【安全】一,被动信息搜集

一，被动信息收集

1，定义：被动信息搜集是利用第三方的服务（公开的网站）对目标进行访问了解，不主动的与目标网站进行直接访问。

2，搜集方式：google hack，钟馗之眼，FOFA，站长之家

3，搜集的内容：

• 人：姓名，出生，家庭地址，工作地址，联系方式，人员之间的关系，博客，职务，企业内部或者企业合作方之间的关系
  作用：搜集到人员的信息后可以进行社工
• 信息： IP地址段 作用：获取旁站，子域名，是否是同一台服务器 域名信息
  作用：获取注册信息（注册人，注册邮箱，线管的其他域名），邮箱，备案信息–企业名称（国内），企业的小程序，工作号，APP等。注意企业注册地址不等于办公地址
  邮箱信息： 作用：可以钓鱼，投毒 文档图片数据
  公开的信息，分类信息。获取来源：58同城，快递信息，企业发送的抖音，微博等 目标系统的技术架构
  作用：使用的什么语言，中间件，数据库，操作系统

4，信息搜集的目的：

• 通过信息去描述目前，去发现跟目标有关系的其他次类目标，当主目标无法攻破时用次类目标进行迂回攻破

• 搜集热的信息可以对人进行详细分析（上班方式，作息时间），然后进行社工 信息收集实战：

• DNS作用：DNS全程是域名服务器，DNS记录了域名与IP之间的对应关系，域名通过DNS去解析未IP地址，然后去访问IP地址所对应的网站（window对应的有一个Host文件，访问域名时会优先访问这个文件）

  #查询ip地址命令 
  ping 12306.cn nslookup 12306.cn 
  dig 12306.cn 
  dig -x 114.114.114.114 #使用ip反向去查询域名
  
  #如果出现ip地址不一样，可能使用了CDN服务，第一种方法可能只做了国内的CDN,国外的没有做，可以去分辨如果国外都返回同一ip地址，那么有可能就是主服务器地址，
  #www.12306.cn和12306.cn是两个域名
  
  whois 12306.cn #这个不要带www查询https://whois.chinaz.com/   域名的备案信息（不同的网站查询可能会有差异）
  

• 子域名收集
  顶级域名：.gov:政府 .edu:教育学校 .net:互联网络信息和运行中心 .org:非盈利组织
  子域名定义：凡是顶级域名前加后缀的都是该顶级域名的子域名，二子域名有分为二级子域名，三级子域名和多级子域名
  例如： 12306.com 二级域名 www.12306.com 三级域名
  收集方法：
  a.搜索引擎（如在google中输入site qq.com）
  b.第三方网站查询：https://tool.chinaz.com/subdomain
  c.证书透明度公开日治枚举：https://crt.sh/
  d.子域名挖掘工具：Layer子域名挖掘机
  FOFA使用
  网址：https://fofa.info/
  语法：

  title="深圳广田"  #通过标题匹配
  title="深圳广田" && country="CN"
  domain="unisoc.com" #使用域名去匹配
  

• ARL资产侦察灯塔系统

  这个是把以上的信息方法集合的一个系统，具体的使用可查看我博客的下一篇文章
  poc 漏洞验证模板

• 使用google语法收集信息

  site --指定域名
  inurl --URL中存在的关键字页面
  intext --网页内容的的关键字
  Filetype --指定文件类型
  intitle --网页标题中的关键字
  以上是长常用的
  link --返回你所有指定域名的连接
  info --查找指定站点的信息
  cache --搜索google里的内容缓存

  例如：

  inurl:admin/login.php #url是admin/login.php结尾的url
  site:szgt.com inurl:aspx
  inurl:admin_login.php
  inurl:upload.php
  

  使用Exploit-DB漏洞库查询：
  https://www.exploit-db.com/google-hacking-database
  
  searchsploit是一个用于Exploit-DB的命令行搜索工具，可以帮助我们查找渗透模块。

     -c, --case     [Term]      区分大小写(默认不区分大小写)
     -e, --exact    [Term]      对exploit标题进行EXACT匹配 (默认为 AND) [Implies "-t"].
     -h, --help                 显示帮助
     -j, --json     [Term]      以JSON格式显示结果
     -m, --mirror   [EDB-ID]    把一个exp拷贝到当前工作目录,参数后加目标id
     -o, --overflow [Term]      Exploit标题被允许溢出其列
     -p, --path     [EDB-ID]    显示漏洞利用的完整路径（如果可能，还将路径复制到剪贴板），后面跟漏洞ID号
     -t, --title    [Term]      仅仅搜索漏洞标题（默认是标题和文件的路径）
     -u, --update               检查并安装任何exploitdb软件包更新（deb或git）
     -w, --www      [Term]      显示Exploit-DB.com的URL而不是本地路径（在线搜索）
     -x, --examine  [EDB-ID]    使用$ PAGER检查（副本）Exp
         --colour               搜索结果不高亮显示关键词
         --id                   显示EDB-ID
         --nmap     [file.xml]  使用服务版本检查Nmap XML输出中的所有结果（例如：nmap -sV -oX file.xml）
                                  使用“-v”（详细）来尝试更多的组合
         --exclude="term"       从结果中删除值。通过使用“|”分隔多个值
                                例如--exclude=“term1 | term2 | term3”。
  
  #例如
  searchsploit -t windows 10 
  searchsploit -e windows 10 
  #查看详情
  searchsploit -p 编号
  searchsploit -m 编号 --提取文件 
  
  searchsploit smb remote windows .py --搜索windows系统下的smb服务的远程执行漏洞并且是python语言编写的