侦察分类

侦察（recon）可以分为两部分：

被动侦察：可以通过被动观察来进行
主动侦察：需要与目标交互以激发其响应，以便观察其响应。

被动侦察不需要与目标交互。换句话说，您不会向目标或目标拥有的系统发送任何数据包或请求。相反，被动侦察依赖于由第三方收集和维护的公开可用信息。使用开源情报（OSINT）收集有关目标的信息可能很简单，例如查看目标的公开社交媒体资料。我们可能收集的示例信息包括域名、IP地址块、电子邮件地址、员工姓名和职位发布。在即将到来的任务中，我们将看到如何查询DNS记录，并扩展被动侦察房间中的主题，并介绍用于辅助侦察的高级工具。

主动侦察需要通过发送请求和数据包与目标进行交互，并观察它是否以及如何响应。收集到的响应或缺乏响应将使我们能够扩展使用被动侦察开始开发的图像。主动侦察的一个例子是使用Nmap扫描目标子网和活动主机。其他示例可以在主动侦察房间中找到。我们想要发现的一些信息包括活动主机、正在运行的服务器、正在侦听的服务和版本号。

主动侦察可以分为：

外部侦察：在目标网络外进行，重点关注从互联网可访问的外部资产。一个例子是从公司网络外部运行Nikto。
内部侦察：从目标公司的网络内进行。换句话说，渗透测试人员或红队人员可能物理上位于公司建筑内。在这种情况下，他们可能正在使用目标网络上的受攻击主机。一个例子是使用Nessus扫描内部网络，使用目标计算机之一。

内置工具

whois：是一种用来查询互联网域名及 IP 地址信息的命令行工具。

dig：unix常见的dns查询工具

nslookup：windows上常见的dns查询工具

host：是查询DNS服务器以获取 DNS 记录的另一种有用的替代方法

traceroute/tracert：为我们提供了将我们连接到目标系统的路由器（跃点）

高级搜索

使用搜索引擎的流行搜索修饰符

filetype:pdf                    查找与特定术语相关的类型的文件

site:blog.tryhackme.com         将搜索结果限制在特定站点

-site:example.com               从结果中排除特定网站

intitle:TryHackme               查找页面标题中包含特定术语的页面

inurl:tryhackme                 在页面 URL 中查找具有特定字词的页面

等等还有很多

例如：

intitle:"index of" "nginx.log"          来发现 Nginx 日志，并可能揭示可被利用的服务器配置错误。

intitle:"index of" "contacts.txt"       来发现泄露重要信息的文件

inurl:/certs/server.key                 来查明是否暴露了 RSA 私钥

intitle:"GlassFish Server - Server Running"     查询检测 GlassFish Server 信息

intitle:"index of" "*.php"              查询来定位PHP

intext:"user name" intext:"orion core" -solarwinds.com      发现 SolarWinds Orion Web 控制台

intitle:"index of" errors.log           来查找与错误相关的日志文件