信息收集介绍
关于信息收集分类
信息收集的方式可以分为两种:主动和被动。
主动的信息收集方式: 通过直接访问、扫描网站,这种将流量流经网站的行为。
被动的信息收集方式: 利用第三方暴露在外,主要是互联网的信息进行收集。
Google Hacking
什么是Google Hacking
Google、baidu、 bing等搜索引擎有许多搜索技巧。Google hacking是利用谷歌搜索引擎来查找黑客们想找到的信息。例如查找某人信息、网站后台,寻找网站代码中的相关配置和安全漏洞。
Google基本语法
site: thief.one将返回所有和这个站有关的URL。
inurl: 搜索我们指定的字符是否存在于URL中。
intitle: 将返回所有网页标题中包含关键词的网页。
intext: 将返回所有在网页正文部分包含关键词的网页。
cache: 搜索google里关于某些内容的缓存。
define: 搜索某个词语的定义。
filetype: 搜索指定的文件类型,如: .bak, .mdb, .inc等。
info: 查找指定站点的一-些基本信息。
Link: thief.one可以返回所有和thief.one做了链接的URL。
index of: 找目录遍历会用到
+ 强制包含某个字符进行查询
- 查询的时候忽略某个字符
" " 查询的时候精确匹配双引|号内的字符
. 匹配某单个字符进行查询
* 匹配任意字符进行查询
| 或者,多 个选择,只要有一个关键字匹配上即可
在操作符、冒号、搜索项之间没有空格
网络空间搜索引擎
网络空间搜索引擎
网络空间搜索弓|擎是对全球网络空间基础设施或网络设备进行扫描,并可以对指纹特征检索的平台。简单的说可以在上面对网络空间上的在线网络设备(联网设备)进行检索。例如服务器、路由器、交换机、公共IP的打印机、网络摄像头等等。它是通过打描全网设备并抓取解析各个设备返回的信息。
Shodan基本语法
hostname : 搜索指定的主机或域名,例如hostname : “google”
port: 搜索指定的端口或服务,例如port:"22”
country: 搜索指定的国家,例如country:"CN”
city: 搜索指定的城市,例如city: "Hangzhou”
org: 搜索指定的组织或公司,例如org:“google”
isp: 搜索指定的ISP供应商,例如isp :”China Telecom”product;
product: 搜索指定的操作系统/软件/平台,例如product:"Apache httpd ftp”
version: 搜索指定的软件版本,例如version:"1.5”
geo: 搜索指定的地理位置,例如geo: ”41.8126,114.1142”
before/ after:搜索指定收录时间前后的数据,格式为dd -mm-yy,例如before: ”10-10-10”
net: 搜索指定的IP地址或子网,例如net:"100. 100.220.0/24”
域名信息收集
Whois
Whois查询
WHOIS是用来查询域名或IP所有者信息的传输协议,基于TCP协议。它可以用来查询域名是否已经被注册,以及注册者的详细信息。
Whois查询工具
●kali下的whois命令
●https://whois.aizhan.com/
●https://whois.chinaz.com/
●https://x.threatbook.cn/
●https://who.is/
Whois查询作用
whois可以获得注册人的相关信息。对于中小型站点,域名所有者往往是IT运维人员。那么就可以根据获取的部分信息进行深入挖掘。
Whois查询注意
●whois得到的结果是域名托管商。
●查询时域名被屏蔽
备案信息查询
备案信息查询
ICP的英文全称为Internet Content Provider, 中文意思为网络内容服务商。
ICP备案可以说是网站备案或域名备案,具体是指网站在信息产业部提交网站信息进行官方认可。对国内各大小网站(包括企业及个人站点)的严格审查工作,对于没有合法备案的非经营性网站或没有取得ICP许可证的经营性网站,根据网站性质,将予以罚款,严重的关闭网站,以此规范网络安全,打击-切利用网络资源进行不法活动的犯罪行为。
●ICP备案查询: http://www.beianbeian.com/
●企查查:https://www.qichacha.com/
●天眼查: https://www.tianyancha.com/
国家法律法规规定网站需备案,可以根据备案信息获得域名的单位信息。在根据单位相关信息,找到更多的网络资产。
子域名信息收集
子域名可以让我们发现目标在互联网上更多的资产与服务,扩大攻击面,更易找到薄弱点。
子域名枚举
基于字典对子域名进行爆破枚举。
subDomainsBrute
subDomainsBrute可以高并发DNS暴力枚举,对子域名进行爆破,用小字典递归发现三到五级域名。
工具地址: https://github.com/ijejie/subDomainsBrute
第三方聚合应用
第三方服务汇聚了大量的DNS数据集,可以检索某个给定域名的子域名信息。
DNSdumpster: https://dnsdumpster.com/
VirusTotal: https://www.virustotal.com/#/home/search
Netcraft: https://searchdns.netcraft.com/
证书透明度介绍
授权机构(CA)是一个受信任的第三方组织, 负责发布和管理SSL/TLS证书,全球有数百个受信任的CA,他们中任何一一个都有权利为你的域名颁发有效的SSL证书。
证书透明度(CT)是为了防止证书授权机构(CA)或者其他恶意人员伪造服务器证书而诞生的一个项目。
CT会要求CA将数字证书(SSL/TLS证书)公开并发布将颁发记录同步到日志服务器中。而日志服务器则会提供给用户一个查找某域名颁发的所有数字证书途径。
数字证书中会包含子域名相关的信息
CT日志查询平台
●https://crt.sh
●https://censys.io
●https://google.com/transparencyreport/https/ct/
●https://developers.facebook.com/tools/ct/
CT日志缺陷
CT日志只能增加,不能减少,所以证书上的子域名可能是过期的状态,可以用过masdns.工具对域名可解析的识别。
CSP
网页安全政策(Content Security Policy,缩写CSP)。CSP的实质就是白名单制度,开发者明确告诉客户端,哪些外部资源可以加载和执行,等同于提供白名单。
DNS区域传送漏洞
一般DNS服务器会存在冗余备份, 而主备之间同步域数据库的操作,就是DNS区域传送(DNS zonetransfer).主服务 器对来请求的备用服务器未作访问控制,验证身份就做出相应故而出现这个漏洞。
Nslookup命令检测:
(1) nslookup -type=ns xxx.yyy.cn #查询解析此域名的dns服务器
(2) nslookup #进入交互
(3) server dns.xxx.yyy.cn #指定dns服务器
(4) Is xxx.yyy.cn #列出域信息
Dig命令检测:
(1) dig NS xx.yy.cn #查询解析该域名的DNS服务器
(2) dig @dns.xx.yyy.cn axfr xx.yyy.cn # @指定域名服务器; axfr 为域传送指令; xxx.edu.cn表示要查询的域名
sublist3r
Sublist3r使用许多搜索引擎(例如Google, Yahoo, Bing, Baidu和Ask) 枚举子域。使用Netcraft,Virustotal, ThreatCrowd, DNSdumpster和ReverseDNS枚举 子域。subbrute与Sublist3r集成在一 起,以增加使用具有改进的单词表的bruteforce查找更多子域的可能性。
服务器信息收集
获得服务器真实IP
CDN介绍
Content Delivery Network或Content Ddistribute Network,即内容分发网络。
CDN是将媒体资源,动静态图片(Flash) ,HTML, CSS, JS等等内容缓存到距离你更近的节点,从而让用户进行共享资源,实现缩减站点间的响应时间等等需求,提高用户访问的响应速度和成功率。解决因分布、带宽、服务器性能带来的访问延迟问题,适用于站点加速、点播、直播等场景。
目标IP信息收集
有些站可能会上CDN,那么我们就无法获得真实的IP地址。
判断是否存在CDN
使用站长工具的ping测试,会从许多节点去ping目标服务器,如果是不同IP地址可能上了CDN。注意对IP归属地进行解析。
子域名获得真实IP
大多数情况下,企业在互联网上的网站资产较多,不会对所有站点都使用CDN进行加速。那么我们可以从子域名入手,获得真实IP。
利用站点功能主动发起请求
网站中的注册或找回密码功能中会发送邮件验证,或者RSS订阅、邮件订阅等这些功能就会让服务器主动发起请求,我们可以获得对方服务器的IP地址。但大多数时候获取的是邮件服务器地址。
利用DNS记录
查询域名与IP的历史记录,可能会发现使用CDN之前的目标IP地址
●https://dnsdb.io/zh-cn/
●https://x.threatbook.cn/
●http://toolbar.netcraft.com/site_ report?url=
●http://viewdns.info/
●http://www.17ce.com/
●https://communty.riskiq.com/
●http://www.crimeflare.com/cfssI.html
利用冷门的DNS请求
某些CDN对国外的覆盖面不广,那么可以利用这种特性进行探测。使用国外的代理或DNS解析来查看IP。
利用某些漏洞,让服务器得到信息泄露,或者主动对我们发起请求,则可以获得域名真实IP。例如phpinfo, SSRF漏洞。
操作系统类型
什么是Nmap
Nmap可以检测目标主机是否在线、端口开放情况、侦测运行的服务类型及版本信息、侦测操作系统与设备类型等信息。它是网络管理 员必用的软件之一,用以评估网络系统安全。
操作系统类型判断
使用Nmap,你可以检测远程主机上运行的操作系统和版本。
Windows中不区分大小写,Linux中大小写敏感。
端口扫描
使用Nmap探测主机的端口开发情况 :nmap 192.168.3.12
主机服务信息
查找主机服务版本号 nmap -sV 192.168.3.12
Web应用架构
Web应用架构探测
对于具有Web应用的服务器,我们需要深入探测Web应用架构,包括Web中间件、服务端脚本语言、数据库、Web应用开发框架、Web应用指纹等等。
Web应用敏感信息
Web应用敏感信息
寻找Web应用的敏感目录、敏感文件、源码泄露。
wfuzz
wfuzz可以用在做参数的模糊测试,也可以用来做Web目录扫描等操作。
644
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
