web信息查询流程（干货 | 最全之Web信息收集总结（必收藏））

php菜鸟教程

信息收集之外网信息收集从个人的角度去简单整理下打点前的信息收集那些事从信息收集本质上来说多数内容都是大同小异，遇到坚壁时，不用死磕，毕竟条条大路通罗马（大佬们也可以说说看法~向各位大佬学PHP习！！）Tell Me。

想要构建一个"上帝视野"，前期的信息收集工作是必不可少的，无论是了解一个人、一项业务、还是深入一个系统等，都需要“信息”大佬曾说过，渗透测试的本质是信息收集，而个人直观感受就是PHP“意料之外，情理之中”本文就简单整理下打点前的信息收集那些事。

从信息收集本质上来说多数内容都是大同小异，遇到坚壁时，不用死磕，毕竟条条大路通罗马❝红队知识点大致流程：外网信息收集——>打点——>权限维PHP持——>提权——>内网信息收集——>横向移动——>痕迹清理打点关键资产数据信息：

找出网站真实IP，挖掘相邻网段、绕过安全设备判断目标是否为蜜罐定位内网IP和系统定位关键的应用系统定位关键企业信息❞外网PHP信息收集对于外网信息收集主要有几点：ip、域名、企业等资产信息以及相应端口/服务、指纹、敏感信息、社工碰撞等易受攻击面信息。

❝tips：挂代理池，走负载均衡，防止被锁IP确定目标后，析缕分条，找到突破PHP及利用点关于打点时隐匿：攻击前：虚拟机做全局代理、浏览器隐私模式或Tor，脚本、账号啥的非本人攻击后：Rootkit……❞0x00 常用工具、资源简记：

工具、网站备注爱站、站长工具Whois、备案号、PHP权重、公司名称等天眼查、企查查、搜狗搜索引擎公司注册域名、微信公众号、APP、软件著作权等ZoomEye、Shodan、FOFA、0.Zone、quake

网络空间资产搜索引擎ENScanGo、ICP备PHP案主域名收集OneForAll、Layer、Rapid7的开源数据项目、ctfr、EyeWitness子域名收集Kscan、ShuiZe_0x727、ARL灯塔、Goby

自动化、批量信息收集BuffePHPrfly、Ehole资产处理、信息筛选dnsdb、CloudFlairCDN相关VirusTotal、微步、ip2domainC段、域名/ip情报信息Nmap、Masscan

端口服务信息Google PHPHacking、dirsearch、URLFinderWEB站点信息、api接口等wafw00fwaf识别云悉、潮汐、WhatWeb在线CMS识别七麦、小蓝本APP资产ApkAnalyser

App敏感PHP信息乌云漏洞库、CNVD、waybackurls历史漏洞、历史资产等n0tr00t/Sreg、reg007个人隐私信息GitDorker资产信息、源码泄露theHarvester、Snov.io

邮箱信PHP息收集OSINT开源情报和侦擦工具开源情报资源导航anti-honeypot、Honeypot Hunter蜜罐识别0x01 主域名信息❝域名用来代替IP使其更容易被用户找到、记住对于"非用户"来说，PHP可通过域名信息获取：主域名、存活站点、关联信息、钓鱼信息。

为漏洞挖掘提供数据支撑❞1. ICP备案❝国内服务器线上运营都必须先办理ICP备案后才能上线。❞

备案信息查询：ICP备案查询https://bPHPeian.miit.gov.cn/#/Integrated/index

公安部备案查询

备案反查主域名反查可分为备案域名查询和未备案域名查询。备案域名查询第三方站点ICP备案查询-站长工具SEO综合查询

公PHP安部备案查询企业信息查询网站未备案域名查询已知网站信息获取（如，网站站点导航可能会包含未备案的站点）

网络空间引擎进行证书、图标关联搜索。例如：fofa指定搜索规则 is_domain=true，即表示PHP只返回域名*(个人感觉国外shodan、国内fofa)*。

2. Whois❝whois是用来查询域名的IP以及所有者等信息的传输协议❞通过whois信息可以获取注册人的关键信息如注册商、联系人、联系邮PHP箱、联系电话，也可以对注册人、邮箱、电话反查域名，也可以通过搜索引擎进一步挖掘域名所有人的信息。

深入可社工、可漏洞挖掘利用站长之家http://whois.chinaz.com

BugscannerhtPHPtp://whois.bugscaner.com国外BGPhttps://bgp.he.netwho.ishttps://who.is/IP138网站https://site.ip138.com/

域名PHP信息查询-腾讯云https://whois.cloud.tencent.com/ICANN LOOKUPhttps://lookup.icann.org/狗狗查询https://www.ggcx.coPHPm/main/integrated

❝ps:部分whois查询存在隐藏信息，可以在其他站点查询whois主要还是注册商、注册人、邮件、DNS 解析服务器、注册人联系电话由于GDRP，ICANN要求所有域PHP名注册商必须对域名whois隐私信息进行保护，所以whois信息越来越少……但还是会存在一些whois域名系统是旧缓存数据。

❞3. IP反查❝ps:目标可能存在多个域名绑定于同一ip上，通过ip反查可PHP以获取到其他域名信息比如旁站通过获取目标真实IP后，进行反查的旁站更真实查询站点需复杂性，单一的站点会有反查不出信息的可能大型企业不同的站点收录可能不一样

个人推荐3个不同站点反查❞如何查询在线查询网站PHP：同IP网站查询，同服务器网站查询 - 站长工具DnslyticsiP或域名查询

搜索引擎：shodanbingfofa4. HOST碰撞信息收集过程中，往往会因为配置错误或是未及时回收等原因，存在一些PHP隐形资产直接访问的话会出现访问限制的问题，如下：ip访问响应多为：nginx、4xx、500、503、各种意义不明的Route json提示等。

域名解析后到内网地址有服务器真实 IP，但找不到内网域名PHP究其原因，大多数是因为中间件对ip访问做限制，不能通过ip直接访问，必须使用域名进行访问如果域名解析记录里也找不到域名记录，这时就可以用到HOST碰撞技术，通过将域名和IP进行捆绑碰撞，一旦匹配到后端PHP代理服务器上的域名绑定配置，就可以访问到对应的业务系统，从而发现隐形资产。

手法：使用收集到的目标IP、爬虫或自定义的内部域名（内网host池），作为字典，通过脚本进行碰撞，脚本会自动模拟绑定ip与hoPHPst进行请求交互，通过标题或响应大小判断结果只要字典够强大，总能出一两个，爆破时最好也试下TLS，部分主机会使用TLS的。

验证结果，只需修改本机host文件绑定host与ip后，看访问变化自动化：灯塔PHP水泽https://github.com/cckuailong/hostscanhttps://github.com/fofapro/Hosts_scan。

https://github.com/smxPHPiazi/host_scan

5. DNS共享记录关于DNSDNS（Domain Name Server，域名服务器）是进行域名(domain name)和与之相对应的IP地址 (IP PHPaddress)转换的服务器DNS中保存了一张域名(domain name)和与之相对应的IP地址 (IP address)的表，以解析消息的域名，即保存了IP地址和域名的相互映射关系PHP。

域名是Internet上某一台计算机或计算机组的名称，用于在数据传输时标识计算机的电子方位（有时也指地理位置）域名是由一串用点分隔的名字组成的，通常包含组织名，而且始终包括两到三个字母的后缀，以指明PHP组织的类型或该域所在的国家或地区。

也正是因为DNS的存在，访问相应服务只需记住域名，不需要记住无规则的ip地址DNS服务器端口: tcp/udp 53常用DNS记录：记录类型说明A 记录将域名指向一个PHP IP 地址（外网地址）CNAME 记录。

将域名指向另一个域名，再由另一个域名提供 IP 地址（外网地址）MX 记录电子邮件交换记录，记录一个邮件域名对应的IP地址，设置邮箱，让邮箱能收到邮件NS 记PHP录域名服务器记录，记录该域名由哪台域名服务器解析。

如将子域名交给其他 DNS 服务商解析AAAA 记录将域名指向一个 IPv6 地址SRV 记录用来标识某台服务器使用了某个服务，常见于微软系统的目录管PHP理TXT 记录对域名进行标识和说明，绝大多数的 TXT 记录是用来做 SPF 记录（反垃圾邮件）。

利用价值可以通过查询共享DNS服务器的主机来获取到相关的域名，一般多是用于自建DNS服务器如果是公开的PHPDNS服务器，那么查询的效果将会特别差手法查询目标是否存在自建的NS服务器nslookup -query=ns baidu.com 8.8.8.8。

将获取到的NS服务器带入 https://hackePHPrtarget.com/find-shared-dns-servers/ 进行查询

6. Google直接搜索目标相关关键内容来查询，比如公司名、备案、引用的特殊js等。搜索引擎很多，这里以GooglePHP为例：

7. 配置信息由于信息泄露问题，某些配置或文件会存储一些目标相关的域名，如子域名、代码托管平台等，一般来说存储信息有限且不应公网存在此类文件策略文件域名信息问题如：crossdomain.xmlPHP文件

* 通常域名直接拼接crossdomain.xml路径sitemap文件站点地图文件，常见如：

* sitemap.xml、sitemap.txt、sitemap.html、sitemapindexPHP.xml、sitemapindex.xml路径策略配置方面如：内容安全策略（CSP，Content Security Policy)

这是一种声明的安全机制，可以让网站运营者能够控制遵循CSP的用户代理PHP（通常是浏览器）的行为通过控制要启用哪些功能，以及从哪里下载内容，可以减少网站的攻击面CSP的主要目的是防御跨站点脚本（cross- ste scripting，XSSPHP）攻击。

例如，CSP可以完全禁止内联的JavaScript，并且控制外部代码从哪里加载它也可以禁止动态代码执行禁用了所有的攻击源，XSS攻击变得更加困难CSP中的关键字有default- PHP src、img-src、object-src和script-src。

其中*-src可能会存在域名信息关键点：HTTP header的Content-Security-Policy属性8. 众测补天PHP、漏洞银行、先知、hackerone等众测的广商提供的域名测试范围比如hackerone：alibaba。

9. 企业资产信息通过企业名称拓展查询目标企业的组织架构、股权信息、股权穿透图、子公司、孙公司PHP、对外投资50%等目标信息，获取其产品业务、域名、邮箱资产范围等，扩大攻击面大概企业资产收集点如下：企业数据：。

邮箱查询：https://hunter.io/邮箱收集企业架构画像直属单位、机构设置、供PHP应商（相关合同、人员、系统、软件等）、合作商等业务信息：证券、快递、专用网、院校等人员数据，如统计、职责、部门、人员历史泄露密码、浏览习性等

设备信息：WiFi常用密码、部门设备信息OA/erp/crmPHP/sso/mail/vpn等入口网络安全设备（waf,ips,ids,router等统计）内部使用的代码托管平台(gitlab、daocloud等)、bug管理平台、监控平台等

服务器域名资产site:PHPxxx股权投资信息一般要求50%持股或者100% 持股都可以算测试目标。1. 天眼查https://www.tianyancha.com/

1. 企查查https://www.qcc.com/1. 钉钉PHP企典https://www.dingtalk.com/qidian/home?spm=a213l2.13146415.4929779444.89.7f157166W6H4YZ

公众号信息1. 搜狗搜索引PHP擎https://wx.sogou.com/

1. 企查查https://www.qcc.com/

小程序1. 企查查https://www.qcc.com/

1. 微信app 2. 支付PHP宝app应用信息1. 天眼查https://www.tianyancha.com/

1. 七麦数据https://www.qimai.cn/

1. 企查查：https://www.qcc.com/1. 小PHP蓝本https://www.xiaolanben.com/pc

1. 点点数据https://app.diandian.com/

1. 豌豆荚https://www.wandoujia.com/方便获取aPHPpp历史版本

关于工具ENScanGohttps://github.com/wgpsec/ENScan_GO❝由狼组安全团队的 Keac 师傅写的专门用来解决企业信息收集难的问题的工具，可以一键收集目标PHP及其控股公司的 ICP 备案、APP、小程序、微信公众号等信息然后聚合导出。

❞0x02 子域名信息子域名一般是父级域名的下一级一般企业主站域名的防护都是重点，安全级别较高，突破难度较大PHP，而企业可能会有数十个甚至更多的子域名应用，因为数量众多，安全因素和成本投入多，相应的防护也没有那么及时有效。

子域名往往是攻击突破口，通过子域名发现更多的可能性或是进行迂回攻击子域名信息点：子域名包含PHP一些常见资产类型：办公系统，邮箱系统，论坛，商城等而其他管理系统，网站管理后台等较少出现在子域名中一般情况下，相同类型漏洞可能存在同一组织的不同的域名/应用程序中。

子域名系统维护成本、用户群体等，一般PHP少于主域名，会存在一些版本迭代、配置不安全、弱密码账号管理策略等子域名探测发现更多的服务，增加漏洞发现的可能性1. 枚举爆破手法介绍要说简单粗暴还是子域名枚举爆破，通过不断的拼接。

字典中的子域名前缀去PHP枚举域名的A记录进行DNS解析，如果成功解析说明子域名存在如xxx.com拼接前缀test组合成test.xxx.com，再对其进行验证但是域名如果使用泛解析的话，则会导致所有的域名都能成功解析，使得PHP子域名枚举变得不精准。

nslookup验证下~泛解析域名，成功解析不存在的域名。

普通解析，不存在的域名解析会失败。

❝泛解析：使用通配符 * 来匹配所有的子域名，从而实现所有的子级域名均指向相同网站空间PHP会存在域名劫持、域名恶意泛解析风险会主站被降权，可能被恶意利用，占用大量流量关于恶意解析：https://cloud.tencent.com/developer/article/1494534?froPHPm=article.detail.1874625。

混合泛解析：在泛解析的基础上，增加一个限制，使记录可以按照需求进行分类https://cloud.tencent.com/document/produPHPct/302/9073❞https://github.com/Q2h1Cg/dnsbrute/blob/v2.0/dict/53683.txt)。

关于泛解析那么域名使用了泛解析怎么去解决呢？一般有两种PHP：黑名单ip：通过获取一个不存在的子域名相应解析IP，来记录标记黑名单ip，再爆破字典时，解析到的IP在这个黑名单ip中，则跳过，不存在就继续处理或是记录相同的，保留一到两个。

TTL在权威 DNS 中PHP，泛解析记录的 TTL 肯定是相同的，如果子域名记录相同，但 TTL 不同，那这条记录可以说肯定不是泛解析记录响应内容牺牲速度，先获取一个绝对不存在域名的响应内容，再遍历获取每个字典对应的子域名的响应PHP内容，通过和不存在域名的内容做相似度比对，来枚举子域名。

枚举爆破常用工具：在线查询：https://phpinfo.me/domain/速度不错https://chaziyu.com/子域、备案都可以PHP查其他：Layer 子域名挖掘机可视化，取决于字典强度，易上手，就是容易崩溃

subDomainsBrute老牌DNS爆破工具，稳定快速~暂不支持批量怼泛解析：超过10个域名指向同一IP，则此后发现的其PHP他指向该IP的域名将被丢弃，该方法可能存在误删，但简单有效OneForAll收集姿势挺全的，就是依赖多，一直再更新

OneForALL + ESD + JSfinder~~怼泛解析：oneforall会PHP首先访问一个随机的并不存在的域，通过返回结果判断是否存在泛解析，确定存在泛解析以后，程序会开始不断的循环产生随机域名，去向服务器查询，将每次查询到的IP和TTL记录下来，直到大部分的IP地址出现次数都PHP大于两次，则IP黑名单的收集结束，在得到了IP黑名单以后，oneforall接下来会将自己的字典中的每一项和要指定查询的域名进行拼接。

在爆破过程中根据IP黑名单进行过滤但这种宽泛的过滤容易导致漏报，所PHP以oneforall将 TTL 也作为黑名单规则的一部分，评判的依据是：在权威 DNS 中，泛解析记录的 TTL 肯定是相同的，如果子域名记录相同，但 TTL 不同，那这条记录可以说肯定不是泛解析记录PHP。

knock支持查询VirusTotal，速度快，结果一般VirusTotal API绕过泛解析ESD收集方法多，爆破速度极快，接口少怼泛解析：基于文本相似度过滤泛解析域名ksubdomainhttpPHPs://cn-sec.com/archives/1178685.html

* 无状态的子域名爆破工具,支持重放，速度不错 * 结合其他工具，一键子域名搜集验证：xray 高级版效率可以PHP，联动很舒服

关于字典❝字典这块引用下https://feei.cn/esd/❞DNS服务商的字典一般来说最准确有效，如：DNSPod公布的使用最多的子域名：dnspod-top2000-sub-domPHPains.txt

普通字典：一些基础组合单字母：f.feei.cn（大都喜欢短一点的域名，单字符的最为常见）单字母+单数字：s1.feei.cn双字母：sd.feei.cn（大都喜欢业务的首字母缩写）双PHP字母+单数字：ss1.feei.cn。

双字母+双数字：ss01.feei.cn三字母：www.feei.cn（部分业务名称为三个字）四字母：webp.feei.cn（部分业务名称为四个字）单数字：1.PHPfeei.cn双数字：11.feei.cn

三数字：666.feei.cn常用词组：常见的中英文词组fanyi.feei.cn（中）tranlate.feei.cn（英）huiyuan.feei.cn（PHP中）member.feei.cn（英）tupian.feei.cn（中）picture.feei.cn（英）。

爆破工具的字典: 可结合整理过的字典subbrute: names_small.txtsuPHPbDomainsBrute: subnames_full.txtdnsbrute: 53683.txt2. DNS域传送

DNS服务器分为：主服务器、备份服务器和缓存服务器在主备服务器之间同步数据库，需PHP要使用“DNS域传送”的一种DNS事务域传送是指备份服务器从主服务器上复制数据，然后更新自身的数据库，以达到数据同步的目的，这样是为了增加冗余，一旦主服务器出现问题可直接让备份服务器做好支撑工作。

若DPHPNS配置不当，可能导致匿名用户获取某个域的所有记录造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器凭借这份网络蓝图，攻击者可以节省很少的扫描时间错误配置：只要收到。PHP

axfr请求就进行域传送，刷新数据检测方法：axfr 是q-type类型的一种，axfr类型是Authoritative Transfer的缩写，指请求传送某个区域的全部记录只要欺骗dns服务器发送一PHP个。

axfr请求过去，如果该dns服务器上存在该漏洞，就会返回所有的解析记录值nslookup# 查询nameserver nslookup -type=ns nhtc.wiki 8.PHP8.8.8 # 指定nameserver，列举域名信息 nslookup # Server 命令参数设定查询将要使用的DNS服务器 sePHPrver cloudy.dnspod.net # Ls命令列出某个域中的所有域名 ls nhtc.wiki。

❝无法列出域，不存在此漏洞~❞Dig# 找到NS服务器 PHP dig nhtc.wiki ns

# 发送axfr请求 dig axfr @cloudy.dnspod.net nhtc.wiki

其他nmap:nmap --script dPHPns-zone-transfer --script-args dns-zone-transfer.domain=nhtc.wiki -p 53 -Pn cloudy.dnspod.net

python#PHP DNS库 xfr = dns.query.xfr(where=server, zone=self.domain, timeout=5.0, lifetime=10.0) PHP zone = dns.zone.from\_xfr(xfr)

❝一般情况下，DNS服务器配置都正常，关闭了域传送或设置白名单，利用率低推荐交给自动化❞3. 证书透明度收集子域❝证书透明度（CertiPHPficate Transparency）是谷歌力推的一项拟在确保证书系统安全的透明审查技术。

其目标是提供一个开放的审计和监控系统，可以让任何域名的所有者，确定CA证书是否被错误签发或恶PHP意使用TLS的缺点是你的浏览器隐性包含了一个大型受信任CA列表如果任何这些CA恶意为域创建新证书，则你的浏览器都会信任它。

CT为TLS证书信任提供了额外的安全保障：即公司可以监控谁为他们拥有的域创建了PHP证书此外，它还允许浏览器验证给定域的证书是否在公共日志记录中————————Google 的证书透明度项目❞因为证书透明性是开放架构，可以检测由证书颁发机构错误颁发的 SSL 证书，也PHP可以识别恶意颁发证书的证书颁发机构，且任何人都可以构建或访问，CA证书又包含了

域名、子域名、邮箱等敏感信息，价值就不言而喻了。收集方法：一般使用 CT 日志搜索引擎进行域名信息收集，因为是日志收集，只PHP增不减，可能会有一些失效域名。在线查询：crtsh

entrustcensysfacebook（需要登录）spysecertspotter（每小时免费查100次）浏览器查询点击浏览器网站小锁-->安全连PHP接-->更多信息-->查看证书-->查看主题替代名称处，有时候会有主域名和子域名信息。

工具：ctfrOneForAll4. 公开数据集利用已有公开的全网扫描数据集，对子域名信息进行收集Rapid7的开PHP源数据项目threatcrowd收集方法：Find DNS Host Records (Subdomains) | hackertarget。

netcraft命令进行快速查找wget https://PHPscans.io/data/rapid7/sonar.fdns_v2/20170417-fdns.json.gzcat 20170417-fdns.json.gz | pigz -dc | grep PHP".target.org" | jq`

5. 第三方聚合服务通过第三方平台提供的一些服务，快速发现子域名信息。VirusTotal❝VirusTotal会运行DNS复制功能，通过存储用户访问URL时执行PHP的DNS解析来构建数据库。❞

Find DNS Host Records | Subdomain Finder | HackerTarget.comnetcraftDNSdumpster.com域名查iPHPP 域名解析 iP查询网站 iP反查域名 iP反查网站 同一iP网站 同iP网站域名iP查询

threatminerSubdomain Finderthreatbook（需要高级权限）子域名查询 - 站PHP长工具（需要登录）namecheap其他工具：Sublist3rOneForAll6. 搜索引擎

介绍搜索引擎是用于查找和排名与用户搜索匹配的 Web 内容的工具搜索引擎通过“蜘蛛”对全网进行大量爬行并PHP处理后，建立索引（索引是将抓取页面中的信息添加到叫做搜索索引的大型数据库中）在此期间往往收集了大量的域名信息，需要对应的语法，即可从这数据库中获取想要的信息。

搜索方法：主流搜索引擎一份国外调查表：

GoPHPolge：俗称Google Hacking 大法，有十几种语法，混合使用可以更加准确地查找信息Google检索技巧大全: https://sites.google.com/site/hopeanwanPHPg/google%E6%A3%80%E7%B4%A2%E6%8A%80%E5%B7%A7%E5%A4%A7%E5%85%A8。

搜索子域名信息site:360.cn

搜索一个域名后台信息site:xx.cPHPom inurl:id=1 intext:后台

网络空间引擎fofaFOFA是白帽汇推出的一款网络空间搜索引擎，它通过进行网络空间测绘，能够帮助研究人员或者企业迅速进行网络资产匹配，例如进行漏洞影响范围PHP分析、应用分布统计、应用流行度排名统计等逻辑连接符。

具体含义=匹配，=""时，可查询不存在字段或者值为空的情况==完全匹配，==""时，可查询存在且值为空的情况&&与!=不匹配，!=""时，可查询值为PHP空的情况~=正则语法匹配专用（高级会员独有，不支持body）

()确认查询优先级，括号内容优先级最高目前FOFA支持了多个网络组件的指纹识别，包括建站模块、分享模块、各种开发框架、安全监测平台、项目管理PHP系统、企业管理系统、视频监控系统、站长平台、电商系统、广告联盟、前端库、路由器、SSL证书、服务器管理系统、CDN、Web服务器、WAF、CMS等等，详细信息见https://fofa.info/liPHPbrary

常用语法可通过”查询语法“功能获取：https://fofa.info/例句(点击可去搜索)用途说明注例句(点击可去搜索)用途说明注title="beijing"从标题中搜索“北京”-heaPHPder="jboss"

从http头中搜索“jboss”-body="Hacked by"从html正文中搜索abc-domain="qq.com"搜索根域名带有qq.com的网站-icon_hash=PHP"-247388890"。

搜索使用此icon的资产仅限高级会员使用host=".gov.cn"从url中搜索”.gov.cn”搜索要用host作为名称port="443"查找对应“443”端口的资产-PHPip="1.1.1.1"从ip中搜索包含“1.1.1.1”的网站

搜索要用ip作为名称ip="220.181.111.1/24"查询IP为“220.181.111.1”的C网段资产-status_codPHPe="402"查询服务器状态为“402”的资产-protocol="https"

查询https协议资产搜索指定协议类型(在开启端口扫描的情况下有效)city="Hangzhou"搜索指定城市的资产-rPHPegion="Zhejiang"搜索指定行政区的资产-country="CN"搜索指定国家(编码)的资产。

-cert="google"搜索证书(https或者imaps等)中带有google的资产-bPHPanner=users && protocol=ftp搜索FTP协议中带有users文本的资产-type=service。

搜索所有协议资产，支持subdomain和service两种搜索所有协议资产oPHPs=windows搜索Windows资产-server=="Microsoft-IIS/7.5"搜索IIS 7.5服务器-app="HIKVISION-视频监控"

搜索海康威视设备-after="201PHP7" && before="2017-10-01"时间范围段搜索-asn="19551"搜索指定asn的资产-org="Amazon.com, Inc."搜索指定org(组织)的资产。

-base_prPHPotocol="udp"搜索指定udp协议的资产-is_ipv6=true搜索ipv6的资产搜索ipv6的资产,只接受true和falseis_domain=true搜索域名的资产搜索域名的资产,只接PHP受true和false。

ip_ports="80,161"搜索同时开放80和161端口的ip搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)port_size="6"查询开放端口数量等PHP于"6"的资产仅限FOFA会员使用

port_size_gt="3"查询开放端口数量大于"3"的资产仅限FOFA会员使用port_size_lt="12"查询开放端口数量小于"12"的资产仅限FOFA会PHP员使用ip_country="CN"

搜索中国的ip资产(以ip为单位的资产数据)搜索中国的ip资产ip_region="Zhejiang"搜索指定行政区的ip资产(以ip为单位的资产数据)搜索指定行政PHP区的资产ip_city="Hangzhou"。

搜索指定城市的ip资产(以ip为单位的资产数据)搜索指定城市的资产ip_after="2019-01-01"搜索2019-01-01以后的ip资产(以ipPHP为单位的资产数据)搜索2019-01-01以后的ip资产。

ip_before="2019-07-01"搜索2019-07-01以前的ip资产(以ip为单位的资产数据)搜索2019-07-01以前的ipPHP资产基础了解后，可以试试规则专题，官方有提供相应的指纹、组件查找，包含“数据库专题”、“工控专题”和“区块链专题”。

也可以自己提交https://fofa.info/library

查询”致远互联-OAPHP“系统：

ShodanShodan是一个搜索接入互联网的设备的搜索引擎，2009年由约翰·马瑟利发布。学生会员可以每个月下载1w条数据，黑五可能会有优惠价格。❝ps：Shodan 侧重于主机设备❞规则列PHP表

0.zone它是一个免费的外部攻击面管理SaaS平台，供红蓝队使用，为防御者提供攻击者视角下的企业外部攻击面数据，减少攻防信息差，以促进企业攻击面的收敛和管理。语法参考

搜索企业名称示例（需要会员才能PHP获取企业黄页）可查看此公司下匹配到的信息系统、移动端应用、敏感目录、邮箱、文档、代码、人员信息数据。这个功能定向查找单位资产非常方便好用。

不同于fofa，该平台做了收录信息归纳，感觉还不错使用参考：hPHPttps://mp.weixin.qq.com/s/0Nf_HJr-Rn4mZEC3QYKtwghunter全球鹰是奇安信的一款产品通过网络空间测绘技术，全球鹰测绘平台可以提供IP、域名、开放端口、应PHP用/组件、所属企业等关键安全信息，同时结合攻防场景绘制了资产画像与IP画像，实现互联网资产的可查、可定位、操作可识别的检索，助力企业日常的安全运营工作，例如未知资产发现、风险识别、漏洞修复等。

目前全球PHP鹰网络空间测绘平台已有3亿独立IP，资产(剔除历史重复数据)总数超过20亿，已实现全端口覆盖在全球我们已覆盖了261个国家，96% ASN域国内web资产最快4天更新，最慢7天更新语法PHP参考

其他还有一些不错的检索平台，就不一一介绍，可以去官网瞧瞧语法和规则这块，这块还是api用得多 （没会员没法爽玩）zoomeyequake谛听知风binaryedgecensysdnsdbgreynPHPoise。

hunterProject Sonarintelxdnsdumpsterphonebook.czfullhuntnetlas关于搜索引擎详细可以参考下：网络空间检索平台对比零零信安攻击面管理PHP系统 | 企业信息泄露情报平台

盘点一下在渗透测试中可能用到的网络搜索引擎7. 工具自动化总的来说，信息收集有很多重复性查询筛选，手工相对费时费力，因此可以借助半自动化工具来达到事半功倍的效果OneFoPHPrAll❝https://github.com/shmilylty/OneForAll。

❞解决大多传统子域名收集工具不够强大、不够友好、缺少维护和效率问题的痛点，是一款集百家之长，功能强大的全面快速子PHP域收集终极神器subfinder❝https://github.com/projectdiscovery/subfinder。

❞brew install subfinderSubfinder 是一个子PHP域发现工具，它通过使用被动在线资源来发现网站的有效子域它具有简单的模块化架构，并针对速度进行了优化 subfinder 是为只做一件事而构建的——被动子域枚举，它做得很好。

ksubdoPHPmain❝https://github.com/knownsec/ksubdomain❞ksubdomain是一款基于无状态子域名爆破工具，支持在Windows/Linux/Mac上使用，它会很快的进PHP行DNS爆破，在Mac和Windows上理论最大发包速度在30w/s,linux上为160w/s的速度。

JSINFO-SCAN❝https://github.com/p1g3/JSINFO-SCAN❞PHP递归爬取域名(netloc/domain)，以及递归从JS中获取信息的工具URLFinder❝https://github.com/pingc0y/URLFinder

❞URLFinder是一款用于快速PHP提取检测页面中JS与URL的工具功能类似于JSFinder，但JSFinder好久没更新了Layer子域名挖掘机❝https://github.com/euphrat1ca/LayerDomainFiPHPnder。

❞Layer子域名挖掘机是一款子域名收集工具，拥有简洁的界面和简单的操作模式，支持服务接口查询和暴力枚举获取子域名信息，同时可以通过已获取的域名进行递归爆破ESD❝https://githuPHPb.com/FeeiCN/ESD。

❞支持泛解析功能较全的枚举子域工具EyeWitness❝https://github.com/FortyNorthSecurity/EyeWitness❞EyewitPHPness可自动查询URL对应网站的截图、RDP服务、Open VNC服务器以及一些服务器title、甚至是可识别的默认凭据等，最终会生成一个详细的html报告。

0x03 IP信息收集通PHP过ip或域名获取到一些基本信息（端口、服务、架构、目录等）后，也可以通过ip段目标扩大攻击面，也有可能找到一些未分配的边缘资产1. 绕过CDN获取真实ip简述CDN是IP信息探测或打点必不可绕过的一个PHP话题。

当目标使用了CDN加速，获取到的目标ip不一定是真实ip所以通常在实施端口、漏扫等测试之前，需判断下是否真实IP，是否使用了CDN或其他代理等等，避免无效操作、蜜罐、非目标点❝CDN的全称是CoPHPntent Delivery Network，即内容分发网络。

其基本思路是尽可能避开互联网上有可能影响数据传输速度和稳定性的瓶颈和环节，使内容传输的更快、更稳定通过在网络各处放置节点服PHP务器所构成的在现有的互联网基础之上的一层智能虚拟网络，CDN系统能够实时地根据网络流量和各节点的连接、负载状况以及到用户的距离和响应时间等综合信息将用户的请求重新导向离用户最近的服务节点上。

其目的是使PHP用户可就近取得所需内容，解决 Internet网络拥挤的状况，提高用户访问网站的响应速度❞常见CDN服务商一、国内 CDN 服务商阿里云 CDN百度云 CDN七牛云 CDN又拍云 CDPHPN腾讯云 CDN

Ucloud360 CDN网宿科技ChinaCache帝联科技二、国外 CDN 服务商CloudFlareStackPathFastlyAkamaiCloudFrontEdgecastPHPCDNetworks

Google Cloud CDNCacheFlyKeycdnUdomainCDN77CDN判断确定CDN加速解析后，那就要考虑如何绕过来获取真实ip，以进一步攻击利用0x01 多pPHPing通过多地ping目标域名，如果没有使用CDN，只会显示一个IP地址，或者双线接入情况的两个不同运营商ip。

多ping在线站点：http://ping.chinaz.com/https://pinPHPg.aizhan.com/http://www.webkaka.com/Ping.aspxhttps://www.host-tracker.com/v3/check/

如图，不同地区访问有不同ip，一般PHP存在CDN：

0x02 nslookup获取到的DNS域名解析结果中返回多个ip的，一般都是存在CDN服务。

0x03 header头信息请求响应包header头中是否存在cdn服务商信息报错信息若 asPHPp 或者 asp.net 网站返回头的 server 不是 IIS、而是 Nginx，则多半使用了nginx反向代理到 CDN

0x04 在线检测工具https://www.cdnplanet.com/PHPtools/cdnfinder/https://tools.ipip.net/cdn.phphttps://whatsmycdn.com/

获取真实IP0x01 dns历史绑定记录查询域名历史解析记录，PHP可能会存在未使用cdn之前的真实ip记录：https://dnsdb.io/zh-cn/https://securitytrails.com/

https://x.threatbook.cn/http:PHP//toolbar.netcraft.com/site_report?url=https://viewdns.info/iphistory/?domain=

https://site.ip138.comPHP/www.xxx.com/CDN判断：

存在CDN，利用微步查询获取历史记录，然后将每个ip都测试一篇

通过源代码获取，确定真实ip

0x02 网络空间测绘搜索引擎❝网络空间测绘，一般都会定时把全网资产扫一PHP遍存在数据库里❞通过网络空间测绘搜索引擎搜索其收录的目标相关信息，有概率获取到目标真实IPfofashodanquakeCensys.io。

大概从以下几个关键因素去搜索验证：ip域名titlelogoPHPicpbodyjs/css/html等静态特征值

通过获取logo icon指纹哈希特征，搜索其相同的主机结果，进一步探测真实IP：

❝未找到~❞0x03 子域名考虑到CDN成本问题，一些重要站点会采用cPHPdn加速，而一些子域名则没有使用一般情况下，一些子域名与主站的真实ip在同一c段或同一台服务器上，这时就可以通过发现子域名c段ip、端口信息，逐个探测定位主站真实ip地址。

常见查找方法和工具：各大搜索PHP引擎微步在线oneforallksubdomainJsinfo-scan0x04 异地ping部分国内cdn广商只做了国内的线路，而没有铺设对国外的线路，这时就可以通过海外解析直接获取到真实IP。

可以PHP使用：http://ping.chinaz.com/https://asm.ca.com/zh_cn/ping.phphttp://host-tracker.com/http://www.webpagPHPetest.org/

https://dnscheck.pingdom.com/https://www.host-tracker.com/v3/check/

0x05 SSL证书证书颁发机构 (CA) 必PHP须将他们发布的每个 SSL/TLS 证书发布到公共日志中，SSL/TLS 证书通常包含域名、子域名和电子邮件地址因此可以利用 SSL/TLS 证书来发现目标站点的真实 IP 地址。

CDPHPN在提供保护的同时，也会与服务器之间进行加密通信（SSL）当通过服443端口去访问服务器ip或域名时，就会暴露其SSL证书，也就可以通过证书比对发现服务器的真实IP地址在线：https://crt.sPHPh/。

通过 https://crt.sh 进行快速证书查询收集

Censys 引擎Censys 搜索引擎能够扫描整个互联网，每天都会扫描 IPv4 地址空间，以搜索所有联网设备并收集相关的信息，可以利用PHP Censys 进行全网方面的 SSL 证书搜索，找到匹配的真实 IP 。

通过Censys引擎搜索证书信息，发现多个有效或无效的证书：https://search.censys.io/PHPcertificates?q=www.roken-niji.jp❝ps: 并不是有效的证书才是有价值的，无效的证书中也会有很多服务器配置错误依然保留着的信息。

❞

精准定位有效SSL证书：parsed.nPHPames: xxx.com and tags.raw: trusted

逐个打开，根据sha1签名反查主机

无果~~~

命令行opensslopenssl s_client -connect roken-nPHPiji.jp:443 | grep subject

curlcurl -v https://www.roken-niji.jp/ | grep subject工具：CloudFlair项目地址：httpPHPs://github.com/christophetd/CloudFlair

❝使用来自 Censys 的全网扫描数据查找 CloudFlare 背后网站的源服务器❞0x06 敏感文件泄露包括但不限于：PHP服务器日志文件探针文件，例如 phpinfo网站备份压缩文件.DS_Store。

.hg.gitSVNWeb.xml

0x07 CDN配置问题某些站点只做了www cname到CDN上，导PHP致www.xxx.com和xxx.com是两条独立的解析记录，所以可以通过直接ping域名xxx.com获取到未加入cdn的真实IP，同理http协议和https协议配置也是有可能出现这种问题。

0x0PHP8 漏洞网站本身存在一些漏洞时，如XSS/SSRF/XXE/命令执行等，通过带外服务器地址注入，使服务器主动连接，被动获取连接记录部分本身功能，如url采集、远程url图片、编辑器问题等异常信息、调式PHP信息等都有可能泄露真实IP或内网ip的。

ThinkPHP 报错/SpringBoot变量/phpinfo

0x09 邮件头信息一般邮件系统都在内部，没有经过CDN解析，通过邮件发送、RSS订阅等sendPHPmail功能去获取到服务器与邮箱系统交互的邮件源码，在源文件头信息或者源代码中就会包含服务器真实ip但需注意该ip是否第三方邮件服务器（如腾讯企业邮件、阿里企业邮箱），一般只有应用与网站在同一服务器上PHP时，才获取到当前服务器的真实ip。

常见交互功能点：RSS 订阅邮箱注册、激活处邮箱找回密码处产品更新的邮件推送某业务执行后发送的邮件通知员工邮箱、邮件管理平台等入口处的忘记密码可以通过查mx记录确定下PHP是否第三方邮件服务器，当然这里这个邮箱很明显了。

❝大佬分享的奇淫技巧：通过发送邮件给一个不存在的邮箱地址，比如 000xxx@domain.com ，因为该用户不存在，所以发送将失败，PHP并且还会收到一个包含发送该电子邮件给你的服务器的真实 IP 通知foxmail导出的邮件可以用编辑器打开查看其内容。

❞0x10 vhost碰撞只要字典够强大，数据够多，通过 IP 和子域的碰撞，总会有PHP所收获在线工具：https://pentest-tools.com/information-gathering/find-virtual-hosts#。

0x11 应用程序一些app、小程序会直接采用iPHPp进行通信交互，也可以通过一些历史版本探测真实ip0x12 通过 F5 LTM 解码❝一般常用的负载均衡实现方式：基于cookie的会话保持基于session的会话保持，如weblogic的sessiPHPon复制机制。

基于四层的负载，ip+端口❞LTM 是将所有的应用请求分配到多个节点服务器上提高业务的处理能力，也就是负载均衡F5 LTM也就是5公司旗下的一种负载均衡方案当服务器使用 F5 LTM 做PHP负载均衡时，通过对 。

set-cookie 关键字的解码，可以获取服务器真实 ip 地址例如：基于cookie会话保持情况：F5在获取到客户端第一次请求时，会使用set cookie头，给客户端标记一PHP个特定的cookieSet-Cookie: BIGipServerPool-i-am-na\_tcp443=2388933130.64288.0000; path=/;

后续客户端请求时，F5都会去校验PHPcookie中得字段，判断交给那个服务器处理那么就可以利用此机制，获取处理服务器的ip地址，大概率也是网站服务器真实ip具体解法如下：先把第一小节的十进制数，即 2388933130 取出来。

将其转为PHP十六进制数 8e643a0a接着从后至前，取四个字节出来：0a.3a.64.8e最后依次转为十进制数 10.58.100.142，即是服务器的真实ip地址一般来说基本都是内网ip，但也有例外，得看部署PHP情况，无意间找到一个：。

Set-Cookie: BIGipServerpool-shibboleth3-dev-8080=3045805720.36895.0000; path=/; HttponlyPHP自动化解码工具：https://github.com/ezelf/f5_cookieLeaks

Set-Cookie: BIGipServerpool-shibboleth3-dev-8080=3045PHP805720.36895.0000; path=/; Httponly0x13 其他扫全网https://github.com/superfish9/hackcdn

https://github.comPHP/boy-hack/w8fuckcdn流量攻击对不设防的CDN发起大量访问，导致出错或服务器更换时可能会泄露真实ip长期关注定期访问记录ip变化，业务变更或架构调整可能会有更换服务器更换ip的情况。

流PHP量包问题部分开发者会将真实ip记录到一些header响应头或者响应包中403绕过当目标地址放在标头（如Location头）中时，可通过抓包将http协议改为1.0并将请求中除第一行外的所有数据删掉，再PHP发送请求有机会再相应包中Location头获取到真实ip地址。

……更多方法可以参考binmaker大佬的总结：渗透测试中最全的CDN绕过总结[1]真实ip验证：cdn节点判断对于一些cdn节点可以使用PHP阿里云的CDN节点判断验证找到的ip是否为CDN节点：https://www.alibabacloud.com/help/zh/alibaba-cloud-cdn/latest/query-ip- PHP addresses

真实IP使用：通过修改 hosts 文件，将域名和 IP 绑定如使用 burpsuite 测试，可以在 Project options ——> Connections PHP——> Hostname Resolution 中增加域名和 IP 记录。

通过源代码获取，确定真实ip使用 view-source:xxx.xxx.xxx.xxx，表明这是真实ip，如果是真，则返回网PHP站源代码。

如果是假，则返回cdn信息

2. 组织IP段当目标信息比较笼统时，可以通过IP地址注册信息查询运营商给目标组织所分配的ip段信息，继而对这个段进行测试这样既可以扩大范围也有可能直接找到CDN后PHP的真实服务器CNNIC IP地址注册信息查询系统。

RIPE 数据库以阿里为例，收集组织对应ip信息

Hurricane Electric BGP Toolkit

3. C段一般都是扫C段为主，B段为辅通过PHP获取同在一个ip段的同类型网站或业务来扩大攻击面，往往同ip段中会存在一些后台、api相关处理服务等C段主要收集点：ip端口容器类型title扫描常用工具：网络空间搜索引擎（fofa、quake...PHP)

❝ps: 手工扫描都是实时的，相比空间搜索引擎较精准些❞nmap工具强大，速度有待优化六种扫描结果open(开放的)filtered(被过滤的)open|filtered(开放或者被过滤的)closPHPed(关闭的)。

closed|filtered(关闭或者被过滤的)unfiltered(未被过滤的)常用命令nmap -vvv -Pn -p- ip/24 -n -T4#-v 输出详细信息，-v/-vPHPv/-vvv v越多信息越详细 上线3个v

#-Pn 扫描时不用ping#-p-  扫描所有端口（65535个）如果不使用 -p- ，nmap 将仅扫描1000个端口，GUI参数不可用#-n 不做DNSPHP解析#-T4 设置时间模板,0-5部分做了扫描时间优化，默认3未作优化。

4加速扫描又保持一定准确性扫描全端口，并调用各种脚本#!/usr/bin/env bashread -p "ip: " ipnmPHPap -v -Pn -p- --open -sV ip-result-`date +%y-%m-%d-%H-%M-%S`.xml --script=dns-zone-transfer,ftp-anonPHP,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,http-cisco-anyconPHPnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txt,http-svn-enPHPum,http-webdav-scan,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysql-info,nrpe-PHPenum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vuln-ms17-010,snPHPmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version,ftp-brute,imap-brute,smtp-brute,pop3-brute,mongPHPodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oracle-sid-brutePHP,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute

快速扫描常见端口，并调用各种脚本#PHP!/usr/bin/env bashread -p "ip: " ipnmap -vvv -Pn -p 20,22,23,25,53,69,80-89,443,8440-8450,8080-8089,PHP110,111,137,143,161,389,512,873,1194,1352,1433,1521,1500,1723,2082,2181,2601,3128,3312,3306,3389,369PHP0,4848,5000,5432,5900,5984,6379,7001,7002,7003,7778,8000,8069,8888,9000,9002,9080-9081,9090,9200,100PHP01,10002,11211,27017,50070 --open -sV ip-result-`date +%y-%m-%d-%H-%M-%S`.xml --script=dns-zone-tranPHPsfer,ftp-anon,ftp-proftpd-backdoor,ftp-vsftpd-backdoor,ftp-vuln-cve2010-4221,http-backup-finder,httpPHP-cisco-anyconnect,http-iis-short-name-brute,http-put,http-php-version,http-shellshock,http-robots.txPHPt,http-svn-enum,http-webdav-scan,iax2-version,memcached-info,mongodb-info,msrpc-enum,ms-sql-info,mysPHPql-info,nrpe-enum,pptp-version,redis-info,rpcinfo,samba-vuln-cve-2012-1182,smb-vuln-ms08-067,smb-vulPHPn-ms17-010,snmp-info,sshv1,xmpp-info,tftp-enum,teamspeak2-version,ftp-brute,imap-brute,smtp-brute,poPHPp3-brute,mongodb-brute,redis-brute,ms-sql-brute,rlogin-brute,rsync-brute,mysql-brute,pgsql-brute,oraPHPcle-sid-brute,oracle-brute,rtsp-url-brute,snmp-brute,svn-brute,telnet-brute,vnc-brute,xmpp-brute

msscPHPan❝https://github.com/robertdavidgraham/masscan❞速度快，精确度有待优化 ```shellmasscan -p80,8000-8100 10.0.0.0/PHP8 --rate=10000

##### masscan\_to\_nmaphttps://github.com/7dog7/masscan_to_nmapnmap+msscan缝合怪Goby❝httpPHPs://cn.gobies.org/

❞资产扫描利器，支持图像化、方便快捷、可自定义poc漏扫shuize❝https://github.com/0x727/ShuiZe_0x727❞信息收集一键化+漏PHP洞检验fscan❝https://github.com/shadow1ng/fscan。

❞ALLin❝https://github.com/P1-Team/AlliN❞4. 旁站（ip反查域名）一个服PHP务器上存在多个站点，可通过ip查询相应站点，再从相应站点进一步突破获取服务器权限常见查询方法：。

在线平台：https://www.webscan.cc/https://viewdns.info/revPHPerseip/https://reverseip.domaintools.com/https://tools.ipip.net/ipdomain.php

https://dnslytics.com/网络PHP空间搜索引擎：fofa、zoomeye、hunte、quake等工具：ip2domain - 批量查询ip对应域名、备案信息、百度权重水泽nmap....

5. 端口确定真实ip后，就可以进行端口扫描，PHP比较常见的就是nmap和masscan了，masscan相比nmap多了速度的优势，可以快速扫描全端口扫描可以结合空间引擎结果发现更多目标端口❝tips:大批量扫描时建议云上挂代理池进行。

查看端口出现PHP频率❞❝https://github.com/laconicwolf/Masscan-to-CSVmasscan扫描出的端口可以用nmap去确认❞工具可参考C段章节端口渗透思路表引用下某大佬的端口渗透PHP思路表，可以学习学习下。

端口服务渗透用途tcp 20,21FTP允许匿名的上传下载,爆破,嗅探,win提权,远程执行(proftpd 1.3.5),各类后门(proftpd,vsftp2.3.4)tcPHPp 22| SSH| 可根据已搜集到的信息尝试爆破,v1版本可中间人,ssh隧道及内网代理转发,文件传输等等

tcp 23| Telnet| 爆破,嗅探,一般常用于路由,交换登陆,可尝试弱口令tcp 2PHP5| SMTP| 邮件伪造,vrfy/expn查询邮件用户信息,可使用smtp-user-enum工具来自动跑

tcp/udp 53| DNS| 允许区域传送,dns劫持,缓存投毒,欺骗以及各种基于dnPHPs隧道的远控tcp/udp 69| TFTP| 尝试下载目标及其的各类重要配置文件tcp 80-89,443,8440-8450,8080-8089| 各种常用的Web服务端口| 可尝PHP试经典的topn,vpn,owa,webmail,目标oa,各类Java控制台,各类服务器Web管理面板,各类Web中间件漏洞利用,各类Web框架漏洞利用等等……

tcp 110| POP3| 可尝试爆PHP破,嗅探tcp 111,2049| NFS| 权限配置不当tcp 137,139,445| Samba| 可尝试爆破以及smb自身的各种远程执行类漏洞利用,如,ms08-067,ms17-010,嗅探PHP等……

tcp 143| IMAP| 可尝试爆破udp 161| SNMP| 爆破默认团队字符串,搜集目标内网信息tcp 389| LDAP| ldap注入,允许匿名访问,弱口令tcp 512,513,PHP514| Linux rexec| 可爆破,rlogin登陆

tcp 873| Rsync| 匿名访问,文件上传tcp 1194| OpenVPN| 想办法钓VPN账号,进内网tcp 1352| LotPHPus| 弱口令,信息泄漏,爆破tcp 1433| SQL Server| 注入,提权,sa弱口令,爆破

tcp 1521| Oracle| tns爆破,注入,弹shell…tcp 1500| ISPmaPHPnager| 弱口令tcp 1723| PPTP| 爆破,想办法钓VPN账号,进内网tcp 2082,2083| cPanel| 弱口令

tcp 2181| ZooKeeper| 未授权访问tcp 26PHP01,2604| Zebra| 默认密码zerbratcp 3128| Squid| 弱口令tcp 3312,3311| kangle| 弱口令

tcp 3306| MySQL| 注入,提权,爆破tcpPHP 3389| Windows rdp| shift后门[需要03以下的系统],爆破,ms12-020tcp 3690| SVN| svn泄露,未授权访问

tcp 4848| GlassFish| 弱口令PHPtcp 5000| Sybase/DB2| 爆破,注入tcp 5432| PostgreSQL| 爆破,注入,弱口令tcp 5900,5901,5902| VNC| 弱口令爆破

tcp 5984| CoPHPuchDB| 未授权导致的任意指令执行tcp 6379| Redis| 可尝试未授权访问,弱口令爆破tcp 7001,7002| WebLogic| Java反序列化,弱口令tcp 7778| KloPHPxo| 主机面板登录

tcp 8000| Ajenti| 弱口令tcp 8009| tomcat Ajp| Tomcat-Ajp协议漏洞tcp 8443| Plesk| 弱口令tcp 8069| ZabPHPbix| 远程执行,SQL注入

tcp 8080-8089| Jenkins,JBoss| 反序列化,控制台弱口令tcp 9080-9081,9090| WebSphere| Java反序列化/弱口令tPHPcp 9200,9300| ElasticSearch| 远程执行

tcp 11211| Memcached| 未授权访问tcp 27017,27018| MongoDB| 爆破,未授权访问tcp 50PHP070,50030| Hadoop| 默认端口未授权访问端口号端口说明

渗透思路21/69FTP/TFTP：文件传输协议爆破、内网嗅探22SSH：远程连接用户名枚举、爆破23Telnet：远程连接爆破、PHP内网嗅探25SMTP：邮件服务邮件伪造53DNS：域名系统DNS域传送\DNS缓存投毒\DNS欺骗\利用DNS隧道技术刺透防火墙

389LDAP未授权访问（通过LdapBrowser工具直接连入）443PHPhttps服务OpenSSL 心脏滴血（nmap -sV --script=ssl-heartbleed 目标）445SMB服务ms17_010远程代码执行

873rsync服务未授权访问1090/10PHP99Java-rmiJAVA反序列化远程命令执行漏洞1352Lotus Domino邮件服务爆破：弱口令、信息泄漏：源代码1433MSSQL注入、SA弱口令爆破、提权

1521Oracle注入、TNS爆PHP破2049NFS配置不当2181ZooKeeper服务未授权访问3306MySQL注入、爆破、写shell、提权3389RDP爆破、Shift后门、CVE-2019-0708远程代码执行

4848GlaPHPssFish控制台爆破：控制台弱口令、认证绕过5000Sybase/DB2数据库爆破、注入5432PostgreSQL爆破弱口令、高权限执行系统命令5632PcAnywhere服务爆破弱口令

5900VPHPNC爆破：弱口令、认证绕过6379Redis未授权访问、爆破弱口令7001WebLogic中间件反序列化、控制台弱口令+部署war包、SSRF8000jdwpJDWP 远程命令执行漏洞（工具）

8080PHP/8089Tomcat/JBoss/Resin/Jetty/Jenkins反序列化、控制台弱口令、未授权8161ActiveMQadmin/admin、任意文件写入、反序列化8069Zabbix

远程命PHP令执行9043WebSphere控制台控制台弱口令https://:9043/ibm/console/logon.jsp、远程代码执行9200/9300Elasticsearch服务远程代码执行112PHP11

Memcache未授权访问（nc -vv 目标 11211）27017MongoDB未授权访问、爆破弱口令50000SAP远程代码执行50070hadoop未授权访问端口号服务渗透思路21FTP/PHPTFTP/VSFTPD

爆破/嗅探/溢出/后门22ssh远程连接爆破/openssh漏洞23Telnet远程连接爆破/嗅探/弱口令25SMTP邮件服务邮件伪造53DNS域名解析系统域传送/劫持/缓存投毒PHP/欺骗67/68dhcp服务

劫持/欺骗110pop3爆破/嗅探139Samba服务爆破/未授权访问/远程命令执行143Imap协议爆破161SNMP协议爆破/搜集目标内网信息389Ldap目录访问协议PHP注入/未授权访问/弱口令445

smbms17-010/端口溢出512/513/514Linux Rexec服务爆破/Rlogin登陆873Rsync服务文件上传/未授权访问1080socket爆破13PHP52Lotus domino邮件服务

爆破/信息泄漏1433mssql爆破/注入/SA弱口令1521oracle爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当2181zookeeperPHP服务未授权访问2375docker remote api

未授权访问3306mysql爆破/注入3389Rdp远程桌面链接爆破/shift后门4848GlassFish控制台爆破/认证绕过5000sybPHPase/DB2数据库爆破/注入/提权5432postgresql

爆破/注入/缓冲区溢出5632pcanywhere服务抓密码/代码执行5900vnc爆破/认证绕过6379Redis数据库未授权访问/爆PHP破7001/7002weblogicjava反序列化/控制台弱口令

80/443http/httpsweb应用漏洞/心脏滴血8069zabbix服务远程命令执行/注入8161activemq弱口令/写文PHP件8080/8089Jboss/Tomcat/Resin爆破/PUT文件上传/反序列化

8083/8086influxDB未授权访问9000fastcgi远程命令执行9090Websphere控制台爆破PHP/java反序列化/弱口令9200/9300elasticsearch远程代码执行11211

memcached未授权访问27017/27018mongodb未授权访问/爆破端口号服务渗透思路20ftpPHP_data爆破、嗅探、溢出、后门21ftp_control爆破、嗅探、溢出、后门23telnet

爆破、嗅探25smtp邮件伪造53DNSDNS区域传输、DNS劫持、DNS缓存投毒、DNS欺骗、深度利用PHP：利用DNS隧道技术刺透防火墙67dhcp劫持、欺骗68dhcp劫持、欺骗110pop3爆破139

samba爆破、未授权访问、远程代码执行143imap爆破161snmp爆破389ldap注入攻击、未PHP授权访问512linux r直接使用rlogin513linux r直接使用rlogin514linux r

直接使用rlogin873rsync未授权访问888BTLINUX宝塔Linux主机管理后台PHP/默认帐户：admin｜默认密码：admin999PMA护卫神佩带的phpmyadmin管理后台，默认帐户：root｜默认密码：huweishen.com

1080socket爆破：进行内网渗透1352PHPlotus爆破：弱口令、信息泄露：源代码1433mssql爆破：使用系统用户登录、注入攻击1521oracle爆破：TNS、注入攻击2049nfs配置不当2181

zookeeper未授权访问3306mPHPysql爆破、拒绝服务、注入3389rdp爆破、Shift后门4848glassfish爆破：控制台弱口令、认证绕过5000sybase/DB2爆破、注入5432postgresql

缓冲区溢出、注入攻PHP击、爆破：弱口令5632pcanywhere拒绝服务、代码执行5900vnc爆破：弱口令、认证绕过5901vnc爆破：弱口令、认证绕过5902vnc爆破：弱口令、认证绕过6379redis

未授权访问、PHP爆破：弱口令7001weblogicJAVA反序列化、控制台弱口令、控制台部署webshell7002weblogicJAVA反序列化、控制台弱口令、控制台部署webshell80web常见Web攻击PHP、控制台爆破、对应服务器版本漏洞

443web常见Web攻击、控制台爆破、对应服务器版本漏洞8080web｜Tomcat｜..常见Web攻击、控制台爆破、对应服务器版本漏洞、Tomcat漏洞8069zaPHPbbix远程命令执行9090websphere

文件泄露、爆破：控制台弱口令、Java反序列9200elasticsearch未授权访问、远程代码执行9300elasticsearch未授权访问、远程代PHP码执行11211memcacache未授权访问27017

mongodb爆破、未授权访问27018mongodb爆破、未授权访问50070Hadoop爆破、未授权访问50075Hadoop爆破、未授权访PHP问14000Hadoop爆破、未授权访问8480Hadoop

爆破、未授权访问8088web爆破、未授权访问50030Hadoop爆破、未授权访问50060Hadoop爆破、未授权访问60010HadoPHPop爆破、未授权访问60030Hadoop爆破、未授权访问10000

Virtualmin/Webmin服务器虚拟主机管理系统10003Hadoop爆破、未授权访问5984couchdb未授权访问445PHPSMB弱口令爆破，检测是否有ms_08067等溢出1025111NFS

2082cpanel主机管理系统登陆 （国外用较多）2083cpanel主机管理系统登陆 （国外用较多）2222DA虚拟主机管理系PHP统登陆 （国外用较多）2601zebra路由2604zebra路由3128

代理默认端口,如果没设置口令很可能就直接漫游内网了3311kangle主机管理系统登陆3312kangle主机管理系统登陆44PHP40参考WooYun: 借用新浪某服务成功漫游新浪内网6082参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网

7778主PHP机控制面板登录8083主机管理系统 （国外用较多）86498888主机管理系统默认端口9000fcgi php执行50000SAP命令执行Web端口：80,81,82,443,5000,7001,70PHP10,7100,7547,7777,7801,8000,8001,8002,8003,8005,8009,8010,8011,8060,8069,8070,8080,8081,8082,8083,80PHP85,8086,8087,8088,8089,8090,8091,8161,8443,8880,8888,8970,8989,9000,9001,9002,9043,9090,9200,9300,94PHP43,9898,9900,9998,10002,50000,50070

服务器：21,22,445,3389,5900数据库：1433,1521,3306,6379,11211,270176. IP定位PHP这里提供几个不错的溯源定位工具：https://www.opengps.cn/Default.aspx

https://www.chaipip.com/aiwen.htmlhttps://cz88.nePHPt/0x04 指纹信息通过关键特征，去识别出目标指纹信息可以快速了解目标架构信息，调整攻击方向常见指纹信息：。

CMSDiscuz、织梦、帝国CMS、WordPress、ecshop、蝉知等前端技术HTPHPML5、jquery、bootstrap、Vue等开发语言PHP、JAVA、Ruby、Python、C#等web服务器

Apache、Nginx、IIS、lighttpd等应用服务器：Tomcat、JbPHPoss、Weblogic、Websphere等操作系统信息Linux、windows等CDN信息帝联、Cloudflare、网宿、七牛云、阿里云等

WAF信息创宇盾、宝塔、安全狗、D盾、玄武盾等其他组件PHP信息fastjson、shiro、log4j等OA协议办公1. CMS已知目标CMS后，可以通过已知漏洞匹配利用，如果是开源CMS，就可以进行审计精准发现问题点。

开发语言识别思路1. 通过爬虫获取动态PHP链接然后进行正则匹配判断 2. header头中X-Powered-By信息 3. Set-Cookie特征信息如包含PHPSSIONID说明是php、包含JSESPHPSIONID说明是java、包含ASP.NET_SessionId说明是aspx。

服务器系统识别思路1. 通过ping命令根据回显中的ttl值来判断是win还是linux，但值可被修改精准度不高默认LPHPinux是64，win是128 2. 页面回显、报错回显、header头等站点泄露的系统信息。

3. nmap nmap -O IPCMS识别思路特定文件的MD5一PHP般来说，网站的特定图标、js、css等静态文件不会去修改，通过爬虫对这些文件进行抓取并与规则库中md5值做对比，如果一致就是同一CMS。

这种情况不排除会出现二开导致的误报，但速度较快页面关键字正则匹配PHP关键字或报错信息判断如Powered by Discuz、dedecms等、tomcat报错页面请求头信息关键字通过匹配http响应包中的banner信息来识别。

如：X-Powered-By字段CooPHPkies 特征Server信息WWW-AuthenticateMeta特征……url关键字将url中存在路由、robots.txt、爬虫结果与规则库做对比分析来判断是否使用了某CMS

如：wordprePHPss默认存在目录：wp-includes、wp-admin织梦默认管理后台：dede帝国常用目录：login/loginjs.phpweblogic常用目录：wls-wsatjboss常用目录：jmxPHP-console

……在线平台bugscaner数字观星云悉（自从需要认证后就没有用过.....还认证失败.....）WhatWeb

工具御剑Web指纹识别WhatWebTest404轻量CMS指纹识别椰PHP树WTFScanKscanCMSeeKCMSmapACMSDiscoveryTideFingerAngelSwordEHole(棱洞)2.0

❝ps: cms识别主要还是在于指纹库的维护和更新。❞浏览器PHP插件wappalyzer

插件开源指纹库：https://github.com/AliasIO/wappalyzer/tree/master/src/technologies2. WAF遇到WAF就得对PHP症下药，总的来说识别分为两种手工和工具：

手工一般直接输入敏感字段触发拦截规则库就行，如XSS、SQL payload

常见的WAF拦截页面可以参考下某大佬总结的WAF一图流：https://cloud.PHPtencent.com/developer/article/1872310工具https://github.com/EnableSecurity/wafw00f

https://github.com/EPHPkultek/WhatWafnmap的http-waf-fingerprint.nse脚本3. 组件一般通过异常报错、常用路由、常用header头来获取组件版本、配置等相关信息。

常见组件漏洞简记参考博PHP客《组件漏洞简记》章4. 信息处理对前期收集到的大量资产域名、ip信息批量进行存活性、title、架构、服务等信息进行验证提取时，可以用一些自动化工具筛选出有价值的数据，从而提高漏洞发现效率。

EholPHPe❝https://github.com/EdgeSecurityTeam/EHoleEHole是一款对资产中重点系统指纹识别的工具，在红队作战中，信息收集是必不可少的环节，如何才能从大量的资产中提取PHP有用的系统(如OA、VPN、Weblogic...)。

EHole旨在帮助红队人员在信息收集期间能够快速从C段、大量杂乱的资产中精准定位到易被攻击的系统，从而实施进一步攻击❞AlliN❝https://PHPgithub.com/P1-Team/AlliN一个辅助平常渗透测试项目或者攻防项目快速打点的综合工具，由之前写的工具AG3改名而来。

是一款轻便、小巧、快速、全面的扫描工具多用于渗透前资产收集和渗透后PHP内网横向渗透工具从项目上迭代了一些懒人功能（比如提供扫描资产文件中，可以写绝大部分的各种形式的链接/CIDR,并在此基础上可以添加任意端口和路径）。

❞Bufferfly❝https://github.PHPcom/dr0op/bufferfly攻防资产处理小工具，对攻防前的信息搜集到的大批量资产/域名进行存活检测、获取标题头、语料提取、常见web端口检测、简单中间识别，去重等，便于筛选有价值资产。

❞HKPHPTools❝https://github.com/Security-Magic-Weapon/HKTools一款辅助安全研发在日常工作中渗透测试、安全研究、安全开发等工作的工具❞EyeWitness

❝PHPhttps://github.com/FortyNorthSecurity/EyeWitness❞Eyewitness可自动查询URL对应网站的截图、RDP服务、Open VNC服务器PHP以及一些服务器title、甚至是可识别的默认凭据等，最终会生成一个详细的html报告。

anew(去重)❝https://github.com/tomnomnom/anew好用的去重对比工具❞0x05 PHP敏感信息1. 目录结构及敏感文件常见的敏感目录及文件，会对渗透突破有着很大作用，收集思路一般是爬虫采集、递归扫描、Google Hacking。

常见敏感目录及文件备份文件：www.zip、www.raPHPr、blog.gm7.org.zip等代码仓库：.git、.svn等敏感、隐藏api接口：/swagger-ui.html、/env等站点配置文件：

crossdomain.xml、sitemap.xmPHPl、security.txt等robots文件网站后台管理页面文件上传/下载界面...❝tips:扫描核心主要在于字典价值403、404页面可能会存在一些信息，可以多fuzz下。

工具使用时善于关键字过PHP滤，将会减少一些误报❞工具推荐dirsearchdirsearch 是一款使用 python3 编写的，用于暴力破解目录的工具，速度不错，支持随机代理、内容过滤feroxbuster。

用Rust编写的PHP快速，简单，递归的内容发现工具yjdirscan御剑目录扫描专业版字典推荐fuzzDicts庞大的Web Pentesting Fuzz 字典，部分精准度不错，可惜更新是2021的时候了。

Web-FuPHPzzing-BoxWeb Fuzzing Box - Web 模糊测试字典与一些Payloads，主要包含：弱口令暴力破解、目录以及文件枚举、Web漏洞...字典运用于实战案例：https://gh0PHPst.cn/archives/2019-11-11/1

XXE 暴力枚举字典[2]

2. JS信息收集js文件一般用于帮助网站执行某些功能，存储着客户端代码，可能会存在大量的敏感信息，通过PHP阅读分析可能会找到宝藏JS信息查找方法1. 手工通过查看页面源代码信息，找到.js后筛选特定信息，但这种方法费时费力，一般网站都会存在大量的js文件，还多数为混淆后的信息。

关键信息查找可以使用浏览器自PHP带的全局搜索：

如：通过path:来查Vue框架路由

2. 半自动通过抓包拦截获取url后使用脚本筛选，比如Burp Suite专业版，可以在Target > sitemap下，选中目标网站选中EngagPHPement tools -> Find scripts

，找到网站所有脚本内容。

也可以使用Copy links in selected items复制出选中脚本项目中所包含的URL链接。

粘贴下，然后就可PHP以手工验证url信息价值，有时候可以发现一些未授权、敏感的api接口或者一些GitHub仓库、key值等。

这种方法因为结合手工，在一些深层目录架构中，通过Burp Suite script可以获取到一PHP些工具跑不到的js信息3. 工具：JSFinder❝JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具。

❞JSINFO-SCAN❝递归爬取域名(netloc/domain)，以及PHP递归从JS中获取信息的工具❞URLFinder❝URLFinder是一款用于快速提取检测页面中JS与URL的工具功能类似于JSFinder，但JSFinder好久没更新了。

❞HAE❝HaE是基于 BuPHPrpSuite Java插件API开发的请求高亮标记与信息提取的辅助型框架式插件，该插件可以通过自定义正则的方式匹配响应报文或请求报文，并对满足正则匹配的报文进行信息高亮与提取。

如匹配敏感信息、提取页PHP面中的链接信息等❞Repo-supervisor❝Repo-supervisor 是一种工具，可帮助您检测代码中的秘密和密码command-line-mode 功能：CLI 模式允许使用源代码扫描本地PHP目录以检测文件中的机密和密码。

结果可能以明文或 JSON 格式返回❞4. 其他辅助工具信息收集过程中，js文件不用仅限于当前网站版本，网站的历史版本中也可能会存在一些未失效的关键信息历史界面waybaPHPck会记录网站版本更迭，可以获取到之前版本的网站，不仅可以用于收集历史js文件，也有可能找到一些后来删除的敏感资产信息，或者一些漏洞。

历史信息查找工具：waybackurls❝获取 Wayback MPHPachine 知道的域的所有 URL❞收集历史js文件webbackurls target.com | grep "\.js" | uniq |sort

通过Wayback Machine收集到的urlPHP js列表需要进行存活检验，避免误报，可以使用curl命令或者hakcheckurl工具进行检验最后在做url提取即可反混肴对于存在混淆的代码需要进行反混淆美化下，使其更易看懂。

js-PHPbeautify❝这个小美化器将重新格式化和重新缩进书签、丑陋的 JavaScript、由 Dean Edward 的流行打包程序打包的解包脚本，以及由 npm 包 javascripPHPt-obfuscator处理的部分去混淆脚本。

❞de4js❝在线JavaScript 反混淆器和解包器❞url采集Rad一款专为安全扫描而生的浏览器爬虫whatweb-plus获取网站title头及WPHPeb指纹url-extractor在线url提取。

js中关键信息简记密码、api密钥、secretKey等硬编码隐藏的api接口，如后台、业务测试、某服务等，可能会存在未授权注释信息，注释为代码时，可PHP能会通过修改注释改变业务逻辑，实现机制绕过，如xss绕过、登录绕过等。

Webpack 打包静态资源、js.map后缀文件，是jQuery中的一个新功能，支持Source Map,储存着各种api接口信PHP息，而Webpack打包的信息很多都会放在js.map文件中，通过还原代码可能会找到一些未授权的api接口。

相关处理工具如下：sourcemapperhttps://www.npmjs.com/pacPHPkage/restore-source-treehttps://github.com/paazmaya/shuji

子域名信息依赖或框架，对于旧依赖或框架可以直接使用retire.js扫描相关漏洞……3PHP. Google HackingGoogle作为一款全球通用的发达搜索引擎，爬取的和收录的数据量也是庞大无比，善用搜索引擎语法可以帮忙我们发现更多敏感信息。

说明指令用法示例“”（引号）用引号来查询一个PHP确切的单词或短语查找有关《百年孤独》这本书的网页，语法：“百年孤独”OR（或者）用OR分隔搜索词，同时执行两个搜索查询，这将找到包含多个单词之一的页面搜索引用了“Google。

Drive”、“DropPHPbox”或“OneDrive”的页面，语法：Google Drive OR Dropbox OR OneDrive-（减号、连字符）| 在单词或网站前使用连字符将其从搜索结果中排除| 从搜索结果中排除PHPwww主机名，语法：-www site:wikipedia.org

allintext:| 使用allintext:[搜索短语]查找正文中包含这些单词的页面| 查找正文中有关Roth、IPHPRA投资讯息的页面，语法：allintext:Roth IRA 投资allintitle:| 使用allintitle:[搜索短语]查找标题中包含这些单词的页面| 查找标题中同时包含“PHPApple”和“notebook”的页面，语法：allintitle:Apple notebook

allinurl:| 使用allinurl:[搜索短语]查找URL中包含这些单词的页面| 查找URL中PHP同时包含”Microsoft” and “Surface”的页面，语法：allinurl:Microsoft Surface

site:| 使用site:[URL]将搜索结果限制到特定网PHP站| 查找云点SEO网关于谷歌SEO的页面，语法：site:yundianseo.com 谷歌SEO~（波浪号）| 使用波浪号获得目标关键词及其近似词的搜索结果| 查找SEO方面的策略PHP或者教程，语法：SEO ~教程

related:| 使用related:[URL]查找与特定网站类似的网站| 查找与云点SEO类似的网站，语法：related:yundianseo.comdefine:PHP| 使用define:[搜索短语]查找其定义| 查找SEO的定义，语法：define:SEO

使用查找特定价格的商品| 查找一款售价在99美金的手机，语法：mobile phone $99locatioPHPn:| 使用location:[地点]查看某个地区内的相关信息| 查询南京的酒店，语法：hotel location:Nanjing

（星号）| 添加星号作为未知单词或事实的占位符| 查找以“生活就像一PHP个”开头的引语，语法：生活就像一个filetype:| 使用filetype:[后缀]将结果限制为特定的文件格式，如PDF或DOC| 查找PDF格式的Microsoft Office键PHP盘快捷键相关文件，语法：filetype:pdf Microsoft Office键盘快捷键。

..（两点）| 用两个句点分隔数字，不带空格，以搜索该范围内的数字| 查找1950年至2000年间发生的计PHP算机里程碑，语法：”计算机里程碑” 1950..2000AROUND(n)| 在两个搜索词之间加上AROUND(n)，以查找两个词间有特定距离的页面。

用数字n设置术语之PHP间的最大距离，这对于查找两个搜索词之间的关系很有用| 查找在同一句话或段落中提到Facebook和Microsoft的页面，语法：Facebook AROUND(7) MicrosofPHPt。

hacking常用语法Google Hacking Databasecxsecurity-hacking-dorksGithub Google Hacking管理后台地址site:target.cPHPom intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system site:target.com inuPHPrl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:bacPHPkend site:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录

上传类漏洞地址site:target.com inurl:file PHP site:target.com inurl:upload注入页面site:target.com inurl:?id= site:target.com inurl:php?id=

编PHP辑器页面site:target.com inurl:ewebeditor目录遍历漏洞site:target.com intitle: "index of"SQL错误``site:target.com PHPintext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax neaPHPr" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:”WaPHPrning: mysql_query()" | intext:"Warning: pg_connect()"

##### phpinfosite:target.com ext:php iPHPntitle:phpinfo "published by the PHP Group"##### 配置文件泄露site:target.com ext:.xml | .conf | .cnf | .rePHPg | .inf | .rdp | .cfg | .txt | .ora | .ini

##### 数据库文件泄露site:target.com ext:.sql | .dbf | .mPHPdb | .db##### 日志文件泄露site:target.com ext:.log##### 备份和历史文件泄露 ```bash site:target.com PHPext:.bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar.gz | .tgz | PHP.tar

公开文件泄露site:target.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf |PHP .sxw | .psw | .csv

邮箱信息site:target.com intext:@target.com site:target.com 邮件 site:taPHPrget.com email社工信息site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证

tips：判断目标是否被黑过（如html寄生虫）site:xx.comPHP指定搜索发现多个垃圾数据，大概率中招过（黑帽SEO劫持）可搜索渗透特征痕迹（如遗留webshell、执行命令接口、黑页）搜索常见的敏感文件、路由。

发现其他人正在搜索的内容Google Trends搜索PHP结果别忘了快照信息Google搜索会追踪ip和地址，想要隐私可以试试私密搜索（代理访问其他搜索引擎内容）：startpage.com秘迹搜索❝ps: 百度、搜狗、bing也是可以使用语法精确搜索，但限PHP于seo逻辑、广告、资源等多个因素，经常不如Google，但有时候结合又有不错的收获。

❞百度语法site: 搜索特定网站的内容

intitle: 搜索网页标题的内容

inurl: 搜索网址中的内容可以用-PHP减号忽略掉关键词网页

“ ”： 搜索关键不可拆分

图片反查百度识图、googleimage、tineye等识图引擎

从图片原图获取坐标在线查看器改图宝https://www.gaitubao.com/exiPHPf图虫EXIF查看器https://exif.tuchong.com/我爱斗图https://www.52doutu.cn/tools/exif

python-exifread 库https://linPHPk.zhihu.com/?target=https%3A//pypi.python.org/pypi/ExifRead经纬度转地址GPS查询网址1

http://www.gpsspg.com/maps.PHPhtmGPS查询网址2http://www.gzhatu.com/dingwei.html地球在线https://www.earthol.com/python-geopy库

https://www.osPHPgeo.cn/geopy/4. Github信息收集自从学会使用github并在上面乱捣鼓找到一些站点账号或源码后，就此走上不归路，各种Github监控搞上，又发现一些阿里key，简直是宝了……

GitPHPhub搜索语法高级搜索：https://github.com/search/advancedGithub高级搜索语法：https://docs.github.com/cn/search-github/PHPgetting-started-with- searching-on-github/understanding-the-search- syntax?spm=a2c6hPHP.12873639.article-detail.6.55db74b8e8hJQq

Github有着自己的搜索语法，善用搜索语法能发现更多的有用信息一般来说，Github搜索都是以域名、备案、js路径、PHP网站技术支持等关键内容为主搜索包含"AccessKey ID"和password内容的代码。

一些工具中总结了一些常见的搜索语法：https://github.com/obheda12/GitDorkePHPr/tree/master/Dorks

搜索常用语法，可以搜索到一些敏感的私钥，一些SSH登录私钥，mysql的数据库密码，API key等等"token" "password" PHP "secret" "passwd" "username" "key" "apidocs" "appspot" PHP "auth" "aws\_access" "config" "credentials" "dbuser" PHP "ftp" "login" "mailchimp" "mailgun" "mysql" "pass" PHP"pem private" "prod" "pwd" "secure" "ssh" "staging" PHP"stg" "stripe" "swagger" "testuser" "jdbc" extension:pem priPHPvate extension:ppk private extension:sql mysql dump password extension:json PHPapi.forecast.io extension:json mongolab.com extension:yaml mongolab.com extePHPnsion:ica \[WFClient\] Password\= extension:avastlic “support.avast.com” extension:jPHPs jsforce conn.login extension:json googleusercontent client\_secret “target.com” sePHPnd\_keys “target.com” password “target.com” api\_key “target.com” apikey PHP “target.com” jira\_password “target.com” root\_password “target.com” access\_toPHPken “target.com” config “target.com” client\_secret “target.com” user auth

收集PHP工具GitDorker❝https://github.com/obheda12/GitDorker❞GitDorker 是一款github自动信息收集工具，它利用 GitHub 搜索 API 和作者从PHP各种来源编译的大量 GitHub dorks 列表，以提供给定搜索查询的 github 上存储的敏感信息的概述。

trufflehog❝https://github.com/trufflPHPesecurity/trufflehog❞Truffle Hog是一款采用Python开发的工具，它可以检索GitHub代码库的所有代码提交记录以及分支，并搜索出可以表示密钥(例如AWPHPS密钥)的高熵字符串。

一般用来探测泄漏密钥的工具，支持扫描的数据源包括git、github、gitlab、S3、文件系统、文件和标准输入其他检索方法：https://github.com/BishopPHPFox/GitGothttps://github.com/UKHomeOffice/repo-security-scanner

https://github.com/gwen001/github-seaPHPrchhttps://github.com/eth0izzle/shhgithttps://github.com/lightless233/geye

https://github.com/cve-seaPHPrch/git-vuln-finderhttps://github.com/Securityautomation/DumpTheGithttps://github.com/4x99/code6

httpPHPs://github.com/tillson/git-hound代码仓库在线搜索平台pinatahub❝https://pinatahub.incognita.techgithub敏感信息搜索引擎，有PHP时候github搜索查看不方便，可以直接在这个网站搜索。

❞

searchcode❝https://searchcode.com/SearchCode从Github、BitBucket、CodePlex、PHPSourceForge、Fedora等代码仓库里筛选了近160亿行开源代码，你能够使用文件扩展、特定代码库名字、URL、正则表达式、特殊字符等过滤器对源代码进行过滤，以便搜到你想要的代码。

❞

其他仓库GPHPitLab: https://about.gitlab.com/gitee: https://gitee.com/csdn：https://gitcode.net/explore5. 邮箱信息收集

有时PHP候不仅是正面硬刚就可以的，还需要迂回战术配合出击，正如攻防中社工一样，总会有一些意想不到的成果随着办公网络的发展，邮箱也成为了常用的办公方式之一攻防也是从信息收集逐渐延伸到钓鱼上，只要钓鱼技术好，轻轻PHP松松混入内部，而要想社工钓鱼玩得溜，邮件方面是一个重要的突破口。

❝tips: 邮箱建议做筛选，把一些疑是网络管理员、运维人员、安全部门的人员提取出来，单独发送或者不发，由于这部分人员安PHP全意识偏高，容易打草惊蛇，一般多针对非技术人员，容易下手❞邮箱入口查找方法❝邮件服务器主要从端口和title标识两个信息点去确认的。

❞邮件服务器常见端口：25109110143465995993邮件服PHP务器常见title：邮箱登录CoremaileYou邮件系统TurboMailExchange……C段扫描寻找入口获取到目标后，从目标mx记录域名找到他的真实ip，若是第三方邮件服务器，MX记录就没啥PHP参考价值了。

对获取到的真实ip这个段进行C段扫描，有时候也可以进行B段扫描然后通过端口、title去确定邮件服务器信息C段扫描方法可以参考上文C段收集章节通过子域名扫描寻找入口主要通过一些子域名收集工PHP具去确认，如：Subdomainbrute、ksubdomain、Oneforall、Sublist3r、TeeMO、LangSrcCurise、Layer挖掘机等。

通过搜索引擎寻找入口战场主力也还是PHPGoogle hacking和网络空间搜索引擎1. Google Hacking site:target.com intitle:"Outlook Web App" PHP site:target.com intitle:"mail" site:target.com intitle:"邮箱"

1. 网络空间搜索引擎Shodanfofazoomeye0.zoPHPne(group\==阿里&&title\==邮箱)

邮箱收集方法搜索引擎Google Hacking

❝有时候github一些仓库代码中也会存在邮箱信息。一般都会有邮箱、手机号等官方联系方式信息。❞网络PHP空间搜索引擎0.zone邮箱收集email\_type\==邮箱&&(group\==阿里)

在线收集平台❝ps: 基本都需要注册，注册获取的信息比游客多好多，有些还需要绑定手机号❞Snov.ioSnoPHPvio是一个集成了“LinkedIn、GitHub、Moz、StackOverflow、Indeed、Behance、Upwork、Google页面邮箱采集”+“邮箱验证”+“联系人管理”+“邮件发送PHP”为一身的网站。

在Snovio只要输入一个域名，就可以采集到该域名在以上平台中暴露的所有邮箱地址，还支持API批量读取强大的邮箱收集，可单个收集也可以批量收集，还支持api调用。

❝免费版每月可以有10PHP0条收集数量，也就是50信用该站点的Google插件更方便https://snov.io/knowledgebase/how-to-use-snovio-extension-for-chrome/。

❞PHPhunterHunter可让您在几秒钟内找到专业的电子邮件地址，并与对您的业务重要的人建立联系。❝打码信息需要注册绑定手机号后才能看到。❞

phonebookPhonebook例举所有的域名，邮件地址，PHP或者是所予域名的url，支持*.gov.uk的通配符，有340亿条记录。可以批量下载想要的域名。

intelxintelx是一个搜索引擎和数据存档。通过电子邮件，域名，IP, CIDR，比特币地址等等查PHP找数据泄露信息。随便搜一下好像搜索出了一个泄露的邮箱数据库：

skymem一款可查找公司和人员的电子邮件地址在线邮箱查找平台，数据量较少，准确度高，大批量的需要购买。

爱企查、企查查等批量查询如通过爱企查PHP的爱番番寻宝客“获取更多的联系方式”

如使用八爪鱼采集器进行批量查询https://www.bazhuayu.com/tutorial/qccqyemailcj邮箱泄露信息查询https://monitPHPor.firefox.com/https://haveibeenpwned.com/

https://ghostproject.fr/其他https://app.apollo.iohttps://conPHPtactout.comhttps://www.datanyze.comhttps://www.email-format.com

TG社工库、其他社工库工具收集theHarvester❝theHarvesPHPter是Kali自带的一款社会工程学工具，默认集成了多个api，利用网络爬虫技术通过Google、Bing、PGP、LinkedIn、Baidu、Yandex、People123、Jigsaw、ShoPHPdan、PGP服务器等不同公开源整理收集，能够收集e- mail、用户名、主机名、子域名、雇员、开放端口和Banner等信息。

❞theHarvester 参数详解  -h, \--hePHPlp           show this help message and exit    #显示帮助信息并退出  -d, \--domain         DOMAIN ComPHPpany name or domain to search.    #要搜索的公司名称或域名  -l, \--limit           LIMIT Limit the numbePHPr of search results, default\=500.  #采集特定数量的结果，不指定情况下，默认为500  -S, \--start           START SPHPtart with result number X, default\=0.    #从采集到的信息编号“X”处开始执行采集，默认从0开始  -g, \--google-dork   PHP  Use Google Dorks for Google search.     #使用google Dorks进行google搜索。

（一般情况下不用，你懂的）  -p, \--prPHPoxies         Use proxies for requests, enter proxies in proxies.yaml.    #对信息采集的请求使用代理  -s,PHP \--shodan         Use Shodan to query discovered hosts.       #使用shodan查询发现的主机  --screenshoPHPt Take screenshots of resolved domains specify output directory:       #对解析域的页面进行截图，需指定截图文件存放目录 PHP        \--screenshot output\_directory      \# 截图保存目录  -v, \--virtual-host   Verify hostPHP name via DNS resolution and search for virtual hosts.       #通过DNS解析主机名并搜索虚拟主机  -e, \--dns-PHPserver DNS\_SERVER DNS server to use for lookup.     #指定DNS解析服务器  -t, \--dns-tld DNS\_TLD PePHPrform a DNS TLD expansion discovery, default False.      #执行DNS TLD扩展发现，默认为False状态  -r, \--tPHPake-over       Check for takeovers.    #检查接管  -n, \--dns-lookup     Enable DNS server lookupPHP, default False.       \# 启用DNS服务器查找，默认为False状态                                                     PHP                                                 -c, \--dns-brute       Perform a DNS brute PHPforce on the domain.       \# 进行DNS域解析暴力破解                                                          PHP                                                -f, \--filename       Save the results to anPHP HTML and/or XML file.    #指定输出文件名，格式支持HTML和XML                                                     PHP                                                   -b SOURCE, \--source SOURCE              PHP                                                                                                    PHP                                                       baidu, bing, bingapi, bufferoverun, cPHPertspotter, crtsh, dnsdumpster, duckduckgo, exalead, github-code, google, hackertarget, hunter, intePHPlx,                                 linkedin, linkedin\_links, netcraft, otx, pentesttools, PHPprojectdiscovery, qwant, rapiddns, securityTrails, spyse, sublist3r, threatcrowd, threatminer,   PHP                       trello, twitter, urlscan, virustotal, yahoo     #指定采集信息的源 。

常用参数-dPHP：指定搜索的域名或网址-b：指定采集信息的源（如baidu，biying，google）-l：指定采集信息的返回数量，默认500-f：输出文件名并保存采集结果，可以保存为HTML或XML格式；如果不指PHP定，采集信息仅作屏幕显示

❝api key没有配置的时候，结果较少❞验证邮箱收集到邮箱后，就要对其进行存活性验证，避免出现被弃用、不可用的邮箱在线平台Email地址检查、检测Email地址真实性、检测电PHP子邮件地址真实性--查错网。

Verify Email Address Online - Free Email Verifier - Free Email Address Verification免费在PHP线批量验证邮箱有效性 - EmailCamel.com

Email Verifier - Verify Email Address For Free With Our Verifier ToolsnovPHP.io 电子邮箱验证

工具verifyemail❝https://github.com/Tzeross/verifyemailPython在线验证邮箱真实性，支持批量验证，支持全部域名邮箱，支持全部域名PHP邮箱，支持全部域名邮箱，支持全部域名邮箱

❞邮箱爆破❝弱口令爆破方式只适用于目标企业自己的邮件服务器如owa等，对第三方邮箱不优先考虑❞常用字典组合❝员工名称拼音/首字母员工名称拼音/首字母+日期公司简PHP称+年份员工名称+公司名passwd+日期

P@sswd!+日期❞爆破字典https://github.com/rootphantomer/Blasting_dictionaryhttps://githPHPub.com/TheKingOfDuck/fuzzDicts

工具爆破邮箱大概分为两种情况网页邮箱爆破burpsuite等STMP协议等邮箱端口爆破medusa、hydra、SNETCracker、GoPHPMapEnum、APT34组织 owa爆破工具等（多数工具kali都自带）

❝邮箱相关端口：SMTP默认端口：25POP3默认端口：110IMAP默认端口：143❞临时邮箱#所谓的十分钟邮箱类 PHP http://www.yopmail.com/zh/ https://10minutemail.com/ https://10minutemail.net/ PHP https://www.guerrillamail.com/zh/inbox http://www.fakemailgenerator.com/ httpPHPs://temp-mail.org/en/ https://www.guerrillamail.com/ http://tool.chacuo.net/mailsendPHP https://maildrop.cc/ http://tool.chacuo.net/mailanonymous https://tempmail.PHPaltmails.com/ https://www.snapmail.cc/ https://www.linshi-email.com/

匿名邮箱ProtonMailGePHPt secure, reliable email hosting – FastMailxyfir/ptorxTutanota6. 网盘信息收集一些安全意识薄弱的人员对于上传到网盘上的资源未作加密限制或PHP者密码泄露，然后又被一些云盘爬虫给收集到，最终导致信息泄露。

通过一些网盘引擎可以获取到其中的泄露信息在线平台https://lzpan.com/凌风云：https://www.lingfengyun.PHPcom/蓝菊花：http://www.lanjuhua.com/

大力盘：https://www.dalipan.com/猪猪盘：http://www.zhuzhupan.com/PanSou：httpPHP://www.pansou.com/盘飞飞：https://panfeifei.com/

由于网盘搜索工具的时效性，可以通过搜索引擎去获取一些。

搜索关键词关键词一般以单位名称、别称、产品业务等

爬虫百度网PHP盘爬虫脚本搜索网盘搜索工具

❝网盘有时候会存在一些简历信息泄露，如手机号、邮箱、部门等❞0x06 其他信息1. APP通过获取App配置、数据包，去获取url、api、osskey、js等敏感信息AppPHP查找入口搜索引擎Google Hacking。

网络空间搜索引擎在线聚合平台小蓝本七麦AppStore点点豌豆荚天眼查/爱企查等App应用商城App敏感信息收集手工收集一般是通过抓包收集接口数据或者逆向PHP获取配置数据抓包可能会需要进行证书绕过、绕过抓包限制等。

Fastboot & ADBHttpCanaryPacket CaptureWicapFildder+BurpsuiteMitmproxyChaPHPrlesFridaSSL相关：JustTrustMe++/TrustMeAlready/SSLUnpinning/Inspeckage

强制走代理：ProxyDroid/Droni+Burpsuite综PHP合性安卓抓包/逆向/HOOK自动化脚本工具：lamda/r0capture/fridaUiTools/frida_hook_libart

常用的软件简记逆向可能会需要进行脱壳/解码等。幸运破解器核心破解PHPBlackDexfdex2FARTAndroid Killer午夜神大佬应用集

* grep筛选 grep \-EHirn "accesskey|admin|aes|api\_key|PHPapikey|checkClientTrusted|crypt|http:|https:|password|pinning|secret|SHA256|SharedPreferences|superuPHPser|token|X509TrustManager|insert into|setJavaScriptEnabled|root|JavascriptInterface|MODE\_WORLD\_REPHPADABLE|MODE\_WORLD\_WRITEABLE|Pinner|checkServerTrusted|api\_secret|api/v1|api/v2" \--color APKfoldePHPr/ \# https://twitter.com/AmitMDubey/status/1272982285277491200 * 常用软件简记

工具推荐：AppInPHPfoScanner❝https://github.com/kelvinBen/AppInfoScanner一款适用于以HW行动/红队/渗透测试团队为场景的移动端(Android、iOS、WEB、H5、PHP静态网站)信息收集扫描工具，可以帮助渗透测试工程师、攻击队成员、红队成员快速收集到移动端或者静态WEB站点中关键的资产信息并提供基本的信息输出,如：Title、Domain、CDN、指纹信息、状态信息PHP等。

❞ApkAnalyser❝https://github.com/TheKingOfDuck/ApkAnalyser一键提取安卓应用中可能存在的敏感信息目前可提取APK内：所有字符串所有URLs所有PHPip可能是hash值的字符串

存在的敏感词（如oss.aliyun）可能是accessKey的值❞2. OSINT❝OSINT(Open-source intelligence) 指开源情报,一项从媒体PHP、网络、博客、视频，等公开来源中进行信息收集、提取的技术。

❞情报相关资源OSINT-CN 一款在线分享国内外OSINT资源和工具的网站Digital-Privacy Information ProtePHPction & OSINT resources | 一个关于数字隐私搜集、保护、清理集一体的方案,外加开源信息收集(OSINT)对抗

丁爸网微信公众号 情报小蜜蜂 little_bee007iYouPoPHPrt OSINT专栏sinwindie/OSINT - 各种平台的 OSINT "一张图" 系列blaCCkHatHacEEkr/OSINT_TIPS - OSINT 技巧合集

The Privacy,PHP Security, & OSINT Show - 讲述、介绍各类 OSINT 技能的博客OSINT Framework - 非常著名的 OSINT 框架,有着非常丰富的 OSINT 资源

OSINT PHP情报工具https://intelx.io/tools - 在线使用的开源情报和取证工具清单OSINT Recon Tool - 在线的 osint 工具集合，加上思维脑图woj-ciech/SociPHPalPath - 跟踪社交媒体平台上的用户

Greenwolf/social_mapper - 通过面部识别跟踪不同社交平台目标的工具bhavsec/reconspider - 可用于扫描IP地址，电子PHP邮件，网站，组织的 OSINT 工具SpiderFoot

3. 个人隐私信息从邮箱查询你注册过哪些网站？一搜便知Find email addresses in seconds • Hunter (EmaPHPil Hunter) - email 信息查询工具从用户名查询

Instant Username Search - 实时搜索100多个社交媒体网站的用户名CheckUsernames - 测某账号是否在PHP全球500多个社交媒体中是否有注册WhatsMyName Web - 搜索许多网站上存在的用户名。

NameCheckup - 查找可用的用户名NamechkKnowEm Username SearchPHPsherlock-project/sherlock - 在不同的社交网络上通过用户名搜寻账户从IP查询

Torrent downloads and distributions for IP - 查你这个PHPIP下载过哪些磁力链接?混合查询Username Search - 找到用户名、电子邮件地址或电话号码背后的人。

n0tr00t/Sreg - 使用者通过输入 email、phone、username PHP的返回用户注册的所有互联网信息.Humanitarian Data Exchange - Facebook 的公开数据查询平台

银行卡号归属地查询友商发·票查询TG库、四件套等从注册信息查询SmshttPHPps://www.materialtools.com/http://receivefreesms.com/Emailhttps://10minutemail.net/。

http://24mail.chPHPacuo.net/https://zh.mytrashmailer.com/http://24mail.chacuo.net/enushttps://www.linshiyouxiang.net/

FaPHPke idhttps://www.fakenamegenerator.com/http://www.haoweichi.com/https://www.fakeaddressgenerator.comPHP/

4. 历史漏洞wooyun 历史漏洞库：http://www.anquan.us/漏洞银行：https://www.bugbank.cn/360 补天：https://www.butian.net/PHP教育行业漏洞报告平台：https://src.edu-info.edu.cn/login/

seebug：https://paper.seebug.org/CNVD：http://www.cnnvd.oPHPrg.cn/Exploit Database: https://www.exploit-db.com

Vulners: https://vulners.comzone-h：http://zone-h.oPHPrg/archive?hz=1Sploitus: https://sploitus.com历史界面：wayback

工具：waybackurls5. 蜜罐识别❝通常将蜜罐(honeypot)定义为一种安PHP全资源，它不需要提供实际的应用，蜜罐的存在价值就是诱导和记录攻击行为，从而了解攻击者的入侵方法和手段，并能够延缓其攻击进程，进而根据捕获的攻击行为数据，分析攻击者使用的攻击方法和工具，从而让防御方针对PHP性地增强系统的安全防护能力

❞简单识别honeyscore shodan网络空间搜索引擎Honeypot HunterSend-Safe Honeypot Hunter 是一种工具，用于检查所谓的“蜜罐PHP”的 HTTPS 和 SOCKS 代理列表。

“蜜罐”是由试图通过使用这些虚假代理记录流量，然后向其 ISP 发送投诉的人运行的虚假代理Chrome 蜜罐检测插件需要自己完善规则的Chrome 蜜罐检测PHP插件anti-honeypot一款可以检测WEB蜜罐并阻断请求的Chrome插件

AntiHoneypot一个拦截XSSI & 识别Web蜜罐的Chrome扩展工具向❝持续更新……❞水泽 信息收集自动化PHP工具https://github.com/0x727/ShuiZe_0x727❝作者：Ske

团队：0x727，未来一段时间将陆续开源工具，地址：https://github.com/0x727定位：协PHP助红队人员快速的信息收集，测绘目标资产，寻找薄弱点语言：python3开发功能：一条龙服务，只需要输入根域名即可全方位收集相关资产，并检测漏洞。

也可以输入多个域名、C段IP等，具体案例见下文调用：脚本PHP借用了ksubdomain爆破子域名和theHarvester收集邮箱，感谢ksubdomain和theHarvester作者❞ARL资产侦察灯塔系统

https://github.com/TophanPHPtTechnology/ARL❝旨在快速侦察与目标关联的互联网资产，构建基础资产信息库 协助甲方安全团队或者渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

❞ENScanGohttps://PHPgithub.com/wgpsec/ENScan_GO❝由狼组安全团队的 Keac 师傅写的专门用来解决企业信息收集难的问题的工具，可以一键收集目标及其控股公司的 ICP 备案、APPPHP、小程序、微信公众号等信息然后聚合导出。

❞gobuster❝一个用于暴力破解的工具：网站中的 URI（目录和文件）DNS 子域（支持通配符）目标 Web 服务器上的虚拟主机名打开 Amazon S3 PHP存储桶❞SecLists❝SecLists是安全测试人员的伴侣。

它是安全评估期间使用的多种类型列表的集合，收集在一个地方列表类型包括用户名、密码、URL、敏感数据模式、模糊测试负载、Web PHP Shell 等等目标是使安全测试人员能够将此存储库拉到一个新的测试框上，并可以访问可能需要的每种类型的列表。

❞OSINT开源情报与侦察工具https://www.osint-labs.org/tPHPools/本机ip地址查询https://ip.skk.moe/空间搜索引擎FOFA https://fofa.info

Quake https://quake.360.cn/quake/#/indexPHPHunter https://hunter.qianxin.comCensys https://search.censys.io/

Shadon https://www.shodan.ioZoomEyePHP https://www.zoomeye.orgSumap https://sumap.dbappsecurity.com.cn/Soall https://soall.org/login

0.zonePHP https://0.zone/参考https://xz.aliyun.com/t/11112https://blog.csdn.net/qq_53577336/article/details/122PHP828715

https://www.lijiejie.com/dns-zone-transfer-1/https://github.com/bin-maker/2021CDN/https://www.PHPfreebuf.com/articles/web/265016.html

文章转自奇安信攻防技术社区，原作者OnlyuAar0n，侵删Reference[1] 渗透测试中最全的CDN绕过总结: httpPHPs://mp.weixin.qq.com/s?__biz=MzIzNzMxMDkxNw==&mid=2247490046&idx=1&sn=994fc288c54907e7317c6818e2e250PHP7b&chksm=e8cbdf54dfbc5642dd5ac26de38bfcf5749614d5bf6ba5bb61cb9078a59027d6ee7f5e183ad1&scene=21#wechaPHPt_redirect

[2] XXE 暴力枚举字典: https://mp.weixin.qq.com/s?__biz=MjM5Mzc4MzUzMQ==&mid=2650254194&idx=1&sn=PHP96f24c2adee9cb1b94c92242d0cf371f&scene=21#wechat_redirect

★付费圈子欢 迎 加 入 星 球 ！代码审计+免杀+渗透学习资源+各种资料文档+各种工PHP具+付费会员

进成员内部群

星球的最近主题和星球内部工具一些展示

关 注 有 礼关注下方公众号回复“666”可以领取一套精品渗透测试工具集和百度云视频链接。

 还在等什么？赶紧点击下方名片关注学习吧！

推荐阅读群PHP聊 | 技术交流群-群除我佬干货｜史上最全一句话木马干货 | CS绕过vultr特征检测修改算法实战 | 用中国人写的红队服务器搞一次内网穿透练习实战 | 渗透某培训平台经历实战 | 一次曲折的钓鱼溯PHP源反制

免责声明由于传播、利用本公众号渗透安全团队所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号渗透安全团队及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告PHP知，我们会立即删除并致歉。

谢谢！好文分享收藏赞一下最美点在看哦

亲爱的读者们，感谢您花时间阅读本文。如果您对本文有任何疑问或建议，请随时联系我。我非常乐意与您交流。