信息收集

2020.01.09 第四天

信息收集

概念

信息收集是指通过各种方式获取所需要的信息，以便我们在后续的渗透过程更好的进行。
信息收集主要是收集服务器的配置信息和网站的敏感信息，其中包括域名及子域名信息、目标网站系统，cms指纹、目标网站真实ip、开放的端 口等。

作用

1.了解组织安全架构

2.缩小攻击范围

3.描绘网络拓扑

4.建立脆弱点数据库

一句话:知己知彼，百战不殆。

信息收集内容

1. whois信息

whois值的试域名注册时留下的信息，比如留下管理员的名字、电话号码、邮箱。

• 在线查询whois网站：
  国外网站1：https://who.is/
  国外网站2：https://bgp.he.net/
  站长之家：http://whois.com.chinaz.com/
  爱站：https://whois.aizhan.com/
  微步：https://x.threatbook.cn/
  万网域名信息查询：https://whoisis.alyun.com/
  腾讯云域名信息查询：https://whois.doud.tencent.com

• 工具

kali whois

2. 子域名

子域名是在顶级域名下的域名，通常，一台服务器上有很多个站点，这些站点之间没有必然的联系，是相互独立的，使用的是不同的域名（甚至端口都不同），但是它们却共存在一台服务器上。
如果我们要对某一个站点进行直接渗透无法突破时，那么我们可以对同服务器的其他站点进行渗透，只要能打破一个缺口，就能沦陷服务区上的整个站点，甚至是一个集群。

• 搜索引擎

1. Google Hacking

使用语法

• 查找后台地址：site:域名
  inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms
• 查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
• 查找可注入点：site:域名 inurl:aspx|jsp|php|asp
• 查找上传漏洞：site:域名 inurl:file|load|editor|Files
• 查看脚本类型：site:域名 filetype:asp/aspx/php/jsp
• 迂回策略：inurl:cms/data/templates/images/index/
• 网络设备关键词：intext:WEB Management Interface for H3C SecPath Series
• 存在的数据库：site:域名 filetype:mdb|asp|#

2. FOFA网络空间资产搜索引擎

使用语法

• domain
  搜索所有子域名，如：domain=“qq.com”
• host
  搜索host内所有带有qq.com的域名: host=”qq.com”
• ip
  搜索ip相关信息：ip=“58.63.236.248”
  支持ip段搜索 ip=”111.1.1.1/16″ip=”111.1.1.1/24″
• title
  搜索包含“标题”的IP title=“标题”
• server
  例:Apache出来了一个高危漏洞,我们需要去统计全球的Apache server=”Apache”
• header
  例: header=”Hikvision”
• body
  body=”后台” && domain=”weibo.com”:与body=”后台” && domain=”weibo.com”
• port
  port!=”80″
• cert
  搜索证书(https或者imaps等) cert=”baidu”
• country
  搜索指定国家(编码)的资产例country=”CN”
• city
  搜索指定城市的资产例:city=”Shanghai”
• os
  例:搜索centos所有主机 os=”centos”

3. Shodan

Shodan与Google这种搜索网址的搜索引擎不同的是，Shodan使用来搜索网络空间中的设备的。

• hostname：搜索指定的主机或域名，例如 hostname:“google”
• port：搜索指定的端口或服务，例如 port:“21”
• country：搜索指定的国家，例如 country:“CN”
• city：搜索指定的城市，例如 city:“Hefei”
• org：搜索指定的组织或公司，例如 org:“google”
• isp：搜索指定的ISP供应商，例如 isp:“China Telecom”
• product：搜索指定的操作系统/软件/平台，例如product:“Apache httpd”
• version：搜索指定的软件版本，例如 version:“1.6.2”
• geo：搜索指定的地理位置，参数为经纬度，例如 geo:“31.8639, 117.2808”
• before/after：搜索指定收录时间前后的数据，格式为dd-mm-yy，例如 before:“11-11-15”
• net：搜索指定的IP地址或子网，例如 net:“210.45.240.0/24”

4. Zoomeye（钟馗之眼）

ZoomEye是一款针对网络空间的搜索引擎，收录了互联网空间中的设备、网站机器使用的服务或组件等信息。
搜索语法

• app:nginx　　组件名
• ver:1.0　　版本
• os:windows　　操作系统
• country:”China”　　国家
• city:”hangzhou”　　城市
• port:80　　端口
• hostname:google　　主机名
• site:thief.one　　网站域名
• desc:nmask　　描述
• keywords:nmask’blog　　关键词
• service:ftp　　服务类型
• ip:8.8.8.8　　ip地址
• cidr:8.8.8.8/24　　ip地址段

• 第三方服务

1. VirusTotal：https://www.virustotal.com/#/home/search
2. DNSdumpster：https://dnsdumpster.com/

3.DNS

• kali工具

1. DNSenum
   Dnsenum的目的是尽可能收集一个域的信息，它能够通过谷歌或者字典文件猜测可能存在的域名，并对一个网段进行反向查询。它不仅可以查询网站的主机地址信息、域名服务器和邮件交换记录，还可以在域名服务器上执行axfr请求，然后通过谷歌脚本得到扩展域名信息，提取子域名并查询，最后计算C类地址并执行whois查询，执行反向查询，把地址段写入文件。

使用命令：

• -enum <域名>：查询DNS信息
• –threads [number]：设置用户同时运行多个进程数
• -r:允许用户启用递归查询
• -d:允许用户设置whois请求之间时间延迟数
• -o:允许用户指定输出位置
• -w:允许用户启用whois请求

2. firece
   Fierce是一款IP、域名互查的DNS工具，可进行域传送漏洞检测、字典爆破子域名、反查IP段、反查指定域名上下一段IP，属于一款半轻量级的多线程信息收集用具。firece工具获取一个目标主机上所有IP地址和主机信息。

使用方法
fierce -dns <域名> （其他具体详细用法 -h 查看）

3. DMitry
   DMitry工具是用来查询IP或域名WHOIS信息的。使用该工具可以查询域名的注册商和过期日期等。

使用方法
dmitry -wnpb <域名>

4. Dnsmap
   Dnsmap主要用来收集信息和枚举DNS信息，信息收集面比较多。

使用方法
dnsmap <域名>

• Windows下子域名查询工具

1. subDomainsbrute
   subDomainsbrute工具用于二级域名收集，下载地址：https://github.com/lijiejie/subDomainsBrute
   解压后，给python安装 dnspython库 命令：pip install dnspython
   使用方法：在Windows命令行打开subDomainsbrute.py文件，后跟域名例：python subDomainsbrute.py 163.com

2. Layer子域名挖掘机
   图形化界面，使用简单，工具显示比较细致，有域名、解析ip、web服务器和网站状态。
   下载链接：https://pan.baidu.com/s/1AUYPqxKK6upNm_aFlv0U8g
   提取码：jc8x

4.基于SSL证书查询

查找一个域名证书的最简单方法是使用搜索引擎来收集计算机的CT日志，并让任何搜索引擎搜索它们。

1. https://crt.sh/
2. https://censys.io/
3. https://developers.facebook.com/tools/ct/
4. https://google.com/transparencyreport/https/ct/

5.旁站、C段信息收集

旁站：是和目标网站在同一台服务器上的其它的网站。
C端：是和目标服务器ip处在同一个C段的其它服务器。

• 在线查询地址：
  https://phpinfo.me/bing.php
  http://www.webscan.cc/

• C段扫描工具Router Scan
  Router Scan是一款路由器安全测试工具，可以指定IP段对路由器进行暴力破解等安全测试，支持多种TP-LINK、Huawei、Belkin、D-Link等各大品牌型号的路由器。
  官方下载地址：http://stascorp.com/load/1-1-0-56

6.IP信息收集

A记录解析到的不一定是真实ip地址，还有可能是cdn的地址。

1. 判断

使用多地ping，不同地方获得的ip不同就可以认为网站使用了cdn

2. 获取真实ip

• 二级域名法
  很多中小型网站并未在所有域名上使用cdn，而子域名与主站往往在同服务器或同c段。
  同服务器：修改host文件将目标域名绑定到同ip，如果可以正常打开则
  说明该ip为目标ip。

3. 历史纪录法
   查询历史记录，寻找网站使用cdn前解析到的ip。

4. 特殊服务法
   rss服务和mail服务经常会显示真实的服务器ip（有的大公司有自己的邮件服务器，一般和目标服务器在同c段）。

7.端口扫描

• nmap工具
  Nmap是一个网络连接端口扫描软件，用来扫描网上电脑开放的网络连接端口。（kaili自带的有，也可以在windows到官网上下载）

使用方法
nmap -sS -p 1-65535 -v 192.168.1.102

• -sS TCP SYN扫描
• -P 指定端口扫描
• -V 详细信息
• -sP 扫描一个段的存活IP

• 御剑高速tcp全端口扫描工具
  使用方法：在“域名框”直接输入需要扫描的域名即可。
  

8.网站框架探测

• 在线网站查询：
  1.云悉：http://www.yunsee.cn/info.html
  2.CMS指纹识别：http://whatweb.bugscaner.com/look/

• 工具查询：diesearch工具
  使用方法

python3 dirsearch.py -u “http://xxxx.xxx” -e php

下载地址 https://github.com/maurosoria/dirsearch

9.敏感文件、敏感目录探测

敏感文件、敏感目录大概有以下几种：

• Git
• hg/Mercurial
• svn/Subversion
• bzr/Bazaar
• Cvs
• WEB-INF泄露
• 备份文件泄露、配置文件泄露

1. Cansina
   Cansina是一款用于发现网站的敏感目录和内容的安全测试工具，通过分析服务器的响应进行探测并使用sqlite保证数据持久性。
   下载地址：
   https://github.com/deibit/cansina

2. Githack
   一个git泄露利用脚本。
   使用方法：

python githack.py http://XX.XX//.git/

下载地址：
https://github.com/lijiejie/GitHack

#####总结下
信息收集这块我感觉自己学的有点乱乱的，不知道工具收集的是什么，只是按照上课的内容照着来。这次就好好整理了一下思路，当然，内容并不完善，以后知道了更多方法就加进去，最主要的是把脑子里的东西要理顺了。