信息搜集的方法,内容及常用工具
1.Whois
Whois是使用中域名的IP以及等互联网查询信息的传输协议。
可以获取关键注册人的信息,包括注册商、状态、邮箱、联系电话、域名注册服务器时间、域名使用时间、DNS等。
可以进行邮箱反查域名、社工、寻找旁站等。
在线工具:
Whois.com、站长之家、爱站网、WHOIS全球查询、病毒总数、阿里云
2.端口探测
一个端口就是一个潜在的通信通道,也就是一个入侵通道。对目标计算机进行端口扫描,能得到许多有用的信息。进行扫描的方法很多,可以是手工进行扫描,也可以用端口扫描软件进行。在手工进行扫描时,需要熟悉各种命令。对命令执行后的输出进行分析。用扫描软件进行扫描时,许多扫描器软件都有分析数据的功能。通过端口扫描,可以得到许多有用的信息,从而发现系统的安全漏洞。
常用工具: amp(更高,较慢)[kali(快,较慢]N)。
Nmap基本语法
nmap [ <扫描类型> ...] [ <选项> ] { <扫描目标说明> }j
全面扫描-P
Ping 扫描-s 确定主机是否在线
-v 显示扫描过程
-O检测主机功能
-p显示指定扫描过程
3.子域名
为什么需要进行子域名收集?
域名可以扩大范围,同一个域名下的验证子域名都属于相同的资产,有一定的联系。收集子域名可以发现更多渗透测试范围内的域名/子域名,来增加发现漏洞的机率;
1.征集子域名的方式:
枚举字典
频繁的域名攻击搜索,进行暴力破解,最终获得了比较大的域名,能够有效地到达多少范围内有多种类型的覆盖程度的安全,经济会造成的影响,即潜在的系统可能带来潜在的影响。
常用工具:
DNS-发现,域名搜索,超暴力,subDomainBrute,万能,DNSBrute
替换扫描
使用已知域子的排列组合来识别新的域/域子域,有一定的范围,准确率
常用的比较工具是altdns
域传送漏洞
DNS区域记录如果将DNS服务器名称传输到服务器名称的数据库过程中,从主名称服务器复制到辅助服务器的过程中,只要DNS服务器没有进行严格的配置,只要收到AXFR请求就进行域、漏洞或域。
# 1.nslookup命令进入交互式shell
$ nslookup
# 2.server命令 参数设定查询将要使用的DNS服务器
$ server xxx.com
# 3.如果漏洞存在的话,可以使用ls命令列出所有域名
$ ls
# 4.退出
$ exit
DNSSEC
SEC,域名安全扩展,方式是通过建立信任链来保护 DNS 中的数据并即所有主要处理功能和 DNS 域名。由于 DNSSEC 不存在 DNSSEC 域枚举中的域名
常用的工具:
ldns-walk
可以使用 apt-get 安装
apt-get install ldnsutils
nsec3walker
nsec3map
DNS缓存
在常见的企业网络中,配置DNS服务器,为网络内部的主机请求提供域名解析服务的方式。DNS服务器通常使用DNS服务器以外的域名解析,向域名公网的域名解析,用于域名解析。
2.被动子域名收集的方式:
信息化
抓包分析获取,比如一些静态资源的请求、一些APP或者小程序接口、邮件服务器等
corssdomain.xml跨站策略设置文件,主要是为web客户端(如Adobe Flash Player等)跨域处理数据的权限,里面可能包含部分域名信息。
搜索引擎
常用搜索引擎是谷歌,百度等。基础语法为:site:*.baidu.com
网络空间测绘引擎
常见引擎有 初段,佛法,钟馗之眼。
基础语法为:domain=Your_domain
透明证书
当通过HTTPS访问web时,网站向浏览器提供数字证书,此证书识别网站的主机名,用于由证书颁发机构CA授权。
透明证书(CT)是其证书颁发机构将发布的每个CA证书发布到公共日志的电子邮件项目等信息。SSL/TLS通常包含域名、子域名和地址。
常用证书透明查询网站
censys:https://censys.io/certificates
crtsh:https://crt.sh/
spyse:https://spyse.com/search/certificate
谷歌:https://developers.facebook.com/tools/ct
AS 号码查询
作为号码帮助识别属于组织的网络块,而该网络快还可能具有有效域
查找ASN
基于IP查找:https://asn.cymru.com/cgi-bin/whois.cgi
基于域名查找:https://bgp.he.net/
使用公共数据集
使用已有公开的扫描数据集,对子域名信息进行收集。
这些数据集都是比较大的,可以使用命令进行快速搜索
wget https://scans.io/data/rapid7/sonar.fdns_v2/20170417-fdns.json.gz
cat 20170417-fdns.json.gz | pigz -dc | grep ".Your_Target.org" | jq
4.旁站
是和目标网站在同一台服务器但开放在其他端口的网站。
常用工具有:
站长之家:同IP网站查询,同服务器网站查询 - 站长工具
谷歌语法
地址:https://www.google.com
语法:site:211.69.130.*
FOFA、Shodan
地址:https://fofa.so/
https://www.shodan.io/
语法:ip="211.69.130.0/24"
御剑高速端口扫描工具
Nmap、Masscan
nmap -p 80,443,8080 -Pn 211.69.130.0/24
masscan -p 80,443,8080 -Pn --rate=1000 211.69.130.0/24
5.C段
是和目标服务器ip处在同一个C段的其它服务器。
常用工具和旁站查询基本相同。
K8Cscan大型内网渗透自定义插件化扫描神器,包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用,程序采用多线程批量扫描大型内网多个IP段C段主机,目前插件包含: C段旁注扫描、子域名扫描、Ftp密码爆破、Mysql密码爆破、Oracle密码爆破、MSSQL密码爆破、Windows/Linux系统密码爆破、存活主机扫描、端口扫描、Web信息探测、操作系统版本探测、Cisco思科设备扫描等,支持调用任意外部程序或脚本,支持Cobalt Strike联动
下载地址:https://github.com/k8gege/K8CScan
6.目录扫描
发布网站时,服务器配置,引发问题打开,点燃目录浏览器的异常能量。
用扫描器扫描目录,这时候需要一本强大的字典。
主要扫网站的管理员入口,一些敏感文件(.mdb,.excel,.word,.zip,.rar)、压缩包源码、编辑器目录、废弃页面和其他站点。
常用的工具:
御剑、直接暴击、目录搜索、迪布、万维网扫描
御剑是国内第一后台扫描神器,适合小白使用
Dirmap
它是一个高级web目录扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑
7.指纹识别
CMS,寻找通杀漏洞,快速渗入目标。(这里的指纹识别,不是指人的指纹这种生物特征识别,而是指网站CMS指纹识别、计算机操作系统及web容器的指纹识别等。)常见CMS:Dedecms(织梦)、PageAdmin、Discuz、PHPWEB、PHPWind、PHPCMS、WCShop、Dvbbs、SiteWeaver、ASPCMS、帝国、Z-Blog、WordPress等。
常用工具:
在线指纹识别,潮汐指纹,微步社区,御剑。
【御剑web指纹识别系统】。
下载地址: https://www.webshell.cc/4697.html
8. 社会工程学收集
社会工程学收集的常见信息:姓名、性别、出生日期、身份、身份、身份、家庭住址、身份、身份、公安局、收货地址、活动范围、qq、手机号、邮箱、银行卡号(银行开户行)、支付宝、贴、百度、微博、猎聘、58、同城、网盘、微信、常用ID、学历(小/初/高/大学/)、目标性格详细分析、密码、照片EXIF信息。
常见获取信息系统:中航可信系统、春秋系统、12306系统、三大运营网站、全国人口基本信息资源库、全国航运/全国驾驶信息资源库、航运系统(包括越航)、航空出入境人员资源库、全国在逃人员信息资源库、企业相关系统、全国安全重点单位信息资源库等。
信息搜集结果的利用
Whois:
1.在社工库查询邮箱和手机号,若查到,可尝试登陆服务器商或域名商。
2.利用注册人电话,邮箱等信息通过自由拼接组合成针对网站的社工字典。最后利用字典进行爆破或社工钓鱼,也可用过邮箱和手机号反查找到更多注册域名。
3.DNS解析记录可以查ip,查NS、mx邮件交换记录。
4.MX记录是邮件服务交换记录,邮件服务经常搭建在目标办公网络,可以让快速我们定位目标核心区域并展开渗透。
常见的服务器端口漏洞:
21 =====》FTP爆破
22==》SSH弱权==后门
873 =====》Rsync 未授权访问漏洞
3306=====》Mysql弱口令
3389=====》Windows远程桌面Rdp暴力破解/远程桌面漏洞
6379=====》Redis 未授权访问漏洞/爆破弱密码
子域名
子域名可以扩大攻击范围,同一个域名下的二级域名都属于相同资产,一般而言都有相关的联系
旁站和C段
1.如果一台服务器通过其上的一个网站拿不下,可以从旁站入手,即同一服务器上的其他网站,最终也可拿下这台服务器。
2.很多系统并没有绑定域名,通过子域名能够获得的资产是有限的,这时候若想找到更多资产,可从C段入手。
目录利用
1.通过目录扫描可能找到后台登陆地址、敏感页面/文件等,工具差异性并不大,能否扫出重要的目录信息主要看字典。
2.通过接口收集可能找到一些敏感的页面或数据,从而直接发现漏洞或进一步利用。