RT信息收集

wahaha2026-07-08文章来源:SecHub网络安全社区


搜索引擎

bing

contains:

只搜索包含指定文件类型的链接的网站。

若要搜索包含 Microsoft Windows Media Audio (.wma) 文件链接的网站,请键入:音乐 contains:wma。

filetype:

仅返回以指定文件类型创建的网页。

若要查找以 PDF 格式创建的报表,请键入主题,后面加:filetype:pdf。

inanchor:inbody:intitle:

这些关键字将返回元数据中包含指定搜索条件(如定位标 记、正文或标题等)的网页。为每个搜索条件指定一个关 键字,您也可以根据需要使用多个关键字。

若要查找定位标记中包含msn、且正文中包含 seo和 sem的网页,请键入:inanchor:msn inbody:seo inbody:sem。

ip:

查找托管在特定 IP 地址 的网站。

IP 地址必须是以英文句点 分开的地址。键入关键字 ip:,后面加网站的 IP 地址。键入 IP:207.46.249.252 。

如果 为中文版,将%3a换成冒号,建议使用英文版

prefer:

着重强调某个搜索条件或运算符,以限定搜索结果。

若要查找足球的相关网页,但 搜索内容主要限定在某球队, 请键入足球 prefer:球队。

site:

返回属于指定网站的网页。若要搜索两个或更多域,请使 用逻辑运算符 OR 对域进行分组。您可以使用 site: 搜索不超过两层的 Web 域、顶级域及目录。您还可以在一个网站 上搜索包含特定搜索字词的网页。

若要在 “滚来滚去,在互联网的 世界里” 网站上搜索有关SEO的网页,请键入 site:www.tangs hanseo.cn seo。

feed:

在网站上查找搜索条件的 RSS (Really Simple Syndication ) 或 Atom 源。

若要查找关于足球的 RSS 或 Atom 源,请键入 feed:足球。

url:

检查列出的域或网址是否位于 Bing 索引中。

在互联网的世界里” 网站是否位于索引中,请键入url:feedbb.com。

google

intext:关键字。

把网页正文中某个关键字做为搜索条件,然后搜索全世界网页正文中含有这些关键字的网 ⻚了,allintext:关键字。功能相同。

info:关键字

这个语法用于搜索指定站点的一些基本信息。比如搜索北京大学网站的一些信息

inurl:关键字。

搜索含有关键字的URL地址。这个语法非常的重要,使用的也是最为频繁,我们还可以使用 allinurl来更加精确的定位URL地址。比如搜索含有movie的URL地址,输入“inurl:movie”即 可,那么找出来的大部分是电影网站

link:关键字。

查找与关键字做了链接的URL地址,利用它我们可能搜索到一些敏感信息。

site:域名。

返回域名中所有的URL地址,它可以探测网站的拓扑结构进行,也是非常的重要,使用非常 频繁。比如搜索北京大学所有学院的URL地址,我们输入“学院 site:pku.edu.cn”就可以搜索 到它所有的学院

related:URL

搜索与指定URL相关的页面。比如搜索与北京大学相关的网页,我们输入关键字 “related:pku.edu.cn”即可看到

filetype:⽂件名.后缀名。

搜索特定的文件。比如我要搜索信息安全方面的论文,我们输入“信息安全论文 filetype:doc”就可以找到了

define:关键 字。

搜索关键字的定义。比如查找html的定义,

cache:关键字。

搜索含有关键字内容的cache。比如搜索北京大学网站服务器中缓存的内容, cache:pku.edu.cn ,结果如图2-12和图2-13所示。

intitle:关键 字。

把网页标题中某个关键字做为搜索条件,然后搜索全世界网页标题中含有这些关键字的网 ⻚,allintitle:关键字。功能相同。比如搜索网站后台,intitle:后台登陆

baidu

可以尝试使用

https://www.baidu.com/gaoji/advanced.html

空间引擎

推荐使用fofa和360quake,经过测试,两者相互补全的效果不错, shodan也不错,打企业型HW可以使用。
之前某证券公司外网靶标使用360和fofa都搜不到,使用shodan的证书搜索,马上就找到了。

fofa语法示例

title="目标中文名" && country=CN
title="目标中文名" && region="xx省"
title="目标中文名" && city="xx市"


header="目标中文名" && country=CN
header="目标中文名" && region="xx省"
header="目标中文名" && city="xx市"


domain="目标域名 "
host="目标域名 "
cert="目标域名或者证书关键字" && country=CN
cert="目标域名或者证书关键字" && region="xx省"
cert="目标域名或者证书关键字" && city="xx市"

证书搜索

1 、https://fofa.so/
cert="baidu.com"
2 、https://shodan.io
ssl.cert.subject.cn:"baidu"
3 、https://crt.sh               比较经典,对大厂有效
4 、https://censys.io/certificates
5 、https://developers.facebook.com/tools/ct
6 、https://entrust.com/ct-search/
7 、https://spyse.com/search/certificate
8 、https://google.com/transparencyreport/https/ct/
9 、https://myssl.com/

安全行业数据平台

RISKIQ

https://community.riskiq.com/

DNS

https://rapiddns.io/

https://dnsdb.io/zh-cn/

工具 数量

anubis	34

esd	23

rapiddns	28

oneforall	124

微信公众号

搜狗 https://weixin.sogou.com/

极致了(https://www.jzl.com/)

西瓜数据(http://data.xiguaji.com/)

https://app.diandian.com/

https://mp.diandian.com

子域名

脚本工具

1、依赖字典的暴力枚举

subDomainBrute

 python3 subDomainBrute.py huawei.com  --full -o 1.txt

subdomain3

还有很多,单纯依赖暴力破解的就不再多说,都是一样的。

2、整理其他各种来源api的工具

1 、Anubis

Anubis 整理来自各种来源的数据,包括 HackerTarget 、DNSDumpster 、x509 证书、 VirusTotal 、Google、 Pkey 、Sublist3r 、Shodan 、Spyse 和 NetCraft

anubis -t  huawei.com   获取百度子域名
anubis -t  huawei.com -ip     获取百度子域名并获取IP
anbis -t huawei.com -ip -o 1.txt

2 、AQUATONE

通过公共DNS服务器对测试域名进行枚举

 python3 Aquatone-discover --domain huawei.com  --fallback -nameservers 8.8.8.8

3 、Sublist3r

 python3 Sublist3r.py -d huawei.com  即可开始默认模式的子域名枚举

4 、Wydomain

 python3 Wydomain.py -d huawei.com 即可开始默认模式的子域名枚举                          

5 、theHarvester
这款工具会通过搜索引擎收集域名邮箱,对多个数据来源进行检索

 python3 theHarvester.py  -d huawei -b all

6 、Teemo

相比其他工具可以说是比较优秀了

7 、knock

比较中庸,会探测域名的服务

8 、SubDomainSniper

包含12个API和8个搜索引擎

9 、ESD

https://github.com/FeeiCN/ESD

跑imeete.com 23个

备案信息

https://beian.miit.gov.cn/#/Integrated/index

会因为网络卡顿从而刷不出来东西

天眼查企查查(优先)

针对企业进行渗透的话,控股是比较重要的

100%控股,可以直接打,一定是

高于百分之50%的股份——可以打

低于50%——不好说(间接持股的方式可以达到50%以上,根据企业关系,董事,法人等来判断)

已注销——不管

天眼查查询子公司,然后再从子公司一个个打开去看,这样子直接列出来会好一点,挖src这也是获取根域的最好方 式之一。

https://github.com/canc3s/cSubsidiary 但是经过判断,不全,可能是代码问题,但是问题不大,(注意别用 release的 自己go build一下)

网站备案和历史备案非常关键

然后再使用cDomain 配合,输出domain——url即可

或者使用以下项目

https://github.com/wgpsec/ENScan_GO 是通过备案来进行信息收集的,可以进行初步的收集

https://github.com/i11us0ry/AScan

天眼查和企查查Tips2

天眼查和企查查打开公司的时候获取的不一样,

小蓝本

可以搜索小程序等

ASN号

打大单位

https://bgp.he.net

组织架构(钓鱼辅助)

搜索引擎+组织架构存在于图片、企业年报、财报等基础信息

site: xxx.com   组织架构
site: xxx.com   财报
site:huoxian.cn intext:"忘记密码"
site:huoxian.cn intext:"工号 "
site:huoxian.cn intext:"优秀员工 "
site:huoxian.cn intext:"身份证号码"
site:huoxian.cn intext:"手机号 "
site:huoxian.cn inurl:token

github

"xxx"  "username"
"xxx"  "password"
"xxx"  "vpn"

APP关键词搜索

https://app.diandian.com/?bd_vid=10846898611588117087

apkAnalyser——一件提取APK里的东西

寻找真实IP方式之一

1、查询历史DNS解析记录

在查询到的历史解析记录中,最早的历史解析ip很有可能记录的就是真实ip,

(1) DNSDB https://dnsdb.io/zh-cn/

(2)微步在线https://x.threatbook.cn/

(3) Ipip.nethttps://tools.ipip.net/cdn.php

https://dnsdb.io/zh-cn/ ###DNS查询

http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询

http://viewdns.info/ ###DNS 、IP等查询

https://tools.ipip.net/cdn.php ###CDN查询IP

2 、phpinfo

3、直接ping域名

例如pingwww.baidu.com获取到的是CDN服务器的IP,我们可以Ping baidu.com

忽略掉www或者前缀

4.使用国外的DNS服务器进行解析

很多CDN供应商只提供服务给国内市场,对于国外的市场来时,如果要使用服务,那么就会直接获取到真实的IP

我们只需要使用国外的DNS服务器进行解析即可

例如nslookup xxx.com 8.8.8.8

8.8.8.8 谷歌的DNS

208.67.220.123 OpenDns 199.91.73.222 v2eXDns

205.252.144.228 香港Dns

205.171.3.65 美国Dns

teemo脚本

反查域名

用已知的某些ip反查域名

https://dns.aizhan.com/

https://whois.aizhan.com/

网盘信息泄露

http://chaonengso.com/

溯源

百度贴吧

https://tieba.baidu.com/f/search/adv

通过社工库识别(wb 5e用户数据)

微博,内部QQ群, 400电话,

拿到阿里云的VPS服务器权限

针对于大型企业的HW,拿到云上的主机服务器可以再次拿来利用,例如进行钓鱼页面下载钓鱼等。

邮箱收集(打exchange服务器可能用到)

www.emailgo.cn(http://www.veryvp.com/)

www.email-format.com

https://hunter.io/

www.yingyanso.com

https://souyouxiang.com

github.com 搜索@domian 寻找code

https://www.skymem.info/

theHarvester(linux工具)

历史漏洞

https://www.exploigt-db.com

http://wooyun.2xss.cc/index.php

github搜索CVE编号等,或者查看具体的ISSUES有没有人提交