信息收集

Google dork

intext:IIS Windows Server site:*.yourtarget.com
inurl:”IIS Windows Server” site:*.yourtarget.com
intitle:”IIS Windows Server” site:*.yourtarget.com

子域收集

subfinder -d target.com -all -recursive -o sbfdr_r1.txt
subfinder -dL sbfdr_r1.txt -all -recursive -o sbfder_r2.txt
assetfinder -subs-only target.com | tee ast_target_subs.txt

bbot

bbot -t target.com -f subdomain-enum -rf passive -o bbot_target_subs.txt

amass

amass enum -d target.com -o target_subs_normal_scan.txt
amass enum -active -d target.com -o target_subs_active_scan.txt
amass enum -passive -d example.com -o target_subs_passive_scan.txt

当然子域收集工具还有很多，选择更多的工具，收获也会更多。

寻找 IIS 欢迎页

完成子域收集后，就可以使用httpx命令来查找存活的 IIS 欢迎页了：

httpx -l final_subs.txt -sc -td — title

BP插件

习惯用Burp的同学，可以使用IIs Tlide Enumration Scanner插件，来一键帮你完成扫描。

扫描结束后，可以在下方看到相应的扫描结果。

短文件名扫描

推荐使用shortscan这款开源工具，安装如下：

go install github.com/bitquark/shortscan/cmd/shortscan@latest

使用也很简单：

shortscan http:target.com -F

当然，短文件名工具也有不少：

https://github.com/irsdl/IIS-ShortName-Scanner
https://github.com/sw33tLie/sns
https://github.com/lijiejie/IIS_shortname_Scanner
https://github.com/0xRTH/IISRecon

根据个人喜好选择食用即可。

你学会了么？

更多IIS漏洞挖掘：https://gugesay.com/archives/3331