【安全牛学习笔记】被动信息收集

被动信息收集：

基于公开渠道可获得的信息，与目标系统不产生直接的交互，尽量避免留下一切痕迹。

开源智能文档：

美国军方： http://www.fas.org/irp/doddir/army/atp2-22-9.pdf

北大洋公约组织：http://information-retrieval.info/docs/NATO-OSINT.html

信息收集的三大阶段：

①passive reconnaissance（被动侦察）

②normal interraction（正常交互）

③active reconnaissance（主动侦察）

信息收集内容

• IP地址段

• 域名信息

• 邮件地址：定位目标邮件服务器，为后续进行社会工程学的攻击和探测

• 文档图片数据：公司人员，产品文档信息

• 公司地址：物理渗透

• 公司组织架构：对不同部门展开社会工程学

• 联系电话 / 传真号码

• 人员姓名 / 职务

• 目标系统使用的技术架构：搜索引擎和工具可以发现

• 公开的商业信息

信息用途

• 用信息描述目标

• 发现

• 社会工程学攻击

• 物理缺口

①DNS

域名：sina.com

FQDN（完全限定域名）:www.sina.com.

 

域名记录：

A（主机记录），C name（别名记录）

域名服务器地址是通过DNS的NS记录进行定义和注册的

域名SMTP服务器地址是通过DNS的MX记录（邮件交换）进行定义和注册的

ptr记录：通过IP地址反向解析域名

 

DNS解析过程：

命令：

①nslookup

直接输入域名，然后进行一步步的解析

参数：

set type=a（只查询主机记录）

set type=mx（只查询邮件交换记录）

set type=ns

set type=ptr

示例：

root@kali:~# nslookup

> www.sina.com

Server:     202.192.18.10

Address:    202.192.18.10#53

Non-authoritative answer:

Name:    www.sina.com

Address: 58.205.212.206

 

> set type=mx

> sina.com               

Server:       202.192.18.1

Address:    202.192.18.1#53

Non-authoritative answer:

sina.com    mail exchanger = 10freemx2.sinamail.sina.com.cn.

sina.com    mail exchanger = 10freemx3.sinamail.sina.com.cn.

sina.com    mail exchanger = 5freemx1.sinamail.sina.com.cn.

Authoritative answers can be found from:

sina.com    nameserver =ns4.sina.com.cn.

sina.com    nameserver = ns4.sina.com.

sina.com    nameserver = ns3.sina.com.

sina.com    nameserver = ns1.sina.com.

sina.com    nameserver = ns2.sina.com.

sina.com    nameserver =ns3.sina.com.cn.

sina.com    nameserver =ns2.sina.com.cn.

sina.com    nameserver =ns1.sina.com.cn.

ns1.sina.com    internet address =114.134.80.144

ns1.sina.com.cn    internet address =202.106.184.166

ns2.sina.com    internet address =114.134.80.145

ns2.sina.com.cn    internet address =61.172.201.254

ns3.sina.com    internet address =61.172.201.254

ns3.sina.com.cn    internet address =123.125.29.99

ns4.sina.com    internet address =123.125.29.99

ns4.sina.com.cn    internet address =121.14.1.22

 

> set type=a

> freemx2.sinamail.sina.com.cn.              

Server:       202.192.18.1

Address:    202.192.18.1#53

Non-authoritative answer:

Name:    freemx2.sinamail.sina.com.cn

Address: 180.149.134.158

 

更改dns服务器：server xxxx（IP地址）

智能dns：根据终端使用的dns不同，返回的解析IP地址也是不一样的

set type=any（所有记录都会被解析出来）

spf：反垃圾邮件

nslookup -type=any 163.com 114.114.114.114

-type=any //指定类型

163.com  //指定需要查询的域名

114.114.114.114 //指定dns服务器

 

DIG:功能远远强大于nslookup

命令格式：

dig any 163.com @8.8.8.8

any //指定dns查询类型

163.com //指定要查询的域名

@8.8.8.8 //指定dns服务器

建议进行dns解析域名查询时，建议使用不同的dns服务器进行查询

参数：

对输出结果筛选：

+noall 什么结果都不输出

+answer 查看结果

示例:root@kali:~# dig +noall +answer mail.163.com any | awk'{print $5}'

mail163.ntes53.netease.com.

反向查询：

-x //反向查询，ptr记录

bind版本信息：

dig +noall +answer txt chaos VERSION.BIND@ns3.dnsv4.com

txt //bind版本类型信息

chaos //类级别

建议隐藏bind版本信息

 

如何避免根域服务器，com服务器被劫持的情况？

dig追踪，不向dns服务器查询，直接访问根域服务器，com服务器

dig +trace www.sina.com

①13个.域根域服务器

②.com域

③sina.com

④www.sina.com

如果发生域名服务器被劫持的情况，其中一个域名服务器的IP地址一定是不正常的IP地址或名称，就可以发现某一级服务器被劫持

dns信息收集：

nslookup，dig查询已知域名，对已知域名信息进行查询，比如查询新浪下的主机记录，及对应IP地址，即可获取攻击面，根据面的软件版本，配置进行渗透设置

如果能知道目标系统中域的所有主机记录名称，是最关键，dns信息搜集最重要的

区域传输：

dns服务器之间有同步机制，当数据库发生变更时，会同步，正常情况下，区域传输只会发生在本域的域名服务器下，但有可能管理员粗心大意配置错误，会造成任何人都可以进行域名传输，任何人就可以获得所有的主机记录名称及对应IP地址

对目标服务器进行区域传输命令：

dig @ns1.example.com example.com axfr

@ns1.example.com：指定域名服务器

example.com：指定需要查询的主机记录

axfr：差异化传输

示例：

①dig sina.com ns //找到sina.com的域名服务器，随机挑选一个进行区域传输

②dig @ns2.sina.com sina.com axfr //失败后抓包查看

要注意：DNS域名查询是使用udp的53端口，但是进行区域传输连接的时候使用tcp的53端口

 

tcp连接完成之后还会进行一次dns查询，类型是axfr，而且使用的还是tcp的53端口

拒绝包：

另外一个命令实现：

host -T -l sina.com ns3.sina.com

-T：使用tcp传输方式

-l：进行axfr的区域传输

 

host命令：

参数：

-h //查看常用参数

-T //使用tcp传输方式

-l //进行axfr的区域传输

 

命令帮助手册：

①-h参数

②--help参数

③man+命令

④info+命令

 

字典爆破：

目标服务器不允许区域传输，如何获取更多的更多的主机记录信息呢？

最常用：字典爆破，把大量的常用主机记录存为一个字典，然后进行字典爆破，如果目标服务器存在该主机记录，便会返回主机记录及IP地址

字典：

①自己创建

②kali自带

命令：

①fierce -dnsserver 8.8.8.8 -dns sina.com.cn -wordlista.txt

dpkg 基于debian的包管理程序

-L fierce//指定查找fierce相关文件

②dnsdict6 -d4 -t 16 -x sina.com（速度快，）

参数：

-t //指定线程数，可并发

-x //指定使用什么自带字典

-d4 //使用ipv4地址

-D //指定使用具体字典

③dnsenum -f dnsbig.txt -dnsserver 8.8.8.8 sina.com -osina.xml(功能全面)

find / -name dnsenum

④dnsmap sina.com -w dns.txt

⑤dnsrecon -d sina.com --lifetime 10 -t brt -D dnsbig.txt

--lifetime 10 //指定超时时间

⑥dnsrecon -t std -d sina.com

注册信息：

DNS注册信息

• Whois

• whois -h whois.apnic.net 192.0.43.10

搜索引擎：

公司动态

重要雇员信息

机密文档、网络拓扑

用户名密码

目标系统软硬件技术架构

常见的搜索引擎：

①shodan：搜索联网的设备

原理：爬网，搜索banner信息

网站：https://www.shodan.io/

Banner： http、ftp、 ssh、 telnet

常见filter：

• net （192.168.20.1）

• city

• country（CN、 US）

• port（80、21、 22、 23）

• os

• Hostname（主机或域名）

示例：

net：8.8.8.0/24

country:CN city:beijing

该笔记为安全牛课堂学员笔记，想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证？

      牛妹先给大家介绍一下Security+

        Security+ 认证是一种中立第三方认证，其发证机构为美国计算机行业协会CompTIA ；是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一，和CISSP偏重信息安全管理相比，Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全，合规性和操作安全，威胁和漏洞，应用程序、数据和主机安全，访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易，含金量较高，目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因？  

       原因一：在所有信息安全认证当中，偏重信息安全技术的认证是空白的， Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP，但是无论CISP还是CISSP都是偏重信息安全管理的，技术知识讲的宽泛且浅显，考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上，CISP也要求大专学历4年以上工作经验，这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中，无论是找工作还是升职加薪，或是投标时候报人员，认证都是必不可少的，这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍，由于Security+偏重信息安全技术，所以对工作经验没有特别的要求。只要你有IT相关背景，追求进步就可以学习和考试。

       原因二： IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业，IT运维人员非常多，IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍，死亦写代码”的悲壮，但也有着“锄禾日当午，不如运维苦“的感慨。天天对着电脑和机器，时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识，掌握网络安全实践。职业发展朝着网络安全的方向发展，解决国内信息安全人才的匮乏问题。另外，即使不转型，要做好运维工作，学习安全知识取得安全认证也是必不可少的。

        原因三：接地气、国际范儿、考试方便、费用适中！

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下，人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的，相信Security+认证一定会成为最火爆的信息安全认证。