的)

5. 子域名信息收集

子域名也称之为：分域名站点和二级域名

分域名站点及手机站点分析

www.xxx.com

bbs.xxx.com

news.xxx.com

分域名与主站可能同服务器或者同网段，对于分域名渗透可以直接和主站进行联系

比如说手机站点

很多手机站点就是这样的。一般都是m开头或者其它开头，

它动用的就是主站的一个情况，手机站点有可能是不同的程序，分域名是wap或者m开头的手机站点，

手机站点：1、不同主站一套的移动端框架程序 2、直接调用主站程序

如果是第一种。他就是两个不同的程序，其实就是两种站点，也就是说，一个是主站的一个程序，一个是移动框架的一个程序，移动端的渗透方法还是跟我们一般的渗透方法是一样的

收集子域名的方法

利用工具进行字典爆破:subdomainbrute 、layer

在线的网站:

搜索引擎

反查whois

工具：站长工具

1 查询whois http://whois.chinaz.com/baidu.com

2 反查whois http://whois.chinaz.com/reverse?host=domainmaster@baidu.com&ddlSearchMode=1

获得关联域名信息

6、 网站后台收集

一般来说，我们在进行前端渗透挖掘的时候，我们可以把目标看向后台地址，说不定有什么意外的收获，因为后台

往往会出现一些sql注入和未授权访问等安全漏洞，在此分享一下找后台的方法

(1) 通过搜索引擎

Site:域名 管理

Site:域名 后台管理

Site:域名 intitle:管理

(2) 一方面目录扫描，在目录扫描中。常见的网站地址有www.xxx.com/admin、login/admin等等

相关的工具:御剑、wfuzz

这里推荐一个工具7kbstorm

(3) 子域名：对于二级域名来说，一般网站的后台都会在二级域名或者三级域名，在子域名收集的时候可留意一下

(4) 收集已知的cms后台地址，比如说织梦，默认的地址就是www.xxx.com/dede

(5) 旁站端口查询：后台页面放置其它端口，扫描网站来获取顿口信息进行访问

(6) c段扫描：后台放置到同一c段下面其它ip地址。

在线的旁站c段扫描地址：https://phpinfo.me/bing.php

(7) 查看网站底部管理入口和版权信息，这种情况一般学校和政府事业单位较多，因为这些网站的管理员往往不止一个，有时为了方便登录后台，会在前台留一个入口

7、 目录信息收集

在目录扫描之后，我可以根据目录的一些路径有可能会发现更多的漏洞，比如说：一些上传点、编辑器、或者一些我们未知的一些api接口

这里推荐一个工具7kbstorm

像403，404这种页面千万不要关闭，放目录里面扫就ok了

谷歌语法收集敏感文件

最常见的就是用搜索引擎?

site: filetype:xls

这里主要是收集网站敏感文件，有可能一些敏感信息就可以通过搜索引擎搜索出来，同时，目录扫描可以扫出后台的地址，也可以进行一方面的操作，比如说进行sql注入、字典撞库爆破等

(3) 敏感文件：常见的话，就是phpinfo文件、备份信息泄露"git、SVN、swp、bak、xml"这些文件中，都有可能存在一些敏感的信息 ，还有就是robots.txt这个文件(一种放于网站根目录下的ascii编码文件，一般防止搜索引擎抓取敏感目录和文件)

8、 端口扫描

这些端口都代表一些协议，那他们每一种都是有突破方法，都是可以暴力破解，都有字典都可以暴力破解，

我们常说的抓鸡啊，端口抓鸡啊，其实它的原理就是猜解你的弱口令来进行集群操作，

那我们入侵也是一样，我们也去扫你的弱口令

工具也有很多，比如说

hscan、hydra、x-scan、 流光这些工具都是可以去端口进行一个密码的猜解，我们要做的话，就要去把字典丰富一下等等，另外一方面端口扫描的工具常用的就是nmap

以下是常见端口对应的漏洞

更多技术文章请关注公众号:安界网，关注我们的头条圈子，想进一步学习可以私信我们加入我们的技术交流群。