目标信息:
获得主域名
1)通过在查询企业的平台查找目标名称来获得主域名
2)也可以直接查找官网来获得主域名之一:
3)也可以通过备案号查询域名
互联网资产发现:
1.查询下属子公司:
通过查看该公司的股权穿透图
可见北京抖音科技有限公司的下属子公司只有一个。
2.查询备案:
可以在aizhan.com上通过域名之一进行查询,同时也可以获得其余域名。
查询到备案号后可以反查到其他域名
3.子域名资产发现:
1)通过空间测绘平台搜集其子域名
例如鹰图平台(hunter.qianxin.com)、fofa.info等。这里使用的是fofa
可见有716条匹配结果,导出表格文件,因为数据太多,这里只展示部分。
2)主动检测
可以使用layer、oneforall等
4.指纹识别
这里使用的是潮汐指纹识别(tidefinger)
1)以其中一个子域名https://e.douyin.com为例
2)https://www.douyin.com
5.域名反查IP
也可以ip反查域名
1)爱站等平台
2)也可以通过ping方法进行查询(多地ping)
用上图可见,各地ping后的响应ip都为122.14.229.128和122.14.229.127,所以没有cdn服务,不用考虑绕过问题。
6.端口检测
这里只扫描一些常用端口或者是有特殊服务的端口。
1)122.14.229.128
2)122.14.229.127
3)子域名以121.11.2.222(https://e.douyin.com)为例
可见这几个ip只开放了80端口(http)和443端口(https)。
7.目录扫描
1)扫描https://e.douyin.com/site/douyin-mp/login,可能因为是大公司,这种敏感的登陆页面目录扫描不到。
再尝试扫描https://e.douyin.com,使用dirsearch扫描后会自动将扫描结果输出为一个文件,因为这里结果可以直接找到,找到状态码正常的进行目录拼接测试。
找到状态码为200的目录进行拼接
https://e.douyin.com/robots.txt
2)对https://www.douyin.com进行目录扫描
3)对https://www.douyin.com/?recommend=1进行目录扫描
整理以上状态码正常的目录,找到可能包含敏感信息或是自己需要的目录都可以尝试拼接。