wahaha2026-07-08文章来源:SecHub网络安全社区
contains:
只搜索包含指定文件类型的链接的网站。
若要搜索包含 Microsoft Windows Media Audio (.wma) 文件链接的网站,请键入:音乐 contains:wma。
filetype:
仅返回以指定文件类型创建的网页。
若要查找以 PDF 格式创建的报表,请键入主题,后面加:filetype:pdf。
inanchor:inbody:intitle:
这些关键字将返回元数据中包含指定搜索条件(如定位标 记、正文或标题等)的网页。为每个搜索条件指定一个关 键字,您也可以根据需要使用多个关键字。
若要查找定位标记中包含msn、且正文中包含 seo和 sem的网页,请键入:inanchor:msn inbody:seo inbody:sem。
ip:
查找托管在特定 IP 地址 的网站。
IP 地址必须是以英文句点 分开的地址。键入关键字 ip:,后面加网站的 IP 地址。键入 IP:207.46.249.252 。
如果 为中文版,将%3a换成冒号,建议使用英文版
prefer:
着重强调某个搜索条件或运算符,以限定搜索结果。
若要查找足球的相关网页,但 搜索内容主要限定在某球队, 请键入足球 prefer:球队。
site:
返回属于指定网站的网页。若要搜索两个或更多域,请使 用逻辑运算符 OR 对域进行分组。您可以使用 site: 搜索不超过两层的 Web 域、顶级域及目录。您还可以在一个网站 上搜索包含特定搜索字词的网页。
若要在 “滚来滚去,在互联网的 世界里” 网站上搜索有关SEO的网页,请键入 site:www.tangs hanseo.cn seo。
feed:
在网站上查找搜索条件的 RSS (Really Simple Syndication ) 或 Atom 源。
若要查找关于足球的 RSS 或 Atom 源,请键入 feed:足球。
url:
检查列出的域或网址是否位于 Bing 索引中。
在互联网的世界里” 网站是否位于索引中,请键入url:feedbb.com。
intext:关键字。
把网页正文中某个关键字做为搜索条件,然后搜索全世界网页正文中含有这些关键字的网 ⻚了,allintext:关键字。功能相同。
info:关键字
这个语法用于搜索指定站点的一些基本信息。比如搜索北京大学网站的一些信息
inurl:关键字。
搜索含有关键字的URL地址。这个语法非常的重要,使用的也是最为频繁,我们还可以使用 allinurl来更加精确的定位URL地址。比如搜索含有movie的URL地址,输入“inurl:movie”即 可,那么找出来的大部分是电影网站
link:关键字。
查找与关键字做了链接的URL地址,利用它我们可能搜索到一些敏感信息。
site:域名。
返回域名中所有的URL地址,它可以探测网站的拓扑结构进行,也是非常的重要,使用非常 频繁。比如搜索北京大学所有学院的URL地址,我们输入“学院 site:pku.edu.cn”就可以搜索 到它所有的学院
related:URL
搜索与指定URL相关的页面。比如搜索与北京大学相关的网页,我们输入关键字 “related:pku.edu.cn”即可看到
filetype:⽂件名.后缀名。
搜索特定的文件。比如我要搜索信息安全方面的论文,我们输入“信息安全论文 filetype:doc”就可以找到了
define:关键 字。
搜索关键字的定义。比如查找html的定义,
cache:关键字。
搜索含有关键字内容的cache。比如搜索北京大学网站服务器中缓存的内容, cache:pku.edu.cn ,结果如图2-12和图2-13所示。
intitle:关键 字。
把网页标题中某个关键字做为搜索条件,然后搜索全世界网页标题中含有这些关键字的网 ⻚,allintitle:关键字。功能相同。比如搜索网站后台,intitle:后台登陆
可以尝试使用
https://www.baidu.com/gaoji/advanced.html
推荐使用fofa和360quake,经过测试,两者相互补全的效果不错, shodan也不错,打企业型HW可以使用。
之前某证券公司外网靶标使用360和fofa都搜不到,使用shodan的证书搜索,马上就找到了。
fofa语法示例
title="目标中文名" && country=CN
title="目标中文名" && region="xx省"
title="目标中文名" && city="xx市"
header="目标中文名" && country=CN
header="目标中文名" && region="xx省"
header="目标中文名" && city="xx市"
domain="目标域名 "
host="目标域名 "
cert="目标域名或者证书关键字" && country=CN
cert="目标域名或者证书关键字" && region="xx省"
cert="目标域名或者证书关键字" && city="xx市"
证书搜索
1 、https://fofa.so/
cert="baidu.com"
2 、https://shodan.io
ssl.cert.subject.cn:"baidu"
3 、https://crt.sh 比较经典,对大厂有效
4 、https://censys.io/certificates
5 、https://developers.facebook.com/tools/ct
6 、https://entrust.com/ct-search/
7 、https://spyse.com/search/certificate
8 、https://google.com/transparencyreport/https/ct/
9 、https://myssl.com/
RISKIQ
https://community.riskiq.com/
DNS
https://rapiddns.io/
https://dnsdb.io/zh-cn/
工具 数量
anubis 34
esd 23
rapiddns 28
oneforall 124
搜狗 https://weixin.sogou.com/
极致了(https://www.jzl.com/)
西瓜数据(http://data.xiguaji.com/)
https://app.diandian.com/
https://mp.diandian.com
subDomainBrute
python3 subDomainBrute.py huawei.com --full -o 1.txt
subdomain3
还有很多,单纯依赖暴力破解的就不再多说,都是一样的。
1 、Anubis
Anubis 整理来自各种来源的数据,包括 HackerTarget 、DNSDumpster 、x509 证书、 VirusTotal 、Google、 Pkey 、Sublist3r 、Shodan 、Spyse 和 NetCraft
anubis -t huawei.com 获取百度子域名
anubis -t huawei.com -ip 获取百度子域名并获取IP
anbis -t huawei.com -ip -o 1.txt
2 、AQUATONE
通过公共DNS服务器对测试域名进行枚举
python3 Aquatone-discover --domain huawei.com --fallback -nameservers 8.8.8.8
3 、Sublist3r
python3 Sublist3r.py -d huawei.com 即可开始默认模式的子域名枚举
4 、Wydomain
python3 Wydomain.py -d huawei.com 即可开始默认模式的子域名枚举
5 、theHarvester
这款工具会通过搜索引擎收集域名邮箱,对多个数据来源进行检索
python3 theHarvester.py -d huawei -b all
6 、Teemo
相比其他工具可以说是比较优秀了
7 、knock
比较中庸,会探测域名的服务
8 、SubDomainSniper
包含12个API和8个搜索引擎
9 、ESD
https://github.com/FeeiCN/ESD
跑imeete.com 23个
https://beian.miit.gov.cn/#/Integrated/index
会因为网络卡顿从而刷不出来东西
针对企业进行渗透的话,控股是比较重要的
100%控股,可以直接打,一定是
高于百分之50%的股份——可以打
低于50%——不好说(间接持股的方式可以达到50%以上,根据企业关系,董事,法人等来判断)
已注销——不管
天眼查查询子公司,然后再从子公司一个个打开去看,这样子直接列出来会好一点,挖src这也是获取根域的最好方 式之一。
https://github.com/canc3s/cSubsidiary 但是经过判断,不全,可能是代码问题,但是问题不大,(注意别用 release的 自己go build一下)
网站备案和历史备案非常关键
然后再使用cDomain 配合,输出domain——url即可
或者使用以下项目
https://github.com/wgpsec/ENScan_GO 是通过备案来进行信息收集的,可以进行初步的收集
https://github.com/i11us0ry/AScan
天眼查和企查查打开公司的时候获取的不一样,
可以搜索小程序等
打大单位
https://bgp.he.net
搜索引擎+组织架构存在于图片、企业年报、财报等基础信息
site: xxx.com 组织架构
site: xxx.com 财报
site:huoxian.cn intext:"忘记密码"
site:huoxian.cn intext:"工号 "
site:huoxian.cn intext:"优秀员工 "
site:huoxian.cn intext:"身份证号码"
site:huoxian.cn intext:"手机号 "
site:huoxian.cn inurl:token
"xxx" "username"
"xxx" "password"
"xxx" "vpn"
https://app.diandian.com/?bd_vid=10846898611588117087
apkAnalyser——一件提取APK里的东西
在查询到的历史解析记录中,最早的历史解析ip很有可能记录的就是真实ip,
(1) DNSDB https://dnsdb.io/zh-cn/
(2)微步在线https://x.threatbook.cn/
(3) Ipip.nethttps://tools.ipip.net/cdn.php
https://dnsdb.io/zh-cn/ ###DNS查询
http://toolbar.netcraft.com/site_report?url= ###在线域名信息查询
http://viewdns.info/ ###DNS 、IP等查询
https://tools.ipip.net/cdn.php ###CDN查询IP
例如pingwww.baidu.com获取到的是CDN服务器的IP,我们可以Ping baidu.com
忽略掉www或者前缀
很多CDN供应商只提供服务给国内市场,对于国外的市场来时,如果要使用服务,那么就会直接获取到真实的IP
我们只需要使用国外的DNS服务器进行解析即可
例如nslookup xxx.com 8.8.8.8
8.8.8.8 谷歌的DNS
208.67.220.123 OpenDns 199.91.73.222 v2eXDns
205.252.144.228 香港Dns
205.171.3.65 美国Dns
teemo脚本
用已知的某些ip反查域名
https://dns.aizhan.com/
https://whois.aizhan.com/
http://chaonengso.com/
百度贴吧
https://tieba.baidu.com/f/search/adv
通过社工库识别(wb 5e用户数据)
微博,内部QQ群, 400电话,
针对于大型企业的HW,拿到云上的主机服务器可以再次拿来利用,例如进行钓鱼页面下载钓鱼等。
www.emailgo.cn(http://www.veryvp.com/)
www.email-format.com
https://hunter.io/
www.yingyanso.com
https://souyouxiang.com
github.com 搜索@domian 寻找code
https://www.skymem.info/
theHarvester(linux工具)
https://www.exploigt-db.com
http://wooyun.2xss.cc/index.php
github搜索CVE编号等,或者查看具体的ISSUES有没有人提交