1）目标敏感文件泄露，例如：phpinfo之类的探针、GitHub信息泄露等。
2）XSS盲打，命令执行反弹shell，SSRF等。
3）无论是用社工还是其他手段，拿到了目标网站管理员在CDN的账号，从而在从CDN的配置中找到网站的真实IP。

端口：21 服务：FTP/TFTP/VSFTPD 总结：爆破/嗅探/溢出/后门
端口：22 服务：ssh远程连接      总结：爆破/openssh漏洞
端口：23 服务：Telnet远程连接   总结：爆破/嗅探/弱口令
端口：25 服务：SMTP邮件服务     总结：邮件伪造
端口：53 服务：DNS域名解析系统   总结：域传送/劫持/缓存投毒/欺骗
端口：67/68 服务：dhcp服务      总结：劫持/欺骗
端口：110 服务：pop3              总结：爆破/嗅探
端口：139 服务：Samba服务         总结：爆破/未授权访问/远程命令执行
端口：143 服务：Imap协议         总结：爆破161SNMP协议爆破/搜集目标内网信息
端口：389 服务：Ldap目录访问协议 总结：注入/未授权访问/弱口令
端口：445 服务：smb              总结：ms17-010/端口溢出
端口：512/513/514 服务：Linux Rexec服务 总结：爆破/Rlogin登陆
端口：873 服务：Rsync服务                 总结：文件上传/未授权访问
端口：1080 服务：socket                  总结：爆破
端口：1352 服务：Lotus domino邮件服务   总结：爆破/信息泄漏
端口：1433 服务：mssql                  总结：爆破/注入/SA弱口令
端口：1521 服务：oracle       总结：爆破/注入/TNS爆破/反弹shell2049Nfs服务配置不当
端口：2181 服务：zookeeper服务            总结：未授权访问
端口：2375 服务：docker remote api    总结：未授权访问
端口：3306 服务：mysql                 总结：爆破/注入
端口：3389 服务：Rdp远程桌面链接        总结：爆破/shift后门
端口：4848 服务：GlassFish控制台       总结：爆破/认证绕过
端口：5000 服务：sybase/DB2数据库      总结：爆破/注入/提权
端口：5432 服务：postgresql             总结：爆破/注入/缓冲区溢出
端口：5632 服务：pcanywhere服务        总结：抓密码/代码执行
端口：5900 服务：vnc                     总结：爆破/认证绕过
端口：6379 服务：Redis数据库           总结：未授权访问/爆破
端口：7001/7002 服务：weblogic         总结：java反序列化/控制台弱口令
端口：80/443 服务：http/https         总结：web应用漏洞/心脏滴血
端口：8069 服务：zabbix服务            总结：远程命令执行/注入
端口：8161 服务：activemq             总结：弱口令/写文件
端口：8080/8089 服务：Jboss/Tomcat/Resin 总结：爆破/PUT文件上传/反序列化
端口：8083/8086 服务：influxDB         总结：未授权访问
端口：9000 服务：fastcgi                 总结：远程命令执行
端口：9090 服务：Websphere             总结：控制台爆破/java反序列化/弱口令
端口：9200/9300 服务：elasticsearch   总结：远程代码执行
端口：11211 服务：memcached             总结：未授权访问
端口：27017/27018 服务：mongodb         总结：未授权访问/爆破

masscan --ping 192.168.1.0/24 --rate 10000
masscan -iL tmp_scanip_list.tmp -p1-65535 -Pn -v --randomize-hosts --banners -oX result.xml --rate 10000

nmap -sP 192.168.123.1/24    //ping扫描
nmap -p0 192.168.123.1/24    //无ping扫描
nmap -PS 192.168.123.1/24    //TCP Syn Ping扫描

nmap -sC -v -A IP -p PORT -oN result.txt

nmap -p- -Pn -sV -v -open -T4 -n -sS -O x.x.x.x
-p- 扫描全端口
-Pn 不ping扫描
-sV 扫描版本信息
-v  显示扫描过程
--open 只显示开放端口
-T4 设置时序模板为自动控制
-n  不进行dns解析
-sS SYN半连接扫描
-O 扫描操作系统

nmap -sS -p 1-65535 -v 192.168.99.177

# masscan --ping 192.168.1.0/24 --rate 10000
  nmap -sP 192.168.1.0/24
# masscan 192.33.6.145 -p1-65535  --rate 1000 -oL ports
# ports=$(cat ports | awk -F " " '{print $3}' | sort -n | tr '\n' ','  | sed 's/,$//' | sed 's/^,,//')
# nmap -sV -p $ports 192.33.6.145
  nmap -sC -v -A IP -p PORT -oN result.txt

1、CMS信息：比如大汉CMS、织梦、帝国CMS、phpcms、ecshop等；
2、前端技术：比如HTML5、jquery、bootstrap、pure、ace等；
3、Web服务器：比如Apache、lighttpd, Nginx, IIS等；
4、应用服务器：比如Tomcat、Jboss、weblogic、websphere等；
5、开发语言：比如PHP、Java、Ruby、Python、C#等；
6、操作系统信息：比如linux、win2k8、win7、kali、centos等；
7、CDN信息：是否使用CDN，如cloudflare、360cdn、365cyd、yunjiasu等；
8、WAF信息：是否使用waf，如Topsec、Jiasule、Yundun等；
9、IP及域名信息：IP和域名注册信息、服务商信息等；
10、端口信息：有些软件或平台还会探测服务器开放的常见端口。

基于Go开发：gobuster
基于Java开发：dirbuster
基于Python开发：wfuzz

/.bzr/
/CVS/Entries
/CVS/Root
/.DS_Store  MacOS自动生成
/.hg/
/.svn/ (/.svn/entries)
/.git/
/WEB-INF/src/
/WEB-INF/lib/
/WEB-INF/classes/
/WEB-INF/database.properties
/WEB-INF/web.xml
Robots.txt

backup
db
data
web
wwwroot
database
www
code
test
admin
user
sql

.bak
.html
_index.html
.swp
.rar
.txt
.zip
.7z
.sql
.tar.gz
.tgz
.tar

site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system
site:target.com inurl:login | inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | inurl:system | inurl:backend
site:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录

site:target.com inurl:file
site:target.com inurl:upload

site:target.com inurl:php?id=

site:target.com inurl:ewebeditor

site:target.com intitle:index.of

site:target.com intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:”Warning: mysql_query()" | intext:”Warning: pg_connect()"

site:target.com ext:php intitle:phpinfo "published by the PHP Group"

site:target.com ext: .xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini

site:target.com ext: .sql | .dbf | .mdb | .db

site:target.com ext: .log

site:target.com ext: .bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar.gz | .tgz | .tar

site:target.com filetype: .doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv

site:target.com intext:@target.com
site:target.com 邮件
site:target.com email

site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证

domain="baidu.com"
domain=""||ip=""||host=""||title=""||header=""
protocol=“https”        #搜索指定协议类型
app="phpinfo"            #搜索某些组件相关系统
host="oldboyedu.com/"    #搜索包含有特定字符的URL
title=“powered by” && os==windows    #搜索网页标题中包含有特定字符并且系统是windows的网页

#例1：搜索使用iis6.0主机：
app:"Microsoft-IIS" ver"6.0"
#例2：搜索使weblogic主机：
app:"weblogic httpd" port:7001
#例3：查询开放3389端口的主机：
port:3389
#例4：查询操作系统为Linux系统的服务器:
os:linux
#例5：查询公网摄像头：
service:”routersetup”
#例6：搜索美国的 Apache 服务器：
app:Apache country:US
#例7：搜索指定ip信息，
ip:121.42.173.26
#例8：查询有关taobao.com域名的信息，
site:taobao.com
#例9：搜索标题中包含该字符的网站，
title:weblogic