CDN（Content Delivery.NETwork） 內(nèi)容分發(fā)網(wǎng)絡。使用戶就近獲取所需內(nèi)容，降低網(wǎng)絡擁塞，提高響應速度。

網(wǎng)絡空間搜索引擎

分析下網(wǎng)站關鍵元素信息

域名
ip
title
icp
logo
body

以佛法為例子，其它引擎用法看文章后面

"sechelper.com"
domain="sechelper.com"
cert="*.sechelper.com"
icon_hash="-614101761"
title="至察助安"
icp="津ICP備2022002336號"
js_md5="82ac3f14327a8b7ba49baa208d4eaa15"
body="至察助安"

使用以上搜索語法可以收集到更多域名和IP信息。還可以結合公司地理位置、云廠商、IDC機房等多種因素精準搜索，例如：

asn="37963" && title="至察助安"
city="Beijing" && domain="sechelper.com"
asn="37963" && body="至察助安"

參考：
什么是 ASN？

Shodan

Shodan是世界上第一個互聯(lián)網(wǎng)連接設備搜索引擎。了解互聯(lián)網(wǎng)智能如何幫助您做出更好的決策。

示例	說明
HTTP Strict-Transport-Security	需要HTTPS連接的網(wǎng)站
product:Apache	Apache web服務器
http.html:Apache	在HTML中包含“Apache”一詞的網(wǎng)站
Apache	標題中有“Apache”一詞的服務
hostname:google.com,facebook.com	主機名包含“google.com”或“facebook.com”的服務
http.component:bootstrap	使用Bootstrap css框架的網(wǎng)站
ssl.version:tlsv1.3 HTTP	支持TLS 1.3的網(wǎng)站
ssl.alpn:h2	支持HTTP/2的網(wǎng)站
ssl.version:sslv2 -ssl.version:tlsv1,tlsv1.2,tlsv1.3	支持SSLv2但不支持TLS的服務
ssl.cert.subject.cn:google.com	為*.google.com頒發(fā)證書的SSL服務（HTTPS、SMTPS、POP3等）
ssl.cert.subject.cn:google.com -HTTP	為*.google.com頒發(fā)證書的非HTTPS SSL服務
ssh port:22,3333	端口22或3333上的SSH
ssh -port:2222	非標準端口上的SSH
has_screenshot:true rfb disabled port:80,443	隱藏在公共web端口后面的公共VNC服務
has_screenshot:true encrypted attention	搜索遠程桌面中的OCR，以查看是否被勒索軟件破壞
screenshot.label:ics	基于機器學習的工業(yè)控制系統(tǒng)辨識
tag:ics	運行工業(yè)協(xié)議的工業(yè)控制系統(tǒng)（即無網(wǎng)絡服務器）
vuln:CVE-2014-0160	易受心臟出血影響的服務
vuln:CVE-2019-19781 country:DE,CH,FR	德國、瑞士或法國可能存在CVE-2019-19781漏洞的服務器

更多實例：

https://www.shodan.io/search/filters

https://www.shodan.io/search/examples

FOFA

FOFA 是白帽匯推出的一款網(wǎng)絡空間搜索引擎，它通過進行網(wǎng)絡空間測繪，能夠幫助研究人員或者企業(yè)迅速進行網(wǎng)絡資產(chǎn)匹配，例如進行漏洞影響范圍分析、應用分布統(tǒng)計、應用流行度排名統(tǒng)計等。

邏輯連接符	具體含義
=	匹配，=""時，可查詢不存在字段或者值為空的情況
==	完全匹配，==""時，可查詢存在且值為空的情況
&&	與
\|\|	或者
!=	不匹配，!=""時，可查詢值為空的情況
～=	正則語法匹配專用
()	確認查詢優(yōu)先級，括號內(nèi)容優(yōu)先級最高

搜索實例

例子	說明
title=“beijing”	從標題中搜索“beijing”
header=“elastic”	從http頭中搜索“elastic”
body=“商城”	從html正文中搜索“商城”
fid=“sSXXGNUO2FefBTcCLIT/2Q==”	查找相同的網(wǎng)站指紋
domain=“qq.com”	搜索根域名帶有qq.com的網(wǎng)站。
icp=“京ICP證030173號”	查找備案號為“京ICP證030173號”的網(wǎng)站
js_name=“js/jquery.js”	查找網(wǎng)站正文中包含js/jquery.js的資產(chǎn)
js_md5=“82ac3f14327a8b7ba49baa208d4eaa15”	查找js源碼與之匹配的資產(chǎn)
cname=“ap21.inst.siteforce.com”	查找cname為"ap21.inst.siteforce.com"的網(wǎng)站
cname_domain=“siteforce.com”	查找cname包含“siteforce.com”的網(wǎng)站
icon_hash=“-614101761”	搜索使用此 icon 的資產(chǎn)
host=“.gov.cn”	從url中搜索”.gov.cn”
port=“6379”	查找對應“6379”端口的資產(chǎn)
ip=“1.1.1.1”	從ip中搜索包含“1.1.1.1”的網(wǎng)站
ip=“220.181.111.1/24”	查詢IP為“220.181.111.1”的C網(wǎng)段資產(chǎn)
status_code=“402”	查詢服務器狀態(tài)為“402”的資產(chǎn)
protocol=“quic”	查詢quic協(xié)議資產(chǎn)
country=“CN”	搜索指定國家(編碼)的資產(chǎn)。
city=“Beijing”	搜索指定城市的資產(chǎn)。
cert=“baidu”	搜索證書(https或者imaps等)中帶有baidu的資產(chǎn)。
cert.subject=“Oracle Corporation”	搜索證書持有者是Oracle Corporation的資產(chǎn)
cert.issuer=“DigiCert”	搜索證書頒發(fā)者為DigiCert Inc的資產(chǎn)
cert.is_valid=true	驗證證書是否有效，true有效，false無效
jarm=“2ad…83e81”	搜索JARM指紋
banner=“users” && protocol=“ftp”	搜索FTP協(xié)議中帶有users文本的資產(chǎn)。
asn=“19551”	搜索指定asn的資產(chǎn)。
after=“2017” && before=“2017-10-01”	時間范圍段搜索
App=“Microsoft-Exchange”	搜索Microsoft-Exchange設備
server==“Microsoft-IIS/10”	搜索IIS 10服務器。
os=“centos”	搜索CentOS資產(chǎn)。
type=“service”	搜索所有協(xié)議資產(chǎn)，支持subdomain和service兩種

鐘馗之眼

ZoomEye 支持對公網(wǎng)開放的 IPv4、IPv6 及域名地址庫進行多個端口服務或協(xié)議的探測，并整理收集相關返回 banner 數(shù)據(jù)提供搜索匹配。

ZoomEye 線上采用“覆蓋式”更新模式：比如第一次掃描 IP 8.8.8.8 開放了 80 端口，第二次掃描 8.8.8.8 的 80 端口時，如果端口還存活，那么會用第二次掃描的結果覆蓋更新第一次的掃描結果；如果第二次掃描時候 80 端口已經(jīng)關閉，服務不存在，那么第一次掃描的結果不會被更新，時間節(jié)點也不會被更新。

搜索

用戶在搜索輸入框里輸入對應關鍵字符串、語法詞(也稱為“過濾器”)及相關運算符進行檢索。用戶輸入的關鍵字符串不區(qū)分大小寫，在做全詞匹配比如字符串里存在空格等字符時請使用引號閉合詞組。輸入的字符串通過 ZoomEye 搜索引擎分詞系統(tǒng)進行分詞匹配，分詞規(guī)則可使用搜索結果頁面里“分詞”功能幫助測試理解。輸入語法詞(也稱為“過濾器”)后，搜索框提供了智能搜索提示：比如輸入“思科”或者“Cisco”在搜索框下拉欄里會顯示相關的 app 語法，選中后按“回車”即可進行檢索。對于更多的組件指紋可以訪問頂欄里的"導航"頁面獲取。

邏輯運算

邏輯詞	說明	示例
空格	在搜索框中輸入“空格”則表示“或”的運算邏輯	[service:“ssh” service:“http”]( https://www.zoomeye.org/searchResult?q=service%3A"ssh" service%3A"http") 搜索ssh或http協(xié)議的數(shù)據(jù)
+	在搜索框中輸入“+”則表示“且”的運算邏輯	device:“router”+after:“2020-01-01” 搜索2020-01-01后路由器的數(shù)據(jù)
-	在搜索框中輸入“-”則表示“非”的運算邏輯	[country:“CN”-subdivisions:“beijing”]( https://www.zoomeye.org/searchResult?q=country%3A"CN" -subdivisions%3A"beijing") 搜索中國地區(qū)內(nèi)除北京的數(shù)據(jù)
()	在搜索框中輸入“()”則表示“優(yōu)先處理”的運算邏輯	(port:“80”+subdivisions:“加利福尼亞州”)+before:“2020-01-01” 搜索2020-01-01前在加利福尼亞州開放的80端口數(shù)據(jù)

地理位置

(注：中國地區(qū)資產(chǎn)只對中國IP及手機號碼認證用戶開放)

語法	說明	注
country:“CN”	搜索國家地區(qū)資產(chǎn)	可以使用國家縮寫，也可以使用中/英文全稱如country:“中國” country:“china”
subdivisions:“beijing”	搜索相關指定行政區(qū)的資產(chǎn)	中國省會支持中文及英文描述搜索 subdivisions:“北京”
city:“changsha”	搜索相關城市資產(chǎn)	中國城市支持中文及英文描述搜索如 city:長沙

** 證書搜索**

語法	說明	注
ssl:“google”	搜索ssl證書存在"google"字符串的資產(chǎn)	常常用來提取產(chǎn)品名及公司名搜索對應目標

** IP及域名信息相關搜索**

語法	說明	注
ip:“8.8.8.8”	搜索指定IPv4地址相關資產(chǎn)
ip:“2600:3c00::f03c:91ff:fefc:574a”	搜索指定IPv6地址相關資產(chǎn)
cidr:52.2.254.36/24	搜索IP的C段資產(chǎn)	cidr:52.2.254.36/16 為IP的B段資產(chǎn)，cidr:52.2.254.36/8 為IP的A段資產(chǎn)
org:“北京大學” 或者 organization:“北京大學”	搜索相關組織(Organization)的資產(chǎn)	常常用來定位大學、結構、大型互聯(lián)網(wǎng)公司對應IP資產(chǎn)
[isp:“China Mobile”](https://www.zoomeye.org/searchResult?q=isp%3A"China Mobile")	搜索相關網(wǎng)絡服務提供商的資產(chǎn)	可結合org數(shù)據(jù)相互補充
asn:42893	搜索對應ASN（Autonomous system number）自治系統(tǒng)編號相關IP資產(chǎn)
port:80	搜索相關端口資產(chǎn)	目前不支持同時進行多端口目標搜索
hostname:google.com	搜索相關IP"主機名"的資產(chǎn)
site:baidu.com	搜索域名相關的資產(chǎn)	搜索域名相關的資產(chǎn)

指紋相關搜索

語法	說明	注
[app:“Cisco ASA SSL VPN”](https://www.zoomeye.org/searchResult?q=app%3A"Cisco ASA SSL VPN")	搜索思科ASA-SSL-VPN的設備	更多的app規(guī)則請參考“導航”，在搜索框輸入"思科"等關鍵詞會有相關app提示
service:“ssh”	搜索對應服務協(xié)議的資產(chǎn)	常見服務協(xié)議包括：http、ftp、ssh、telnet等等(其他服務可參考搜索結果域名側欄聚合展示)
device:“router”	搜索路由器相關的設備類型	常見類型包括router(路由器)、switch(交換機)、storage-misc(存儲設備)等等(其他類型可參考搜索結果域名側欄聚合展示)
os:“RouterOS”	搜索相關操作系統(tǒng)	常見系統(tǒng)包括linux、windows、RouterOS、IOS、JUNOS等等(其他系統(tǒng)可參考搜索結果域名側欄聚合展示)
title:“Cisco”	搜索html內(nèi)容里標題中存在"Cisco"的數(shù)據(jù)
industry:“政府”	搜索行業(yè)類型相關的資產(chǎn)	常見的行業(yè)類型包括科技、能源、金融制造業(yè)等等（其他類型可結合org數(shù)據(jù)相互補充）

時間節(jié)點區(qū)間搜索

語法	說明	注
[after:“2020-01-01” +port:“50050”](https://www.zoomeye.org/searchResult?q=after%3A"2020-01-01" +port%3A"50050")	搜索更新時間為"2020-01-01"端口為"50050"以后的資產(chǎn)	時間過濾器需組合其他過濾器使用
[before:“2020-01-01” +port:“50050”](https://www.zoomeye.org/searchResult?q=before%3A"2020-01-01" +port%3A"50050")	搜索更新時間在"2020-01-01"端口為"50050"以前的資產(chǎn)	時間過濾器需組合其他過濾器使用

Jarm

Jarm是一個活動的傳輸層安全性（TLS）服務器指紋識別工具，詳情參考：
https://github.com/salesforce/jarm

語法	說明	注
jarm: “29d29d15d29d29d00029d29d29d29dea0f89a2e5fb09e4d8e099befed92cfa”	搜索相關jarm內(nèi)容的資產(chǎn)

Dig

語法	說明	注
[dig:“baidu.com 220.181.38.148”](https://www.zoomeye.org/searchResult?q=dig%3A"baidu.com 220.181.38.148")	搜索相關dig內(nèi)容的資產(chǎn)

Iconhash

語法	說明	注
iconhash:“f3418a443e7d841097c714d69ec4bcb8”	通過 md5 方式對目標數(shù)據(jù)進行解析，根據(jù)圖標搜索相關內(nèi)容的資產(chǎn)	搜索包含“google”圖標的相關資產(chǎn)
iconhash:“1941681276”	通過 mmh3 方式對目標數(shù)據(jù)進行解析，根據(jù)圖標搜索相關內(nèi)容的資產(chǎn)	搜索包含“amazon”圖標的相關資產(chǎn)

Filehash

語法	說明	注
filehash:“0b5ce08db7fb8fffe4e14d05588d49d9”	通過上傳方式進行查詢，根據(jù)解析的文件數(shù)據(jù)搜索相關內(nèi)容的資產(chǎn)	搜索包含“Gitlab”解析的相關資產(chǎn)

Censys

Censys幫助組織、個人和研究人員發(fā)現(xiàn)并監(jiān)控互聯(lián)網(wǎng)上的每臺服務器，以減少暴露并提高安全性。

更多實例：

https://search.censys.io/search/examples?resource=hosts

異地PING

站長之家 - 站長工具

國外 - check-host

郵件頭

大型公司郵件服務可能是自建的，從服務器內(nèi)發(fā)出的郵件頭會帶著IP，這個極有可能是目標真實IP地址。foxmail導出郵件使用編輯器打開，可以看到一下內(nèi)容。

Received: from wfbtxcdk.outbound-mail.sendgrid.net (unknown [159.183.172.209])
	by mail-m121165.qiye.163.com (HMail) with ESMTP id BF0061E95EC
	for <cookun@sechelper.com>; Thu,  8 Sep 2022 08:41:53 +0800 (CST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=censys.io;
	h=content-type:mime-version:subject:from:to:cc;
...

郵箱頭查看真實IP，確定不是使用的第三方郵箱再看，否則就是浪費時間，使用nslookup查詢mx記錄

$ nslookup 
> set q=mx
> sechelper.com
Server:		127.0.0.53
Address:	127.0.0.53#53

Non-authoritative answer:
sechelper.com	mail exchanger = 10 mx.ym.163.com.
...

域傳送漏洞

DNS協(xié)議支持使用axfr類型的記錄進行區(qū)域傳送，用來解決主從同步的問題。如果管理員在配置DNS服務器的時候沒有限制允許獲取記錄的來源，將會導致DNS域傳送漏洞。

*注意：*DNS配置錯誤才會出現(xiàn)域傳送漏洞，打點時可以使用腳本批量探測。

vulab@sechelper:~$ nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.111.133
Starting Nmap 7.80 ( https://nmap.org ) at 2022-09-14 03:45 UTC
Nmap scan report for 192.168.111.133
Host is up (0.00044s latency).

PORT   STATE SERVICE
53/tcp open  domain
| dns-zone-transfer: 
| vulhub.org.         SOA    ns.vulhub.org. sa.vulhub.org.
| vulhub.org.         NS     ns1.vulhub.org.
| vulhub.org.         NS     ns2.vulhub.org.
| admin.vulhub.org.   A      10.1.1.4
| cdn.vulhub.org.     A      10.1.1.3
| git.vulhub.org.     A      10.1.1.4
| ns1.vulhub.org.     A      10.0.0.1
| ns2.vulhub.org.     A      10.0.0.2
| sa.vulhub.org.      A      10.1.1.2
| static.vulhub.org.  CNAME  www.vulhub.org.
| wap.vulhub.org.     CNAME  www.vulhub.org.
| www.vulhub.org.     A      10.1.1.1
|_vulhub.org.         SOA    ns.vulhub.org. sa.vulhub.org.

Nmap done: 1 IP address (1 host up) scanned in 17.17 seconds

參考：