原文链接：

https://infosecwriteups.com/cool-recon-techniques-every-hacker-misses-1c5e0e294e89

此篇为译文，讲述了一些国外安全人员的信息收集方法，速来观摩！

这是一个非常常见的技术，不过大多数人比起活动子域名枚举，可能更依赖于被动子域名枚举。所以在这里我们重点讨论一下活动子域名枚举。

首先我们有两种方法来执行活动子域名枚举：

使用词表暴力破解子域

在这种技术中，我们使用DNS词表来暴力破解特定的子域，这个操作用FFuF和 Best DNS Wordlist.就可以完成啦！

 ffuf -u “https://FUZZ.target.com" -w <path_to_wordlist> -mc 200,301,302,403

排列暴力破解：

我们可以通过对单词列表使用排列、变形和替换，从已知的子域/域创建一个新的解析子域列表。这可以使用altdns 轻松完成。

altdns -i hackerone.txt -o data_output -r -s final.txt -w words.txt

图标是用作网站品牌的图标。每个图标都有一些独特的哈希值，可用于收集具有相同哈希函数的域。

图标哈希很容易计算。FavFreak是完成这项工作的最佳工具之一。

cat urls.txt | python3 favfreak.py

当哈希值计算出来后，我们就可以用相同的哈希值在一些搜索引擎（例如 shodan ）来获得一些其他网站。当然，国内更推荐用fofa等平台。

想知道更多关于FavFreak可以复制下方链接：

https://medium.com/@Asm0d3us/weaponizing-favicon-ico-for-bugbounties-osint-and-what-not-ace3c214e139

Nrich作为一个出色的命令行工具，能够用于分析文件中的IP中的cve漏洞和开发端口隐患。

（PS：Nrich 只接受 IP 地址作为输入，不接受域名。因此，使用dnsx的工具可以轻松解决查找主机名IP地址的问题。）

dnsx：

https://github.com/projectdiscovery/dnsx

cat subdomains.txt | dnsx -a -resp-only | nrich -

假设现在有一个包含大量子域的中等范围应用程序。那么选择一个子域并开始寻找它还是蛮有挑战性的。

不过问题不大，我们可以使用有趣的subs-gf模式列表来查找你可搜索的子域。

cat urls.txt | gf interestingsubs

此测试将返回域名的WHOIS注册结果，该域名可用于收集属于某个组织的所有资产。

步骤：

1.在目标域上执行whoislookup并查找技术电子邮件。

2. 访问drs.whoisxmlapi.com并注册/登录（首次将获得 500 个免费积分）

接下来用电子邮件进行搜索，找到目标组织的所有资产。

我们还可以使用导出 CSV 选项导出上述所有结果。

Uncover是由Projectdisovery团队开发的工具。Uncover能够快速发现互联网上暴露的主机。它使用shodan，censys和fofa查找主机。我们所需要的只是要配置的 API 密钥。

那么具体能做什么呢？查找子域并将其提供给核心以自动执行漏洞、查找暴露的面板、大规模搜寻 CVE 和查找服务。基本上，自动化所有内容都与互联网搜索引擎有相关。

为了有效地使用它，我们要创建一个如下图所示的 dorks 列表，并将其提供给uncover。

cat dorks.txt | uncover

隐藏路径或目录暴力破解是一种重要的侦察技术。Meg是一个强大的工具，可以在流量较小的情况下快速地查找隐藏目录。

meg paths.txt hosts.txt output

还可以请求添加自定义标头。Meg 还支持 RawHTTP。

每个 Web 应用程序可能都有一些其他打开的端口，这些端口上的服务可能容易受到攻击。

所以应该持续性地寻找这些开放的端口和在其上运行的服务，虽然这么做可能很耗时。

Naabu就是一个快速端口扫描器，可以帮助我们找到这些端口和服务。最好的方法是使用 naabu的同时运行 nmap 扫描。

naabu -host target.com

老外用的信息收集的手段和我们差不多，只是工具上大同小异。子域名枚举、图标hash搜索、空间引擎搜索、目录爆破、端口扫描都是常见的信息收集渠道。不过国内还有企业信息查询、ICP备案、邮箱、历史解析、github、网盘等信息收集的要点，可以帮助我们更加全面的搜集目标信息。