信息收集

Whois信息

站长之家：http://whois.chinaz.com
Bugscaner：http://whois.bugscaner.com
国外在线：https://bgp.he.net

一级域名

企查查：https://www.qichacha.com
备案查询网：http://www.beianbeian.com

子域名

OneForAll：https://github.com/shmilylty/OneForAll
ksubdomain：https://github.com/knownsec/ksubdomain
subDomainsBrute：https://github.com/lijiejie/subDomainsBrute
Sublist3r：https://github.com/aboul3la/Sublist3r
RappidDns：https://rapiddns.io/subdomain

查看存活
bscan: https://github.com/broken5/bscan

旁站

在线：http://stool.chinaz.com/same
在线：https://site.ip138.com

真实ip

全球ping：https://www.wepcc.com
国外ping：https://asm.ca.com/en/ping.php （支持ipv6）
dns检测：https://tools.ipip.net/dns.php
Xcdn：https://github.com/3xp10it/xcdn
在线：https://ipchaxun.com

端口+C段

Nmap：https://nmap.org
masscan：https://github.com/robertdavidgraham/masscan
Goby：https://gobies.org
御剑：https://github.com/foryujian/yujianportscan

敏感信息

googlehack语法

1. 后台地址

   site:xxx.com 管理后台/登陆/管理员/系统
   site:xxx.com inurl:login/admin/system/guanli/denglu

2. 敏感文件

   site:xxx.com filetype:pdf/doc/xls/txt
   site:xxx.com filetype:log/sql/conf

3. 测试环境

   site:xxx.com inurl:test/ceshi
   site:xxx.com intitle:测试

4. 邮箱/QQ/群

   site:xxx.com 邮件/email
   site:xxx.com qq/群/企鹅/腾讯
   site:xxx.com intitle:"Outlook Web App"
   site:xxx.com intitle:"mail"
   site:xxx.com intitle:"webmail"

5. 其他

   site:xxx.com inurl:api
   site:xxx.com inurl:uid=/id=
   site:xxx.com intitle:index.of "server at"

Github

@xxx.com password/secret/credentials/token/config/pass/login/ftp/ssh/pwd
@xxx.com security_credentials/connetionstring/JDBC/ssh2_auth_password/send_keys
白嫖 fofa会员
https://github.com/search?p=1&q=fofa_api&type=Code

你可以将`q`替换为`fofa_api`,`fofa_key`,`fofa_email`

我是白嫖到了高级会员之类的，其实很多的，大家看下就知道

fofa

https://mp.weixin.qq.com/s/NXekXQTrd2cmx8yv_BrlvA
未授权burp
title="Burp Suite" && body="Proxy History"

不用翻墙的google
body="var c=Array.prototype.slice.call(arguments.1);return funtion(){var d=c.slice();}"

Shadowsocks-Manager登陆界面
body="indeterminate" && body="MainController" && header="X-Powered-By:Express"

供暖监控系统
body="s1v13.htm"

tomcat
body="admin" server="tomcat"

获取免费的的代理池
body="get all proxy from proxy pool"

挖矿
body="miner start"

一些蜜罐
(header="uc-httped 1.0.0" &&server="JBoss-5.0") || server="Apache,Tomcat,Jboss,weblogic,phpstudy,struts"

阿里云某网段webshell
body="webshell -> http://{ip}:{port}/?cmd=ifconfig"

未授权访问摄像头
app="webcamXP"

疫情监控防控系统
title="疫情" && (title="防控" || title="监控") &&country="CN"

黑页
body="hacked by"

https://tp.wjx.top/m/63242496.aspx
这些文件都是通过批量上传的一句话后门，某些后门密码比较简单，并且密码都一样。这些服务器都有一定的漏洞，比如IIS上传等，并且以企业测试服务器居多，可能包含企业内部数据，并且可以成为跳板进入企业内部网络。
body="asp;.jpg"

各种指挥系统的登陆后台
title="指挥" && title="登陆"

密码文件
(body="password.txt" || body="密码.txt") && title="index of"

蜜罐捕获攻击情况(红色为攻击者，黄色为蜜罐部署位置)
body="img/mhn_logo.png" && body="world-map"

游戏充值后台
body="选择区服" && body="充值" && body="后台"

搜索邮箱配置文件
body="intitle:"index of" squirrelmail/"

私服GM管理后台一般都有默认密码，数据库弱口令，后门或者注入
title="GM管理后台" title="传奇后台" body="GM校验码"

这个语句可以搜索社工库，社工库是黑客与大数据方式进行结合的一种产物
title=="社工库" || ((title="社工库" && title="系统") ||(title=="社工库查询" ))

明文显示用户名密码
body="admin" && body="123456" && title="登陆"

三个特征
第一个利用的是Cobalt Strike 3.13之前版本默认的空格后门特征
第二个是fofa自带的协议识别（推测是teamserver默认证书关键字）
第三个是利用cobalt strike的web的默认证书特征 最近爆出的另外一个特征
如何确认web是否为Cobalt Strike，可以请求/manager/text/list/这个路径，如果可以下载到x86的payload，就是Cobalt Strike的服务器。
header="HTTP/1.1 404 Not Found Content-Type: text/plain Date:"||protocol="cobaltstrike"||cert="Serial Number: 146473198"

未授权的摄像头
title="webcam 7" && body="Live View"

各种机场登陆注册
body="UA-111801619-3"

ss机场框架
body="SSPanel-Uim"

机场【科学上网】
body="<a href="/staff\">STAFF</a>" && body="<a href=\"/tos\">"

该后台为逆苍穹私服运营管理平台，如果存在/action/api_show.php该文件，则密码为value的一句话木马后门
body="网站管理员登陆" && port="8090"

此语句搜索源代码等文件，可以修改rar部分，搜索自己需要的内容，也可以根据文件类型进行筛选
title="Index of" && body="rar"

这是一个批量上传的webshell，使用密码"r00ts"即可登陆，这些目录还会包含大量的批量上传的木马文件
body="x.aspx" && body="asp"

Canon网络摄像头
app="Canon-网络摄像头"

xray扫描结果
title="X-Ray Report" || body="Powered by xray"

Github域名接管
title="Site not found " && server == "cloudflare"

Nexus-Repository-Manager
app="Nexus-Repository-Manager"
JumpServer
app="FIT2CLOUD-JumpServer-堡垒机"
vBulletin 5.x
site:*.vbulletin.net
intext:"Powered by vBulletin"
Powered by vBulletin
FOFA：
app="SALTSTACK-产品"
content="vBulletin"
app="vBulletin"
XXL-JOB
app="XXL-JOB"
app="ThinkAdmin"
app="APACHE-kylin"
Apache Shiro
app="Apache-Shiro"
泛微OA
app="泛微-协同办公OA"
通达OA
app="通达OA"
致远 OA
app="用友-致远OA"
app="致远互联-OA"
Smartbi
app="Smartbi"
深信服VPN远程代码执行
header="Set-Cookie: TWFID="
深信服 VPN 口令爆破
app="深信服-SSL-VPN"
Fortigate SSL VPN 文件读取/远程代码执行
"Fortigate" && port=10443
Pulse Secure SSL VPN远程代码执行漏洞
app="PulseSecure-SSL-VPN"
Palo Alto GlobalProtect VPN远程代码执行漏洞
app="PaloAlto-GlobalProtect"

Citrix Gateway/ADC 远程代码执行漏洞 (CVE-2019-19781)
app="Citrix-Netscaler"
齐治堡垒机相关漏洞
app="shterm-堡垒机"
Exchange 相关漏洞
app="Microsoft-Exchange"
Coremail 相关漏洞
app="Coremail"
Winmail 相关漏洞
app="Winmail-Server"
Zabbix 相关漏洞
app="Zabbix"
Thinkphp 相关漏洞
app="ThinkPHP"
Spring 系列漏洞
app="Spring-Framework"
Phpstudy 后门远程代码执行
app="phpStudy 探针"
Struts 系列漏洞
app="Struts2" (这个不太准)
Solr 系列漏洞
app="Solr"
Tomcat 本地文件包含漏洞 (CVE-2020-1938)
protocol="ajp"
CVE-2019-3396 Confluence Wiki 远程代码执行
app="Confluence"
Jboss 相关漏洞
app="JBoss"
Websphere 反序列化远程代码执行
app="IBM-WebSphere"
Jenkins 系列漏洞
app="Jenkins"
RMI 对外开放
protocol=="java-rmi"
Weblogic T3 协议漏洞
protocol=="weblogic"
Weblogic XMLDecoder反序列化
app="WebLogic-Server"
Weblogic IIOP
app="WebLogic-Server"
Redis 相关漏洞
app="Redis" && "redis_version"

cobalt strike
protocol=="cobaltstrike"
cert="Major Cobalt Strike"
cert="73:6B:5E:DB:CF:C9:19:1D:5B:D0:1F:8C:E3:AB:56:38:18:9F:02:4F" && after="2020-01-01"

cs3.14
cert="A6:F6:B4:60:64:3F:25:75:CA:54:AA:DE:FB:F5:83:24:BE:C1:C6:B9" && before="2020-01-01"
cs4.0
cert="7E:80:01:F2:F6:C1:53:51:89:52:36:55:BB:92:D9:99:A1:C2:39:10" && before="2020-01-01"
cs4.1
cert="16:FC:06:61:2D:C2:20:8E:90:83:56:2D:04:4C:6F:FA:5D:2A:3F:4E" && before="2020-01-01"

CobaltStrike Beacon Staging Server
header="HTTP/1.1 404" && header="Content-Type: text/plain" && header="Content-Length: 0" && header != "Server: " && header!="Connection: "

网盘引擎

大力盘：https://dalipan.com
凌风搜索：https://www.lingfengyun.com (下载付费)

其他搜索

FOFA：https://fofa.so
Shadon：https://www.shodan.io
ZoomEye：https://www.zoomeye.org

历史漏洞

乌云镜像：https://wooyun.x10sec.org
Seebug：https://www.seebug.org
Exploit Database：https://www.exploit-db.com
Vulners：https://vulners.com
Sploitus：https://sploitus.com

信息深度收集：

指纹识别

火狐/googel插件：Wappalyzer
云悉：http://www.yunsee.cn
whatweb：https://www.whatweb.net
在线：http://whatweb.bugscaner.com/look (支持批量)

目录扫描

Dirmap：https://github.com/H4ckForJob/dirmap
dirsearch：https://github.com/maurosoria/dirsearch
7kbscan：https://github.com/7kbstorm/7kbscan-WebPathBrute

JS接口

JSFinder：https://github.com/Threezh1/JSFinder
LinkFinder：https://github.com/GerbenJavado/LinkFinder
搜索关键接口

1. config/api
2. method:”get”
3. http.get(“
4. method:”post”
5. http.post(“
6. $.ajax
7. service.httppost
8. service.httpget

WAF识别

wafw00f：https://github.com/EnableSecurity/wafw00f
WhatWaf：https://github.com/Ekultek/WhatWaf