域名信息

当确定了渗透目标之后，也就是知道目标域名（当然也有直接给IP或IP段），接下来我们就开始收集域名对应的 IP，域名的whois信息、子域名等等一系列与域名相关的信息。

1、whois 信息

whois是用来查询域名的IP以及所有者等信息的传输协议。 通过whois可以获取关键注册人的信息，包括注册商、联系人、联系邮箱、联系电话、网站负责人、创建时间等,可以进行邮箱反查域名，爆破邮箱，社工，域名劫持等等。

1、查询工具
whois www.baidu.com

2、在线网站：
https://whois.aizhan.com
https://whois.domaintools.com/
http://whois.chinaz.com/
https://www.cxw.com/whois/history
https://www.cutestat.com/
https://whois.aliyun.com/
https://www.whois365.com/cn/

2、备案信息

ICP备案介绍：Internet Content Provider 网络内容提供商。国家对经营性互联网信息服务实行许可制度；对非经营性互联网信息服务实行备案制度。我们可以通过备案信息获取关键注册人的信息，包括联系人、负责人等

在线网站：
http://icp.chinaz.com/
https://icp.aizhan.com/
http://icp.bugscaner.com/
http://www.beian.gov.cn/portal/recordQuery

3、DNS 信息

通过查询DNS信息，我们可能可以发现网站的真实ip地址，注册者名称及邮箱，反查其他域名等，也可以尝试测试是否存在DNS域传送漏洞。

1、工具查询
nslookup www.baidu.com
host -a www.baidu.com
dig www.baidu.com

2、在线网站：
https://viewdns.info/
https://securitytrails.com/
https://domainbigdata.com/
https://www.dnsdb.io 
https://dnsdumpster.com
https://spyse.com/tools/dns-lookup
https://searchdns.netcraft.com/

3、爆破工具
https://github.com/mschwager/fierce
https://github.com/darkoperator/dnsrecon

4、子域名信息

当我们在渗透一个大型的网络时，往往一些子域名会绑定不同的IP（或者存在不同的站点），这时我们需要对每个不同的IP进行端口、服务、应用、C段等信息的收集，以扩大信息收集的广度和深度，提高渗透成功率。

通过搜索引擎：
利用搜索语法，使用Google、百度、bing、fofa、shodan 等搜索引擎也是比较有效的一个方法。以下是几个常用的语法：
site: =主域名,搜索其主要域名下面的子域名
使用“-”去掉不想看的结果，例如site:baidu.com-image.baidu.com
domian=“xxx.com”

在线网站：
https://rapiddns.io/
https://spyse.com/tools/subdomain-finder
http://z.zcjun.com/
dnsdumpster.com
www.yunsee.cn
z.zcjun.com
phpinfo.me/domain/
spyse.com
urlscan.io

爆破工具：
通过暴力枚举子域名的工具很多，主要还是看字典，有时我们还需要特定制作相应的字典。
https://github.com/shmilylty/OneForAll 
https://github.com/lijiejie/subDomainsBrute
https://github.com/ring04h/wydomain
https://github.com/lijiejie/
https://github.com/aboul3la/Sublist3r
https://github.com/projectdiscovery/subfinder

域传输漏洞：
域传送是一种DNS事务，用于在主从服务器间复制DNS记录。虽然如今已经很少见主机会开启，但是还是应该确认一下。一旦存在域传送漏洞，就意味着你获取了整个域下面所有的记录。

dnsrecon -d example.com
dnsenum example.com 包含自动检测域传送漏洞

5、CND 查询

在实际工作中，总会遇到一些网站加了CDN，干扰我们获取真实的IP，这时候我们就必须要绕过CDN获取真实IP，为下一步收集端口、服务、C段、旁站等信息做好准备。

5.1 查找是否存在CND

1、nslookup 验证
如果发现多个IP或者IP不断变化则多半存在CDN，不是真实IP。

2、Ping — 查找真实IP
ping http://xxx.com
很多CDN厂商基本只要求把 www.xxx.com cname到cdn主服务器上去,然而 www.xxx.com 和 http://xxx.com 是两条独立的解析记录，一般只会把 www.xxx.com 做 CDN。或者使用国外的多节点ping工具，例如just-ping，全世界几十个节点ping目标域名，很有可能找到真实ip。

3、多地PING查询
使用多地ping服务，查看对应IP地址是否唯一，如果不唯一多半是使用了CDN。
在线网站：
http://ping.chinaz.com/
https://ping.aizhan.com/
https://tools.ipip.net/cdn.php
https://myssl.com/cdn_check.html?domain=
https://www.17ce.com/

5.2 查找真实IP

子域名 --查询真实IP
鉴于CND的价格，很多站长可能只会对主站或者流量大的子站点做了CDN，很多较小站子站点又跟主站在同一台服务器或者同一个C段内，此时就可以通过查询子域名对应的IP 来辅助查找网站的真实IP。

网络空间搜索引擎
常见的有钟馗之眼，shodan，fofa搜索。以fofa为例，只需输入:title:“网站的title关键字”或者body: “网站的body特征”就可以找出fofa收录的有这些关键字的ip域名，很多时候能获取网站的真实ip。

SMTP发送邮件
很多站点都有发送邮件的功能，如Rss邮件订阅、找回密码、邮箱注册等。而且一般的邮件系统很多都是在内部，没有经过CDN的解析。可以通过邮件源码寻找服务器的真实IP。

网站漏洞
扫描目标web目录 获取phpinfo探针类文件 ，基本上都存有服务器真实ip信息泄露。

历史记录–查看真实IP
指的是查找域名历史解析记录，因为域名在上CDN之前用的IP，很有可能就是CDN的真实源IP地址，有专门的网站提供域名解析历史记录查询。

在线查询网站:
https://sitereport.netcraft.com/
securitytrails.com
https://site.ip138.com/
viewdns.info
iphostinfo.com
https://dnsdb.io/zh-cn/
https://x.threatbook.cn/
https://censys.io/ipv4?q=baidu.com

更多方法参考：https://www.codercto.com/a/75696.html