6、信息收集（1）

一、信息收集总览

1. DNS（域名系统）
   提供域名与IP地址之间映射；大型企业网站运转核心。
   收集DNS信息的原因：
   • 确定企业网站运行规模；
   • 可以从DNS中收集子域名、ip等；
   • 控制网站解析。
2. 子域名
   类似mail.XXX,com。
   收集原因：
   • 确定企业网站运行数量，从而进行下一步（安全评估）准备；
   • 获得不同子域名所映射的IP，从而获得不同C段。
3. C段
   在32位IPv4地址中，前24位为网络号码，后8位为本地计算机的号码。
   收集原因：
   • 确定C段存活主机数量；
   • 确定C段中主机的端口、服务和操作系统等。
4. 邮箱
   收集原因：
   • 通过分析邮箱格式和后缀，可以得知邮箱命名规律和邮箱服务器；
   • 为爆破登录表单收集数据，可形成字典。
5. 指纹
   • web指纹：获取运行的脚本语言、开发框架、CMS，寻找脆弱点；
   • 中间件指纹：获取中间件使用的产品和版本；
   • 系统指纹：获取操作系统使用的产品和版本。

二、DNS信息查询

2.1 DNS基础

1、  域名系统（英文：Domain Name System，DNS）是因特网的一项服务，它作为将域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网。DNS 使用TCP和UDP端口53。

2、DNS中的几个记录：

• A记录：指定域名对应的IP地址。查询命令：nslookup www.sangfor.com.cn或者dig www.sangfor.com.cn
• AAAA记录：将域名解析到IPv6地址的DNS记录。
• NS记录：域名服务器记录，用来指定该域名由那个DNS服务器来进行解析。查询命令：dig -t NS www.163.com，其中-t指定查询的种类。
• TXT记录：一般指某个主机名或域名的说明。查询命令：dig -t TXT www.163.com
• MX（Mail Exchange）记录：邮件交换记录，它指向一个邮件服务器。查询命令：dig -t MX 163.com。

  MX记录用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。

• CNAME记录：CNAME记录可以讲注册的不同域名都转到一个域名记录上，由这个域名记录统一解析管理。查询命令：dig -t CNAME 163.com。

  CNMAE记录实现域名到域名的映射记录。

3、Whois查询
Whois查询域名的IP以及所有者等信息的传输协议，它通常采用的协议端口时TCP协议的43端口。

4、域名信息查询

• 17ce
• iana
• who.is
• cetnralops

2.2 实验

  目标：sangforedu.com.cn

  使用 whois 命令对该域名进行查询： whois sangforedu.com.cn。

  这里我们又发现一个新的域名：sangfor.com.cn，继续利用whois进行查询：

  其中比较重要的有邮箱、电话号码、姓名，在后期社会工程学攻击中可能有用。通过查询出的邮箱，在利用站长之家网站提供的几个域名反查工具进一步查询：

1、利用dig工具查询各类DNS的解析。

（1）直接查询域名：dig sangfor.com.cn （或者：dig @DNSServerIP domain）

（2）指向负责解析的DNS主机：dig sangfor.com.cn @8.8.8.8

（3）查询NS记录：dig sangfor.com.cn ns

（4）查询TXT记录：dig sangfor.com.cn txt

2、使用DNS子域名爆破工具，针对子域名进行爆破，同时解析出对应的IP地址。

  在github上查找subDomainsBrute工具。使用git clone命令将工具下载下来,并赋予"subDomainBrute.py"文件执行权限。

  使用命令：python3 subDomainsBrute.py --full -t 10 sangfor.com.cn -w

使用-w进行扩展扫描，增大命中概率。

  通过子域名的爆破，可以进一步明确企业网络资产（有哪些域名、域名对应什么系统、域名集中的C段地址等等），这是攻击者、防御者都需要时刻关注的方面。
扫描完成后，会在该工具同目录下，生成对应的文本文件，最终获取的子域名结果如下：

3、利用多地Ping工具，查看域名真实IP。

  一些站点为了能够让用户获得更好的体验与提高安全性，会采用CDN技术对网站进行加速，因此在使用nslookup等工具进行本地查询时，可能无法获取到网站的真实IP地址。这种情况下，通常采用多点ping对网站进行访问，查看解析结果的方式来确定是否使用CDN。

4、针对部分IP进行信息收集

  选取子域名爆破结果中多次出现的一个IP： whois 222.126.229.179

  查询出该地址所以段的相关信息，地理位置等信息，多个IP地址查询出的信息，进行交叉分析，可能会有较全面的信息内容。或者在网上采用IP地址反查，可能查出更多信息。

三、DNS域传输实验

原理

  DNS服务器分为：主服务器、备份服务器和缓存服务器。在主备服务器之间同步数据库，需要使用“DNS域传送”。域传送是指后备服务器从主服务器拷贝数据，并用得到的数据更新自身数据库。

  若DNS服务器配置不当，可能导致匿名用户获取某个域的所有记录。造成整个网络的拓扑结构泄露给潜在的攻击者，包括一些安全性较低的内部主机，如测试服务器。凭借这份网络蓝图，攻击者可以节省很少的扫描时间。

  大的互联网厂商通常将内部网络与外部互联网隔离开，一个重要的手段是使用Private DNS。如果内部DNS泄露，将造成极大的安全风险。风险控制不当甚至造成整个内部网络沦陷。

靶机：/vulhub-master/dns/dns-zone-transfer
启动命令：docker-compose up -d
docker中查看容器是否启动：docker ps

方法一

攻击机：dig @192.168.0.161 -t axfr vulhub.org

@192.168.0.161 表示指定域名解析服务器，即DNS服务器
-t axfr 表示请求类型（type）为axfr，即表示域传输请求类型
vulhub.org 表示请求的域名

  发送域传输请求后，得到了关于vulhub.org域名下所有的域名信息，证明域传输漏洞是存在。

方法二

  通过nmap扫描脚本，对vulhub.org域名进行域传输测试。命令如下：nmap --script dns-zone-transfer.nse --script-args "dns-zone-transfer.domain=vulhub.org" -Pn -p 53 192.168.0.161

• --script dns-zone-transfer.nse表示使用域传输检测脚本dns-zone-transfer.nse;
• -script-args "dns-zone-transfer.domain=vulhub.org" 配置脚本的参数，即目标域名vulhub.org;
• -Pn表示进行ping测试;
• -p 53表示指定端口，此处为53号端口。

  测试结果，与测试一结果相同，即证明域传输漏洞是存在。

四、子域名挖掘

挖掘方式：

• 爆破：通过字典匹配枚举存在的域名。
  • kali：subDomainBrute、dnsmap。
  • windows：fuzzDomain、子域名挖掘机。
• google hack
  工具：theharvester、aquatone。

  -www表示搜索结果中，去掉包含www字符串的结果。

• DNS域传送
  DNS域传送指的是一台备用服务器使用来自主服务器的数据刷新自己的域数据库。许多DNS服务器会被错误的设置成只要有client发出请求，就会向对方提供一个域数据库的详细信息。
  
• 在线网站
  • www.virtustotal.com
  • dnsdumpster.com
  • tool.chinaz.com

五、C段扫描

1、nmap

  命令：nmap –sn –PE -n 192.168.0.0/24 –oX out.xml

-sn：表示不扫描端口；
-PE：表示ICMP 扫描；
-n：表示不进行dns解析。

  查看保存路径下，已输出指定文件，文件中保存了扫描的结果。

2、masscan

  masscanC段探测命令：masscan –p 80 ip/24 --rate 10000 -oL output.txt

-p：设置端口
--rate：发包速率
-oL：输出位置

  通过vim工具，查看扫描的完整结果。
  从图中可见，当前C段中，80端口开放的主机，共计有13台主机，其中192.168.0.69主机，为我们实验当中的靶机。

3、Masscan和Nmap工具结合

  一般情况下，可以先使用masscan对目标IP(通常是一个网段)进行全端口扫描，然后再用nmap对存活主机的开放端口进行扫描，找出对应端口服务存在的漏洞。使用masscan对IP进行扫描的原因就是因为其速度快于nmap。