微信怎么申请小程序（微信小程序登录入口）

信息收集

目录

需要收集什么信息？ 尊敬的用户，您好，欢迎访问麦站企服官网。

    信息收集的分类 麦站企服（www.maizhanqifu.com）专业办理安徽ICP/EDI资质10年，一对一专人服务，全省超2000家服务单位不成功不收费，更加省心更放心。

    常见信息收集的方法 麦站企服凭借更完善的服务网络，专业高效的服务队伍，提供一站式资质申请 咨询服务，一站式技术服务机构，认证咨询，培训服务等点击立即咨询。

    web端需要收集的信息 麦站企服（www.maizhanqifu.com）专业代办ICP/EDI许可证，咨询电话：15205695834。

如何收集这些信息 麦站企服（www.maizhanqifu.com）专业代办ICP/EDI许可证，咨询电话：15205695834。

    在线whois查询 麦站企服资质代办资质代理，新办，续期，资格延续申报为一体的综合型企业。20余人专业团队,快速,高效可信赖,收费透明!

    在线备案信息查询 ICP/EDI许可证资质代办，找麦站企服，先办理后付款，不成功不收费。

    子域名收集 尊敬的用户，您好，欢迎访问麦站企服官网。

        常用方式 麦站企服（www.maizhanqifu.com）一站式资质代办，咨询电话及VX：15205695834。

        域名的类型

    端口扫描

        常用端口对应服务

        常用端口及测试方法

    旁站及c段

    扫描敏感目录及文件

    敏感文件搜索

        github搜索

        谷歌语法搜索

    社工库

        查询网站注册信息

    js敏感文件

    查找真实IP

        确认是否存在CDN

        绕过CDN

            配置不当

            查询历史DNS解析记录

            国外dns获取真实IP

            phpinfo

            子域名解析(dns解析、历史数据、子域名)

            ico图标通过空间搜索引擎找真实IP

            SSL证书寻找真实IP

            邮件查找真实IP

            F5LTM(负载均衡)

            APP/微信小程序获取真实IP

            扫全网获取真实IP

需要收集什么信息？

信息收集的分类1.服务器的相关信息（真实IP、系统类型、版本、开放端口、waf等）

2.网站指纹识别（cms、cdn、证书等）

    网站指纹：网站指纹包括应用名、版本、前端框架、后端框架、服务端语言、服务器操作系统、网站容器、内容管理系统和数据库等

3.whois信息（姓名、备案、邮箱、电话反查（邮箱丢社工库、社工准备等））

4.子域名、旁站、c段等

5.google hacking针对化搜索:word/电子表格/odf，中间件版本，弱口令扫描等。

6.扫描网站目录结构，爆后台，网站banner（网页某个版块显示的宣传海报被称为banner），测试文件，备份等敏感文件泄露等。

7.传输协议，通用漏洞，exp，github源码等

常见的信息收集方法1.whois查询:

    由于域名在注册的时候，需要填入个人或者企业信息。

    如果没有设置隐藏属性是可以查出来的，通过备案号查询个人或者企业信息，也可以通过whois反查注册人，邮箱，电话，机构，反差更多的域名和需要的信息。

2.收集子域名

    域名分为根域名与子域名：

        xxx.com:根域名

        xxx.xxx.com:子域名(二级域名)

        xxx.xxx.xxx.com:三级域名

        。。。。依次类推

3.端口扫描

    服务器需要开放服务，就必须要开启端口。

    常见的端口是tcp和udp两种类型。

    范围是0-65535

    我们可以通过扫得到的端口访问服务，规划下一步的测试。

4.查找真实IP

    由于企业的网站，为了提高访问速度，或者避免黑客攻击，会采用cdn服务进行混淆IP或隐藏IP。

cdn服务:使用了cdn服务，我们在收集IP的时候会出现很多虚假IP。

5.探测旁站及c段

    旁站:一个服务器上有多个网站，通过IP查询服务器上的网站

    c段:查找同一个段（相同局域网）的服务器上的网站，可以找到同样的网站类型和服务器，也可以获取同段服务器进行下一步渗透

6.网络空间搜索引擎

    通过这些引擎查找网站或者服务器的信息，以便进一步渗透

7.扫描敏感信息/目录

    通过扫描目录和文件，大致了解网站的结构，获取突破点，比如:后台，文件备份，上传点。

8.指纹识别

    获取网站的版本，属于那些cms管理系统，查找漏洞exp，下载cms进行代码审计。

web端需要收集的信息1.域名:顶级域名及其子域名。

2.敏感目录/文件

3.指纹识别

4.whois信息

如何收集这些信息？

在线whois查询我们可以通过whois来对域名信息进行查询，可以查到注册商、注册人、邮箱、dns解析服务器、注册人联系电话等。

注意：有的信息某个在线网站设置隐藏查不到，所以我们可以使用多个不同的网站

kali已可以查询whois

站长之家域名WHOIS信息查询地址 http://whois.chinaz.com/

爱站网域名WHOIS信息查询地址 https://whois.aizhan.com/

腾讯云域名WHOIS信息查询地址 https://whois.cloud.tencent.com/

美橙互联域名WHOIS信息查询地址 https://whois.cndns.com/

爱名网域名WHOIS信息查询地址 https://www.22.cn/domain/

易名网域名WHOIS信息查询地址 https://whois.ename.net/

中国万网域名WHOIS信息查询地址 https://whois.aliyun.com/

麦站域名WHOIS信息查询地址 https://whois.west.cn/

新网域名WHOIS信息查询地址 http://whois.xinnet.com/domain/whois/index.jsp

纳网域名WHOIS信息查询地址 http://whois.nawang.cn/

中资源域名WHOIS信息查询地址 https://www.zzy.cn/domain/whois.html

三五互联域名WHOIS信息查询地址 https://cp.35.com/chinese/whois.php

新网互联域名WHOIS信息查询地址 http://www.dns.com.cn/show/domain/whois/index.do

国外WHOIS信息查询地址 https://who.is/

在线网站备案查询网站备案信息是根据国家法律法规规定，由网站所有者向国家有关部门申请的备案，如果需要查询企业备案信息（单位名称、备案编号、网站负责人、电子邮箱、联系电话、法人等），推荐以下网站查询

1.天眼查 https://www.tianyancha.com/

2.ICP备案查询网 http://www.beianbeian.com/

3.爱站备案查询 https://icp.aizhan.com/

4.域名助手备案信息查询 http://cha.fute.com/index

我们可以通过备案号或通过反查注册人和邮箱查询更多得域名

子域名收集子域名的作用收集子域名可以扩大测试范围：同一域名的子域名都属于测试范围（没有特别标注的时候）

域名的类型A记录(Address)：一个域名直接指定到某一个IP上，并且可以设置子域名（二级、三级...）这种被称为A记录。

别名记录(CNAME)：这种记录允许您将多个域名映射到另外一个域名上

    一个域名指定到另外一个域名然后第二个域名对应的域名进行解析。

    如何验证别名记录(CNAME)？

        linux/windows：终端使用nslookup命令

            nslookup -q=cname 域名 //域名这里填写对应的域名或二级域名。

MX(邮件交换记录)记录

    邮件交换记录，它指向一个邮件服务器，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。

    例如：123@qq.com:该用户的邮件系统通过dns查找qq.com这个域名的MX记录，如存在，就会将邮件发送到MX记录所指定的邮件服务器上面

    发送邮件->通过dns查找qq.com这个域名的MX记录->存在->发送

TXT记录

    TXT记录一般指为某个主机名或域名设置的说明

    常用作用：编写spf用来防止垃圾邮件比较多。

    检测txt记录

        nslookup -q=txt 域名 //域名这里填写对应的域名或二级域名。

NS记录

    ns记录全称为Name Server是一种域名服务器记录，用来明确当前你的域名是由哪个dns服务器来进行解析的。

    用户访问域名->域名找到dns服务器->dns服务器找到域名对应的IP->返回给用户显示界面。

常用收集方式子域名中的常见资产类型：

    办公系统。

    邮箱系统。

    论坛。

    商城。

    其他管理系统。

    网站管理后台也有可能出现子域名中。

首先找到目标站点：

    在官网中可能会找到相关资产（多为办公系统，邮箱系统等）。

    关注一下页面底部，也许有管理后台等收获。

查找目标域名信息的方法有：

    1.搜索引擎

    2.在线子域名查询

    3.子域名扫描功能(枚举)

    搜索引擎：

        网络空间搜索引擎：(搜索相关资产)

            1.FOFA 

                http://fofa.so/

                http://fofa.info/

                title="公司名称"

 //会显示部分子域名。

                domain="顶级域名"

 //查询子域名

            2.钟馗之眼 

                http://www.zoomeye.org/

                site:域名即可

            3.360测绘

                https://quake.360.cn/

                domain:"*.顶级域名"

        普通搜索引擎：(搜索相关信息)

            1.百度 intitle=公司名称

            2.Google intitle=公司名称 

        1.站长之家，直接搜索名称或者网站域名即可查看相关信息：

        http://tool.chinaz.com/

    在线子域名查询：

        http://phpinfo.me/domain/

        http://www.t1h2ua.cn/tools/ //过期

        http://dnsdumpster.com(国外)--详细

        https://site.ip138.com/moonsec.com/domain.htm

        https://hackertarget.com/find-dns-host-records/(国外)

        https://securitytrails.com/list/apex_domain/(国外)

    工具枚举：多工具枚举后进行去重。

        百度搜索相对的工具使用手册

        Layer子域名挖掘机(可视化)

        SubDomainBrute (kali可能发生错误、用windows)

            subdomainbrute.py 域名 --full 字典 -o 扫描到的信息生成保存的文件

        Sublist3r：版本python 2.7-3.4（windows）

            默认参数扫描子域名

            python sublist3r.py -d baidu.com 

            使用暴力枚举子域名

            python sublist3r -b -d baidu.com 

            -h ：帮助

            -d ：指定主域名枚举子域名

            -b ：调用subbrute暴力枚举子域名

            -p ：指定tpc端口扫描子域名

            -v ：显示实时详细信息结果

            -t ：指定线程

            -e ：指定搜索引擎

            -o ：将结果保存到文本

            -n ：输出不带颜色 

        OneForALL （windows）

            pip3 install --user -r requirements.txt -i https:/ /mirrors.aliyun.com/pypi/simple/     //安装工具需要的文件

            python3 oneforall.py --target baidu.com run //比较花时间，但是较为详细。

        Wydomain（windows）

        FuzzDomain（windows）

        hosts碰撞

            隐藏域名(内部域名)：https://mp.weixin.qq.com/s/fuASZODw1rLvgT7GySMC8Q

            工具地址：https://github.com/fofapro/Hosts_scan

端口扫描工具：

    masscan：端口扫描工具

    nmap：端口/服务扫描工具

    在线端口扫描：coolaf.com/tool/port

优劣：

    masscan：扫描速度非常快、号称6分钟扫描全网。

    nmap：扫描速度一般，但是可以扫描到端口的服务与版本信息，同时也可以扫描到系统版本等等信息。

    nmap与masscan可以进行连接

命令：

    masscan：

        masscan IP -p 0-65535 --max-rate 100000

            --max-rate :设置线程：速度可达100000

            --rate：设置线程：速度可达10000

            -p0-65535:扫描全部端口

    nmap:

        扫描连接参数

            -sT #TCP扫描            -sS #SYN扫描 半连接扫描            -sU #UDP扫描            -sA #ACK扫描            -sF #FIN扫描

        版本

            -sV #服务版本            -O  #查询系统

        无ping扫描(跳过主机发现阶段)

            -Pn #不用使用ping命令探测是否存活，直接进行扫描。

        综合扫描

            -A #包括系统探测，版本探测，脚本扫描，路由跟踪

        默认脚本集扫描

            -sC #使用默认脚本集扫描：

        查看探测过程

            -vv #显示探测过程都做了什么。

        指定端口扫描

            -p #指定端口扫描            -p 1-65535 #指定范围扫描，扫描全部端口。            -p 1,55,88,99,100 #指定不连续的端口扫描。

        扫描多个IP或IP段

            -iL #首先将IP写入到文本，然后执行-iL命令

            nmap -iL 1.txt

            nmap

        保存扫描到的结果

            -oA #一次输出三种主要格式。

    在线端口扫描

        coolaf.com/tool/port

        不会把你的真实IP暴露在对方的服务器上面。

常见端口对应服务渗透常见端口及对应服务

    1.web类(web漏洞/敏感目录)

    第三方通用组件漏洞struts thinkphp jboss ganglia zabbix

    80 web 

    80-89 web 

    8000-9090 web

    2.数据库类(扫描弱口令)

    1433 MSSQL 

    1521 Oracle 

    3306 MySQL 

    5432 PostgreSQL 

    3.特殊服务类(未授权/命令执行类/漏洞)

    443 SSL心脏滴血 

    873 Rsync未授权 

    5984 CouchDB http://xxx:5984/_utils/ 

    6379 redis未授权 

    7001,7002 WebLogic默认弱口令，反序列 

    9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 

    11211 memcache未授权访问 

    27017,27018 Mongodb未授权访问 

    50000 SAP命令执行 

    50070,50030 hadoop默认端口未授权访问

    4.常用端口类(扫描弱口令/端淫秽色情破)

    21 ftp 

    22 SSH 

    23 Telnet 

    2601,2604 zebra路由，默认密码zebra

    3389 远程桌面

    5.端口合计详情

    21 ftp 

    22 SSH 

    23 Telnet 

    80 web 

    80-89 web 

    161 SNMP 

    389 LDAP 

    443 SSL心脏滴血以及一些web漏洞测试 

    445 SMB 

    512,513,514 Rexec 

    873 Rsync未授权 

    1025,111 NFS 

    1433 MSSQL 

    1521 Oracle:(iSqlPlus Port:5560,7778) 

    2082/2083 cpanel主机管理系统登陆 （国外用较多）

    2222 DA虚拟主机管理系统登陆 （国外用较多） 

    2601,2604 zebra路由，默认密码zebra

    3128 squid代理默认端口，如果没设置口令很可能就直接漫游内网了 

    3306 MySQL 

    3312/3311 kangle主机管理系统登陆 

    3389 远程桌面 

    4440 rundeck 参考WooYun: 借用新浪某服务成功漫游新浪内网 

    5432 PostgreSQL 

    5900 vnc 

    5984 CouchDB http://xxx:5984/_utils/ 

    6082 varnish 参考WooYun: Varnish HTTP accelerator CLI 未授权访问易导致网站被直接篡改或者作为代理进入内网 

    6379 redis未授权 

    7001,7002 WebLogic默认弱口令，反序列 

    7778 Kloxo主机控制面板登录 

    8000-9090 都是一些常见的web端口，有些运维喜欢把管理后台开在这些非80的端口上 

    8080 tomcat/WDCP主机管理系统，默认弱口令 

    8080,8089,9090 JBOSS 

    8083 Vestacp主机管理系统 （国外用较多） 

    8649 ganglia 

    8888 amh/LuManager 主机管理系统默认端口 

    9200,9300 elasticsearch 参考WooYun: 多玩某服务器ElasticSearch命令执行漏洞 

    10000 Virtualmin/Webmin 服务器虚拟主机管理系统 

    11211 memcache未授权访问 

    27017,27018 Mongodb未授权访问 

    28017 mongodb统计页面 

    50000 SAP命令执行 

    50070,50030 hadoop默认端口未授权访问

常见端口及测试方法旁站和c段什么是旁站？

    旁站就是同一主机上面不同的网站。

什么是c段？

    c段就是同一个局域网内的机器

    每个IP分为ABCD四个段

    192(A)168(B)1(C)155(D)

    c段就是同在一个段的机器

查询网站：

    同ip网站查询：

        http://stool.chinaz.com/same #站长之家        https://chapangzhan.com/ #查旁站

    c段在线查询

        https://c.webscan.cc/

    fofa搜索旁站与c段

        旁站：ip=IP地址        c段 ：ip=IP地址/24

扫描敏感目录及文件工具：

    7kbstorm(目录扫描工具/图形化界面)：https://github.com/7kbstorm/7kbscan-WebPathBrute

    dirmap(高级web目录扫描工具)：https://github.com/H4ckForJob/dirmap //自称功能强于DirBuster、Dirsearch、cansina、御剑

    bbscan(高并发漏洞扫描工具)：https://github.com/lijiejie/BBScan

    dirsearch(暴力破解网络服务器中的目录和文件：目录扫描工具)：https://github.com/maurosoria/dirsearch

    gobuster(一款用于暴力破解工具)：https://github.com/OJ/gobuster

    网站文件

        1. robots.txt //作用是告诉搜索引擎(网络蜘蛛)哪些是不允许收录的页面。

        2. crossdomin.xml //跨域策略文件crossdomain.xml，这里可以发现多余的子域名，跨域获取资源，顾名思义就是需要的资源不在自己的域服务器上，需要访问其他域服务器

        3. sitemap.xml //网站地图协议、会存放网站的一些隐藏的url文件或目录。

        4. 后台目录

        5. 网站安装包

        6. 网站上传目录

        7. mysql管理页面

        8. phpinfo

        9. 网站文本编辑器 // xss与上传漏洞

        10. 测试文件

        11. 网站备份文件(.rar、zip、.7z、.tar.gz、.bak)

        12. DS_Store 文件

        13. vim编辑器备份文件(.swp)

        14. WEB—INF/web.xml文件

        15 .git

        16 .svn

    扫描网页备份

        例如

        config.php

        config.php~

        config.php.bak

        config.php.swp

        config.php.rar

        conig.php.tar.gz

    cms识别

        收集好网站信息之后，应该对网站进行指纹识别，通过识别指纹，确定目标的cms及版本，方便制定下一步的测试计划，可以用公开的poc或自己累积的对应手法等进行正式的渗透测试。

        工具：

            在线识别：

                云悉(邀请码):http://www.yunsee.cn/info.html

                潮汐指纹(需要登录):http://finger.tidesec.net/

                cms识别(不需要邀请码、不需要登录):http://whatweb.bugscaner.com/look/

            工具识别：

                whatweb(kali自带的工具)

    网站头信息收集

        网页右击查看网络进行刷新，最上面的数据包看标头信息。

        server:可以看到中间件 //可以进行过滤

        1、中间件 ：web服务【Web Servers】 apache iis7 iis7.5 iis8 nginx WebLogic tomcat等

        2.、网站组件：js组件jquery、vue  页面的布局bootstrap

        通过浏览器获取

        curl命令查询http头信息

            curl 域名 -i //会在命令行显示http界面信息

        在线cms识别：http://whatweb.bugscaner.com/look/

        fofa:

            直接输入域名，查找结果会返回中间件

    第三方工具：    

        浏览器插件Wappalyzer

        云悉

注:nginx反向代理，可以做到隐藏真实中间件

敏感文件搜索github搜索：

    工具：

        github 关键词类别监控：https://www.codercto.com/a/46640.html

    github搜索语法：

        smtp 域名 password 端口号 //指定域名查找泄露的邮箱账户与密码等信息 

        //SMTP是一种提供可靠且有效的电子邮件传输的协议。SMTP是建立在FTP文件传输服务上的一种邮件服务，主要用于系统之间的邮件信息传递，并提供有关来信的通知。

        in:name test //搜索仓库标题含有关键字test

的。

        in:descripton test

 //搜索仓库描述含有关键字的

        in:readme test

 //搜索Readme文件(自述文件)含有关键词类别的

    谷歌搜索github语法：

        site:Github.com 网站关键词类别 password //指定网站/关键字搜索密码

        site:Github.com 网站域名/关键字 root password //指定网站与用户进行搜索密码 

        site:Github.com User ID=用户

;password //可以指定代码、域名进行搜索，如果是cms直接下载，找到配置文件中的账户与密码部分，直接写入就有很大几率找到敏感信息。

        site:Github.com inurl:sql //可以用来寻找资源工具文档等。

        SVN 信息收集

            svn：subversion的缩写，是一个开放源代码的版本控制系统 //非常流行

            site:Github.com svn

            site:Github.com svn username

            site:Github.com svn password

            site:Github.com svn username password

        综合信息收集

            site:Github.com password

            site:Github.com ftp ftppassword

            site:Github.com 密码

            site:Github.com 内部

        搜索语句参考

            https://blog.csdn.net/qq_36119192/article/details/99690742

            http://www.361way.com/github-hack/6284.html

            https://docs.github.com/cn/github/searching-for-information-on-github/searching-code

谷歌hacking语法

    site:域名 //指定域名

    inurl:网站目录或参数 //网站url栏中的关键字

    intitle:标题 //查找网页标题中含有标题的界面

    intext:内容、关键字 //网站正文中的关键字

    filetype:pdf、word //指定文件类型

    link:www.baidu.com //显示所有链接指定到百度的

    info: //查找指定站点信息

    cache:计算机基础 //在goole缓存中查找计算机基础

网盘搜索

    凌云搜索：https://www.lingfengyun.com/

    盘多多：http://www.panduoduo.net/

    盘搜搜：http://www.pansoso.com/

    盘搜：http://www.pansou.com/

社工库在线查询网站注册信息：

    www.reg007.com //查询网站注册信息、社工库配合使用。

社工库(目前被过滤了)

    可以查询到泄露的个人信息。

js敏感文件1.网站的url连接写到js里面

2.js的api接口 里面包含用户信息，比如：账号和密码。

工具：

    jsfinder：https://gitee.com/kn1fes/JSFinder //JSFinder是一款用作快速在网站的js文件中提取URL，子域名的工具。

    Packer-Fuzzer:https://gitee.com/keyboxdzd/Packer-Fuzzer?_from=gitee_search //可以在js文件中自动审计敏感信息泄露等漏洞

    SecretFinder:https://gitee.com/mucn/SecretFinder //一款基于Python脚本的JavaScript敏感信息搜索工具

查找真实IP确认是否使用CDN

    cmd(命令行)ping

        ping www.xxx.xxx (别名)

        查看返回结果的域名是否与ping的域名一致，不一致则存在cdn

    多地ping

        站长之家：https://ping.chinaz.com/ //返回的IP不一致，则存在cdn、有的国外地址没有设置cdn

        爱站网：http://ping.aizhan.com/

        17CE：https://www.17ce.com

绕过CDN(真实IP可以反查旁站)

    配置不当：  

        ping根域名有很大可能获取到真实IP

        ping同一个域名但是不同的协议：https/http

    查询历史DNS解析记录

        通过以下这些网站可以访问dns的解析，有可能存在未绑定CDN之前的记录。

        DNSDB:https://dnsdb.io/zh-cn/

        微步在线:https://x.threatbook.cn/

        IPIPNET:https://tools.ipip.net/cdn.php

        viewdns:https://viewdns.info/

        netcraft(国外):https://sitereport.netcraft.com/

        多个平台测试：找到IP后，使用nc确认下是否开启80/443端口，然后绑定hosts

        绑定hosts之后访问网站不会访问cdn节点，而是直接访问源站。

    国外dns获取真实IP

        http://www.ab173.com/dns/dns_world.php

        https://dnsdumpster.com/ 

        https://dnshistory.org/ 

        http://whoisrequest.com/history

/ 

        https://completedns.com/dns-history/ 

        http://dnstrails.com/ 

        https://who.is/domain-history/

        http://research.domaintools.com/research/hosting-history/ http://site.ip138.com/ 

        http://viewdns.info/iphistory/ 

        https://dnsdb.io/zh-cn/ 

        https://www.virustotal.com/ 

        https://x.threatbook.cn/ 

        http://viewdns.info/ 

        http://www.17ce.com/

        http://toolbar.netcraft.com/site_report?url= https://securitytrails.com/ 

        https://tools.ipip.net/cdn.php

    phpinfo

        如果目标网站存在phpinfo泄露等，可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR

"]找到真实ip

    子域名解析(dns解析、历史数据、子域名)

        securitytrails：https://securitytrails.com/list/apex_domain/baidu.com

        进行域名批量解析：

    ico图标通过空间搜索引擎找真实IP

        空间搜索引擎

        浏览器网页栏上面的图标是ico图标

            如何下载ico

                F12->网络->刷新->后缀.ico的文件

                favicon.ico

            fofa、钟馗之眼、360测绘、撒旦。

            空间搜索引擎中的图标搜索或者ico搜索。

    SSL证书寻找真实IP

        SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。

        获取网站SSL证书的HASH再结合Censys

            crt(证书搜索网站)https://crt.sh/

            censys(国外空间搜索引擎):https://search.censys.io/ //国外的空间搜索引擎（免费）

            //通过crt网站获取证书的hash

            crt->输入域名->点击ID进入(找到SHA-256、再次点击)->进入censys搜索证书->转搜索主机

            或者在censys找到serial中找到十进制复制到国内网络空间搜索引擎(fofa、钟馗之眼等)进行搜索。

    邮件查找真实IP

        举例：QQ邮箱，存在一个显示邮件原文，如果没有使用代理服务器发送邮件就很有可能是真实IP->注意使用多种方式确认IP真实性。 //注意：显示邮件原文功能在邮箱右上角的更多中。

    F5LTM(负载均衡) //获取到的可能是内网的真实IP也可能是外网网站真实IP

        关键字：

            set-cookie

            BIGipServerpool

            0000

        步骤：

            当服务器使用F5 LTM做负载均衡时，通过对set-cookie关键字的解码也可被获取真实IP

            例如：Set-Cookie: BIGipServerpool_8.29_8030=zzzzzzzzz.24095.0000。

        注意：这里的z代表对IP加密的字符

            先把第一小节的十进制数即zzzzzzzzz取出来，然后将其转为十六进制数12.34.56.78(16进制)，接着从后至前(也就是四个数反过来)，以此取四位数出来，也就是78.56.34.12(16进制)，最后依次把他们转为十进制数，也就是最后的真实ip。

        通过以上的方法，被获取到的ip可能是真实的ip、亦可能是真实ip的同c段ip，还需要要对其进行相关测试，如与域名的绑定测试等，最后才能确认它是不是最终ip

    APP/微信小程序获取真实IP

        网站存在app，使用fiddler或burp进行抓包，可能获取真实IP

        工具：

            burp

            手机模拟器

        APP获取真实IP

            burp：

                设置客户端代理：

                    proxy(模块)->Options->proxy Listeners(模块)->Add->ip改为本地IP(不是127.0.0.1)->端口设置8080(为了下载证书与抓取流量)

            模拟器

                下载证书与安装证书：

                    打开模拟器->打开模拟器浏览器->输入自己主机的IP(192.168.x.x:8080)->下载证书->进入模拟器文件管理->找到共享文件夹->重命名证书后缀(cer)->双击证书进行安装->为安装的证书进行命名(名字填写burpsuite)->提示需要我们设置密码(那就设置个pin密码)->点击完成。

                下载目标客户端：

                    应用商城或官网进行下载

                    随意点击获取数据包

                        找到host进行ping操作找到真实IP

        小程序获取真实IP：

            工具/模拟器与上方设置相同：

                登录微信->打开小程序->抓包寻找host进行ping操作。

        扫全网获取真实IP

            工具:

                https://github.com/superfish9/hackcdn

                https://github.com/boy-hack/w8fuckcdn

ARL资产收集灯塔(本地资产收集工具--漏洞盒子)https://github.com/TophantTechnology/ARL

非常棒的一个工具，集域名爆破、端口扫描、资产监控等功能于一体的信息收集工具

安装方法在链接中