渗透测试之被动信息收集

被动信息收集:不与目标直接交互
1,公开渠道可获得的信息
2,与目标系统不产生交往
信息收集内容:IP地址段/域名信息/邮件地址/文档图片数据/公司地址/公司组织架构/联系电话,传真号码/人员姓名,职务/目标系统使用的技术架构/公开的商务信息
信息用途:用信息描述目标/发现/社会工程学/物理缺口
 
信息收集—DNS
域名解析成IP地址
域名与FQDN的关系:FQDN:完全限定域名,一条主机记录
域名记录:A,cname,NS,MX,PTR记录
PTR记录:通过IP地址去反向解析域名

DNS信息收集—NSLOOKUP:跨平台的命令,在windows下和linux下都可以使用
nslookup www.sina.com

server:指的是本地缓存DNS服务器的地址,由右面可以看出www.sina.com不是A记录,而且cname记录,无法显示其ip地址
再次解析,就可以得到服务器ip地址
 
手工nslookup查询类型:

Set type=A/type/MX/ptr或者使用set q=ptr
Server +ip地址:表示自己设置用来解析的DNS服务器

智能DNS:可以加快解析速度
如果选用美国的DNS服务器,那么返回的就是其在美国的服务器地址
如果选用中国的DNS服务器,那么返回的就是其在中国的服务器地址
Set type=any :查询任何类型数据
SPF记录,类型为text类型:反垃圾邮件,将Ip地址解析成域名,进行反向解析,判断是不是伪造的邮件进行域名欺骗,
或者直接使用:nslookup –type=any 163.com,此时用的是本地域名服务器
DNS信息收集—DIG
如:dig sina.com any @8.8.8.8 (类型为any,指定DNS服务器为8.8.8.8,也可以不指定)
Dig +noall +answer mail.163.com any :+noall表示不显示任何内容,+answer表示显示DNS回复信息
Dig进行反向域名解析:dig -x ip地址,查询的是PTR记录
Dig可以查询DNS服务器bind版本,
dig +noall +answer txt chaos VERSION.BIND @ns3.dnsv4.com
VERSION.BIND表示查询BIND版本,对应的类型是txt,记录的class类级别是chaos,@ns3.dnsv4.com表示为服务器域名
DIG对DNS追踪:dig+trace baidu.com
DNS区域传输:如果DNS服务器配置不当,那么就可以查询到配置信息
Dig @ns1.example.com(域名服务器) example.com(域) axfr(区域传输请求)
Host –T –l sina.com ns3.sina.com :-l指进行axfr全区域传输,-T启用TCP/IP模式

DNS字典爆破:是用字典去进行爆破,如果成功了,那么DNS服务器便会把其对应的ip地址返回,如何不成功便会返回错误信息
1:fierce –dnsserve 8.8.8.8 –dns sina.com.cn –wordlist a.txt(字典)
-dnsserve:指定DNS服务器
-dns:指定要查询的域
-wordlist:指定字典
默认的字典在/usr/share/fierce/hosts.txt,也会查询其子域爆破
Dpkg –i软件 :安装软件
Dpkg –L 软件:列出该包安装的位置
Dpkg –l 软件:显示包的版本
Dpkg –r 软件:移除软件(保留配置)
Dpkg –P 软件:移除软件(不保留配置)
Dpkg –s 软件:查找包的详细信息
 
2,dnsdict6 –d4 –t 16 –x sina.com,该软件需要自行下载
-t:指定线程数,其支持多并发,默认8线程,最大32线程
-d:显示Ipv6信息
4:显示Ipv4信息
-[smlx]:选择字典大小(其内置字典)
–s:小型50条
-m:中等796条
-l:大型1416条
-x:最大3211条
3,dnsenum –f dnsbig.txt –dnsserve 8.8.8.8 sina.com –o sina.xml
-f:指定字典,其默认字典在/usr/share/dnsenum/dns.txt,使用dpkg –L dnsenum可以查询到
-o:把执行结果导出到sina.xml文件中
-dnsserve:指定dns服务器
4:dnsmap sina.com -w dns.txt
-w:指定字典
5:dnsrecon –d sina.com –lifetime 10 –t brt –D dnsbig.txt
-d:指定域
-t:指定强度
-D:指定字典
 
DNS注册信息
Whois:
Whois –h
InterNic:对每个国家使用的ip的地址进行分配的组织
 
搜索引擎
公司新闻动态
重要雇员信息
机密文档/网络拓扑
用户名密码
目标名密码
目标系统软硬件技术架构
SHODAN
搜索联网的设备
Banner:http,ftp,ssh,telnet
https://www.shodan.io/
常见的filter:
Net+ip地址,比如在搜索框输入:net 8.8.8.8
City,
Country,
Port(80,21,22,23)
Os
Hostname(主机或域名)
Server
如:country:CN city:Beijing port:80 HTTP/1.1 200 os:”windows” hostname:baidu,com server: ”openssh或者apache”
在shodan搜索框输入:200 OK cisco country:JP(搜索国家是日本,思科设别,有200 Ok显示出来)
搜索:user:admin pass:password
 
GOOGLE搜索
1,+支付-充值:搜索含有支付这个关键字但没有充值关键字
2,用双引号括起来表示为一部分
3,北京的电子商务公司—北京intitle:电子商务intext:法人intext:电话
在谷歌里搜索:intitle:xxx表示查找在标题栏里有xxx的内容
Intext:xxx表示在页面内出现xxx的内容显示出来
4,阿里网站上的北京公司联系人—北京
site:Alibaba.com :网站是阿里巴巴的站点,
inurl:contact:搜索的站点是阿里巴巴,在URL中存在着contact联系人
Site:表示搜索的站点
Inurl:在url里存在的内容
5,塞班司法案的PDF文档—-SOX filetype:pdf
SOX:塞班司法案
Filetype:搜索文件类型是pdf类型
 
 
谷歌搜索实例:
inurl:”level/15/exec/-/show”:在url里存在此内容,为思科路由器打开http服务使用高等级15的信息
intitle:”netbotz appliance” ”ok”:在标题栏出现netbotz appliance和ok字符串,搜索机架式的摄像头
inurl:/admin/login.php:在url中存在/admin/login.php
inurl:qq.txt
filetype:xls “username | password”
inurl:ftp “password” filetype:xls site:baidu.com
inurl:service.pwd
 
http://exploit-db.com/google-dorks
 
YANDEX:世界第四大搜索引擎—–俄罗斯
http://www.yandex.com/
 
theharvester/metagoofil,命令行模式,其在kali中调用搜索引擎去完成大量高并发的搜索
Theharvester: -d:指定要搜索的域名
-b:指定搜索引擎,google,bing
-l:限制搜索的数量,以50个结果为单位
如:theharvester –d 163.com –l 200 –b bing
Tmux:可以实现分屏,横分,竖分,可以任意切换窗口
Metagoofil -d Microsoft.com –t pdf –l 200 –o test –f 1.html
-d:指定域
-t:在指定的域下面寻找pdf格式的文件
-l:限制搜索结果的多少,默认是200
-n:限制下载的数量
-o:显示工作目录
-f:输出文件
重点:Maltego:信息收集软件,全图形化界面
其他途径
社交网络
工商注册
新闻组/论坛
招聘网站
定期收集其他公司当前网站的信息:http://www.archive.org/web/web.php
个人专属的密码字典
按个人信息生成其专属的密码字典
CUPP—–common user password profiler:针对个人专属的密码字典的程序
Git clone https://github.com/Mebus/cupp.gt
运行:Python cup.py –I (-i:使用向导获取信息生成字典)
Metdate信息收集软件,提取照片的exif信息
Exif图片信息
Foca
Exiftool +照片 :可以查看照片信息
在KALI中右键查看属性,也能查看到信息
 
RECON-NG:
全特性的WEB侦察框架
基于python开发
Web信息搜索框架
命令格式和msf一致
使用方法:
模块,
数据库:默认集成数据库,
报告模块
在命令行输入:recon-ng就可以打开其框架
输入:help获取帮助命令,默认命令提示符为:[recon-ng][default] ,
使用back可以返回到默认目录
使用exit退出recon-ng
Recon-ng -r +文件名:执行文件里面的各种内容
-w:加载或者创作新的工作区
–no-check:不检查升级,直接使用
–no-analytice:不检查报告模块
例:recon –ng –w sina:创建新的工作区,名字叫新浪
在新的工作区,输入help查询可以使用的命令
输入workspaces双tab可以获取提示命令
Workspaces list:列出工作区
Keys list:列出网站的API
Key add 指定给谁的API API的值 :增加KEY值
Query;查询数据库,后面加数据库命令