目录
3.1 被动信息收集
3.1.1 被动信息收集概述和目的
信息收集的方式可以分为两种:被动和主动。
被动信息收集方式是指利用第三方的服务对目标进行访问了解,比例:Google搜索。
主动的信息收集方式:通过直接访问、扫描网站,这种将流量流经网站的行为。比如:nmap扫描端口。
被动信息收集的目的:通过公开渠道,去获得目标主机的信息,从而不与目标系统直接交互,避免留下痕迹。
3.1.2 信息收集内容
1. IP地址段
2. 域名信息
3. 邮件地址
4. 文档图片数据
5. 公司地址
6. 公司组织架构
7. 联系电话 / 传真号码
8. 人员姓名 / 职务
9. 目标系统使⽤的技术架构
10. 公开的商业信息
3.1.3 信息用途
1. 信息描述目标
2. 发现目标
3. 社会工程学攻击
4. 物理缺口
3.2 通过DNS收集信息
3.2.1 DNS服务概述
1、 DNS 服务器概述:
DNS(Domain Name Server,域名服务器)是进行域名(domain name)和与之相对应的IP地址 (IP address)转换的服务器。DNS服务器分为根域DNS服务器、顶级域名DNS服务器。根域DNS服务器有13个,都存储了全部的顶级域名服务器的所在地址;
登录:https://wanwang.aliyun.com/ 买域名绑定到你的云主机上
2、DNS查询过程
一个DNS查询过程,通过8个步骤的解析过程就使得客户端可以顺利访问www.163.com 这个域名,但实际应用中,通常这个过程是非常迅速的,如图 3-1 所示。
图 3-1 DNS查询过程示意图
DNS查询过程
1) 浏览器缓存:当用户通过浏览器访问某域名时,浏览器首先会在自己的缓存中查找是否有该域名对应的IP地址(若曾经访问过该域名且没有清空缓存便存在);
2) 系统缓存:当浏览器缓存中无域名对应IP则会自动检查用户计算机系统Hosts文件DNS缓存是否有该域名对应IP;
3) 路由器缓存:当浏览器及系统缓存中均无域名对应IP则进入路由器缓存中检查,以上三步均为客户端的DNS缓存;
4) ISP(互联网服务提供商)DNS缓存(一般就是本地DNS服务器):当在用户客户端查找不到域名对应IP地址,则将进入ISP DNS缓存中进行查询。比如你用的是电信的网络,则会进入电信的DNS缓存服务器中进行查找;
5) 根域名服务器:当以上均未完成,则进入根服务器进行查询。全球仅有13台根域名服务器,1个主根域名服务器,其余12为辅根域名服务器。根域名收到请求后会查看区域文件记录,若无则将其管辖范围内顶级域名(如.com)服务器IP告诉本地DNS服务器;
6) 顶级域名服务器:顶级域名服务器收到请求后查看区域文件记录,若无则将其管辖范围内主域名服务器的IP地址告诉本地DNS服务器;
7) 主域名服务器:主域名服务器接受到请求后查询自己的缓存,如果没有则进入下一级域名服务器进行查找,并重复该步骤直至找到正确纪录;
8)保存结果至缓存:本地域名服务器把返回的结果保存到缓存,以备下一次使用,同时将该结果反馈给客户端,客户端通过这个IP地址与web服务器建立链接。
3、DNS查询方式: 递归查询和迭代查询
(1)、主机向本地域名服务器的查询一般都是采用递归查询。
(2)、本地域名服务器向根域名服务器的查询的迭代查询。
递归:客户端只发一次请求,要求对方给出最终结果。
迭代:客户端发出一次请求,对方如果没有授权回答,它就会返回一个能解答这个查询的其它名称服务器列表,客户端会再向返回的列表中发出请求,直到找到最终负责所查域名的名称服务器,从它得到最终结果。
3.2.2 DNS信息收集
ctrl+shift++ 终端字体放大
ctrl+ - 终端字体缩小
1、将域名解析为IP地址
┌──(root���xuegod53)-[~]
└─# ping 12306.cn
PING 12306.cn.wsglb0.com (103.254.188.41) 56(84) bytes of data.
64 bytes from 103.254.188.41 (103.254.188.41): icmp_seq=1 ttl=57 time=5.78 ms
64 bytes from 103.254.188.41 (103.254.188.41): icmp_seq=2 ttl=57 time=7.25 ms
64 bytes from 103.254.188.41 (103.254.188.41): icmp_seq=3 ttl=57 time=5.67 ms
2、使用nslookup查看域名
└─# nslookup 12306.cn
Server: 114.114.114.114 #DNS服务器
Address: 114.114.114.114#53 #DNS服务器地址
Non-authoritative answer: #非权威性回答
12306.cn canonical name = 12306.cn.wsglb0.com. #12306.cn域名的别名
Name: 12306.cn.wsglb0.com
Address: 103.254.188.41 #12306.cn解析出来的IP
例2:查看百度
Server: 114.114.114.114
Address: 114.114.114.114#53
Non-authoritative answer:
www.baidu.com canonical name = www.a.shifen.com.
Name: www.a.shifen.com
Address: 220.181.38.149
Name: www.a.shifen.com 是www.baidu.com的域名别名
Address: 220.181.38.150
3.2.3 DNS信息收集-DIG
语法: dig (选项) 需要查询的域名
@<DNS服务器地址>: 指定进行域名解析的域名服务器;
any #显示所有类型的域名记录。默认只显示A记录
┌──(root���xuegod53)-[~]
└─# dig 12306.cn
└─# dig @114.114.114.114 12306.cn
└─# dig @114.114.114.114 12306.cn any #any表示查询所有
┌──(root���xuegod53)-[~]
└─# dig @114.114.114.114 12306.cn any
; <<>> DiG 9.16.11-Debian <<>> @114.114.114.114 12306.cn any
; (1 server found)
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3200
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;12306.cn. IN ANY
;; ANSWER SECTION:
12306.cn. 2846 IN CNAME 12306.cn.wsglb0.com.
12306.cn. 907 IN NS dns1.zdnscloud.info.
12306.cn. 907 IN NS ins1.zdnscloud.com.
12306.cn. 907 IN NS cns1.zdnscloud.net.
12306.cn. 907 IN NS vns1.zdnscloud.biz.
12306.cn. 70214 IN MX 10 mail.12306.cn.
注:zdnscloud.com 这是一个什么网站?
使用-x参数IP反查域名
└─# dig -x 114.114.114.114
注:114.114.114.114反向解析为public1.114dns.com
└─# ping public1.114dns.com
PING public1.114dns.com (114.114.114.114)
3.2.4 查询网站的域名注册信息和备案信息
1、域名注册信息的两种查询方式,Web接口查询和Whois命令查询
(1)、通过Web接口查询:
这里只是举例2个其实有很多。
阿里云:https://whois.aliyun.com/
站长之家:http://whois.chinaz.com/
(2)、Whois命令查询
┌──(root���xuegod53)-[~]
└─# whois 12306.cn
Domain Name: 12306.cn
ROID: 20030310s10001s00012731-cn
Domain Status: serverDeleteProhibited
Domain Status: serverUpdateProhibited
Domain Status: serverTransferProhibited
Registrant: 中国铁道科学研究院集团有限公司
Registrant Contact Email: 13501238352@139.com
Sponsoring Registrar: 北京中科三方网络技术有限公司
Name Server: cns1.zdnscloud.net
Name Server: dns1.zdnscloud.info
Name Server: ins1.zdnscloud.com
Name Server: vns1.zdnscloud.biz
Registration Time: 2003-03-10 18:50:16
Expiration Time: 2029-01-13 14:16:31
DNSSEC: unsigned
2、备案信息查询
(1)、Web接口查询:
ICP备案查询 - 站长工具 或 域名备案查询_icp备案查询_网站备案查询_爱站网
例:
┌──(root���xuegod53)-[~]
└─# nslookup 12306.cn
Server: 114.114.114.114
Address: 114.114.114.114#53
Non-authoritative answer:
12306.cn canonical name = 12306.cn.wsglb0.com.
Name: 12306.cn.wsglb0.com
Address: 103.254.188.41
访问:12306.cn.wsglb0.com 打不开,这是网站是什么? 是12306公司的网站吗?
查看ICP备案信息:
打开ICP备案查询 - 站长工具 或域名备案查询_icp备案查询_网站备案查询_爱站网 查找:wsglb0.com
</
注:到这里,大家可以看出来12306.cn.wsglb0.com是网宿公司的网站。
12306和网宿两个公司有什么关系?网宿这个公司是做什么的?
在百度上搜索: 网宿科技股份有限公司
网宿公司是专业做CDN网站加速的一个公司。
从收集的信息可以看出12306买了网宿CDN网站加速服务。
搞两台机器:北京和香港的,ping一下12306。
说明:CDN加速生效了。
域名备案查询_icp备案查询_网站备案查询_爱站网 收集信息比较多。
phpinfo.me在ICP备案查询 - 站长工具查看不到信息
https://www.tianyancha.com/
在这里可以进一步查看企业的一些信息。
通过https://beian.miit.gov.cn/ 查找域名12306.cn的备案信息。
通过备案号 京ICP备05020493号-4 进行查询。
去掉 备案号中的-4再次查询。
使用主办单位名称查询:中国铁道科学研究院集团有限公司
结果和备案号查询到的结果一致,该企业一共注册了4个域名,接下来挖掘对应的子域名资产即可。
3.3 收集子域名信息
3.3.1 子域名介绍
顶级域名是域名的最后一个部分,即是域名最后一点之后的字母,例如在http://example.com这个域名中,顶级域是.com(或.COM),大小写视为相同。
常见的顶级域主要分2类:
1、通用顶级类别域名常见的有:用于工商金融企业的.com;用于教育机构的.edu;用于政府部门的.gov;用于互联网络信息中心和运行中心的.net;用于非盈利组织的.org。
2、国家及地区顶级域,如".cn"代表中国,".uk"代表英国等,地理顶级域名一般由各个国家或地区负责管理。.jp代表什么?
子域名(Subdomain Name),凡顶级域名前加前缀的都是该顶级域名的子域名,而子域名根据技术的多少分为二级子域名,三级子域名以及多级子域名。
3.3.2 挖掘子域名的重要性
子域名是某个主域的二级域名或者多级域名,在防御措施严密情况下无法直接拿下主域,那么就可以采用迂回战术拿下子域名,然后无限靠近主域。
例如:www.xxxxx.com 主域不存在漏洞,并且防护措施严密。而二级域名 edu.xxxxx.com存在漏洞,并且防护措施松散。
1. 搜索引擎挖掘 如: 在Google中输入 site:qq.com
2. 第三方网站查询:http://tool.chinaz.com/subdomain、https://dnsdumpster.com/
3. 证书透明度公开日志枚举:https://crt.sh/
4. 其他途径:https://phpinfo.me/domain
使用这个:https://phpinfo.me/domain 效果比较好
5. 子域名挖掘工具 :Layer子域名挖掘机。
3.3.3 使用Layer子域名挖掘机进行子域名挖掘
Layer子域名挖掘机是一款域名查询工具,可提供网站子域名查询服务。拥有简洁的界面、简单的操作模式,支持服务接口、暴力搜索、同服挖掘三种模式,支持打开网站、复制域名、复制IP、复制CDN、导出域名、导出IP、导出域名+IP、导出域名+IP+WEB服务器以及导出存活网站。
启动Layer,在win10下运行Layer
Layer需要 .NET环境支持,如提示:
安装下课程资料中的dotNetFx40_Full_x86_x64.exe,安装完再次点击Layer.exe就可以正常启动了。
在域名右侧的文本框输入想要搜索的域名,比如ke.qq.com
如果要使用自定义字典,请把字典文件命名为dic.txt,放到跟程序同目录下,程序会自动加载字典。
如果没有自定义字典,程序会自动使用内置字典,内置字典总共175万多条数据,内容包括了常用子域名,以及3000+常用单词和1-3位所有字母。
如果要爆破二级以下域名,可以直接填入要爆破的子域名,程序会自动拼接下一级子域。比如填入ke.baidu.com,程序会爆破 .ke.baidu.com下面的域名。
其他配置默认,直接点击启动
稍等一会,开始进行暴力搜索子域名
接下来是一个漫长的等待过程。
从已收集到的子域名,可以查看80和443端口的开放状态、WEB服务器和网站状态。
点击某个标题栏可以进行排序显示
右键单击某个域名可以打开网站、复制域名、复制IP
点击复制所选项,可以把选中的该域名的所有信息复制出来。
域名 解析IP 开放端口 WEB服务器 网站状态
scf.ke.qq.com 139.199.91.163 80,443 nginx 80:The remote server returned an error: (404) Not Found.
点击 导出域名 可以导出所有暴出的域名。
3.4 使用资产检索FOFA搜索引擎收集信息
3.4.1 FOFA介绍
FOFA是一款非常强大的搜索引擎,FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA信息。探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。相对于shodan来说FOFA的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。
3.4.2 FOFA基础语法
详细语法规则请参考FOFA官网https://FOFA.so/,以下仅以实战角度出发总结常用语法。
常用语法如下:
1. title网站标题
title="beijing" 从标题中搜索“北京”
例如我们要搜索title中包含学神教育的资产。
title="学神教育"
获取到1条独立IP的资产。但是有3条记录。
www.12306.cn xuegod.cn 101.200.128.35 这三条记录对应的都是同一台服务器。
2. body页面内容
body可以通过页面中包含的特定字符串来搜索资产。
body="WELCOME TO XUEGOD"
同样可以通过body定位到学神资产。
3. domain域名
搜索域名中包含xuegod.cn的资产,此方法相当于子域名的搜索。
domain="xuegod.cn"
共4条记录3条独立ip
www.xuegod.cn xuegod.cn
shop.xuegod.cn
bbs.xuegod.cn
3.4.3 实战-FOFA根据地区搜索
country="CN" 搜索指定国家(编码)的资产。
region="Xinjiang" 搜索指定行政区的资产 。 [ˈriːdʒən] 区域
city="beijing" 搜索指定城市的资产。
排除地区方法使用 !=
例如在通过domain搜索资产的时候会有香港的服务器,那如何排除香港的服务器?
domain="xuegod.cn" && region!="HK"
通过语法组合进行筛选,&&表示左右2个条件都需要满足,左边条件为包含xuegod.cn域名的资产,右边条件则为地区不等于HK,HK表示香港。这样就能够帮我们定位到不包含香港服务器的资产。
通过组合条件使搜索更加精准
(domain="xuegod.cn" && region!="HK") && body="WELCOME TO XUEGOD"
搜索xuegod.cn域名排除香港的资产列表,并且body中包含WELCOME TO XUEGOD
这样我们可以精准定位到xuegod官网,虽然看起来有些多余,但是在实战中我们搜索资产的时候会有很多意外符合条件的资产被我们搜索到,所以多个条件组合可以帮我们把搜索结果筛选的更加准确。
3.4.4 实战-FOFA通过icon图标搜索资产
icon是网站的图标也就是每个网站title上显示的图片
例如小米官网:小米官网 - Xiaomi 13系列,Xiaomi Mix Fold 2,MIUI14,小米徕卡影像大赛
拷贝link address
下载保存icon图片
https://s01.mifile.cn/favicon.ico
FOFA搜索可以将下载的文件直接拖进来。
FOFA会自动计算icon的hash值,然后通过hash值进行搜索资产。
icon_hash="-472588776"
通过icon可以搜索到所有使用了相同icon的站点,但是需要注意的是这个文件任何网站都可以使用,所以会有非小米官方的资产被收集到。并且小米前一阵子更换了新的icon,所以一定会有旧的资产没有更换为新的icon,所以大家掌握方法的时候也需要把实际问题带入进来,思考如何解决。
3.4.5 实战-FOFA通过JavaScript文件查询
通过页面中包含的js文件进行查询定位,比如xuegod官网,使用Chrome浏览器访问:www.12306.cn,右键空白处查看源代码。
FOFA语法:
js_name="./script/core/lib/require.js"
这种使用方法和body实际使用起来类似。但是通过js_name搜索到的内容比body少很多。
body="./script/core/lib/require.js"
3.4.6 实战-通过使用FOFA规则列表搜索CMS资产
例如:搜索使用了CMS框架的网站
点击后自动调用FOFA语法:app="友点建站-CMS"
这样全网使用“友点建站-CMS”的资产全部被搜索出来。
有时我们搜索产品的时候可能需要指定对应的版本号进行搜索,但是fofa内置的应用规则中绝大部分是不支持指定版本号进行搜索的,此时可以通过提取页面中的特征来进行定位。
例如:discuz论坛 选择Tencent-discuz
app="Tencent-Discuz"
现在确定Discuz! x3.4版本存在sql注入漏洞,如何定位Discuz! x3.4版本的资产?
在论坛首页中,查看源代码可以看到对应的版本信息。页面中的信息我们可以通过body参数检索。
<meta name="generator" content="Discuz! X3.4" />
<meta name="author" content="Discuz! Team and Comsenz UI Team" />
<meta name="copyright" content="2001-2021 Tencent Cloud." />
构造搜索条件:app="Tencent-Discuz" && body="Discuz! X3.4"
搜索中国台湾地区所有的Discuz! X3.4论坛
app="Tencent-Discuz" && body="Discuz! X3.4"&& region="TW"
fofa也可以查看网络摄像头。如下,大家感兴趣,可以查看一下。 所以大家买的摄像头,一定要修改一下默认密码。
3.5 ARL资产侦察灯塔系统搭建及使用
3.5.1 资产侦察灯塔系统简介
1、简介
ARL(Asset Reconnaissance Lighthouse)资产侦查灯塔旨在快速发现并整理企业外网资产并为资产构建基础数据库,无需登录凭证或特殊访问即可主动发现并识别资产,让甲方安全团队或者渗透测试人员快速寻找到指定企业资产中的脆弱点,降低资产被威胁利用的可能性并规避可能带来的不利影响。
2、产品架构
资产梳理的路径会根据输入的数据进行变动与调整。如输入数据为基于域名时,采用的技术手段包括DNS枚举、智能域名生成枚举、第三方API服务来获取子域名,随后将域名解析为IP(当输入数据基于IP时,可直接进入后续阶段),既是对IP进行端口扫描、服务识别、系统识别、站点识别和WEB指纹识别,同时爬取站点URL,并对首页进行截图,完成资产发现。
当通过域名或是IP识别出对应的安全应用后,便可将其与鱼鹰(Osprey)poc漏洞检测框架、通用漏洞扫描(CRS)、漏洞预警系统(VAS)和漏洞盒子相关联,快速准确识别资产威胁,降低资产风险。
Osprey [ˈɒspreɪ] 鱼鹰
3.5.2 资产侦察灯塔系统搭建
1、系统要求
目前暂不支持Windows,Linux和MAC建议采用Docker运行,系统配置最低2核4G。
由于自动资产发现过程中会有大量的的发包,建议采用云服务器可以带来更好的体验。
实验环境:
系统:centos7.6,主机名:xuegod63,IP地址:192.168.1.63
2、资产侦察灯塔系统搭建
1)、部署 docker 容器虚拟化平台
安装 docker 环境依赖
[root@xuegod63 ~]# yum install -y yum-utils device-mapper-persistent-data lvm2
配置国内 docker 的 yum 源(阿里云)
[root@xuegod63 ~]# yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo
安装epel扩展仓库
[root@xuegod63 ~]# yum -y install epel-release
安装 docker-ce和docker-compose
[root@xuegod63 ~]# yum install docker-ce docker-ce-cli containerd.io docker-compose -y
注:
docker-ce-cli 作用是 docker 命令行工具包
containerd.io 作用是容器接口相关包
Compose 是用于定义和运行多容器 Docker 应用程序的工具。通过 Compose,您可以使用 YML 文件来配置应用程序需要的所有服务。然后,使用一个命令,就可以从 YML 文件配置中创建并启动所有服务。
启动docker并设置开机自启动
[root@xuegod63 ~]# systemctl start docker && systemctl enable docker
[root@xuegod63 ~]# docker version #显示 Docker 版本信息
可以正常查看docker版本信息,说明docker部署没有问题。
使用阿里云 docker 镜像加速器,提升 pull 的速度
创建配置文件 daemon.json
[root@xuegod63 ~]# vim /etc/docker/daemon.json #需要手劢创建 daemon.json 文件。 写入以下内容
{
"registry-mirrors": ["https://e9yneuy4.mirror.aliyuncs.com"]
}
[root@xuegod63 ~]# systemctl daemon-reload
[root@xuegod63 ~]# systemctl restart docker
[root@xuegod63 ~]# docker info
可以看到镜像仓库的地址,已经改为阿里云
2)、资产侦察灯塔系统部署
拉取镜像
[root@xuegod63 ~]# docker pull tophant/arl
docker-compose 启动
[root@xuegod63 ~]# git clone https://github.com/TophantTechnology/ARL
[root@xuegod63 ~]# cd ARL/docker/
[root@xuegod63 ~]# docker-compose up -d
根据报错提示,我们执行:
[root@xuegod63 ~]# docker volume create --name=arl_db
再次执行 docker-compose
[root@xuegod63 ~]# docker-compose up -d
查看是否运行正常
[root@xuegod63 ~]# docker-compose ps
打开谷歌浏览器,访问:https://192.168.1.63:5003/ 注:如果打不开,把防火墙关一下
使用默认账号:admin,密码:arlpass登录
3.5.3 资产侦察灯塔系统的使用
1、资产分组
资产分组功能用于整合资产范围内的域名资产到资产组中,用户也可以对资产组范围内的资产进行监控,实时监控新增资产。
新建资产组,可以通过批量导入的方式将资产范围内的域名资产添加到资产组中,一个资产组中可以包含多个域名信息。
广田集团
szgt.com
www.szgt.com
添加监控任务
通过指定资产组,和添加监控任务操作,可以下发域名资产的监控任务到ARL中,后台将会根据运行间隔对监控任务内的资产进行扫描,用于发现监控新增的资产。
选择要监控的域名,设置运行的时间间隔。
注:先不选择策略,这样会使用默认的策略。 稍候,我也可以自已定制策略。
运行间隔时间不能小于6个小时
添加成功后,点击资产监控可以查看到所有的监控任务。
通过资产分组中的添加监控任务之后,资产监控中将会展示正在运行的监控任务,运行的次数,运行间隔等信息,用户也可以通过资产组范围ID来检索监控范围内的相关资产内容。
在任务管理中也会添加监控任务。
2、新建策略
通过创建不同的策略,可以对资产进行不同方案的扫描,可以针对不同类型的资产,根据资产的功能创建指定的策略。
创建策略前,先点一下更新PoC。这样有更新脚本,可以让我们使用。
PoC概述: Proof Of Concept的缩写。在渗透圈指:观点验证程序。就是运行这个程序就可以得出预期的结果,也就验证了观点。 Proof [pruːf] 证明 ; Concept [ˈkɒnsept] 观念
更新后,增加的内容:
设置策略的名称:子域名收集 , 策略描述: 对目标网站进行子域名收集 。
1)域名和IP配置
域名爆破类型:选择对域名爆破的字典
大字典:常用2万字典大小;
测试:少数几个字典,常用于测试功能是否正常。
测试:少数几个端口
TOP1000:常用top 1000端口
TOP100:常用top 100端口
全部端口:所有端口1-65535
域名爆破:是否开启域名爆破
DNS字典智能生成:根据已有的域名生成字典进行爆破
Riskiq 调用:利用RiskIQ API进行查询域名。RiskIQ公司:主要想企业提供恶意软件安全监控服务,让客户能够随时发现和处理恶意软件、恶意广告和恶意APP。
RiskIQ通过全球代理网络每天持续扫描数以千万计的网站,随时向客户报告异常情况。据悉美国前十大金融机构中有八家都适用RiskIQ追踪监控企业web和移动应用资产。
ARL 历史查询:对arl历史任务结果进行查询用于本次任务
crt.sh 调用:利用crt.sh网API,进行子域名发现。https://crt.sh/查询域名,证书信息的网站
端口扫描:是否开启端口扫描,不开启站点会默认探测80,443
服务识别:是否进行服务识别,有可能会被防火墙拦截导致结果为空
操作系统识别:是否进行操作系统识别,有可能会被防火墙拦截导致结果为空
Fofa IP查询:利用Fofa API进行查询域名
SSL 证书获取:对端口进行SSL 证书获取
服务(python)识别:使用python脚本进行服务识别
这里大家根据要收集的信息进行选择即可。
2)站点和风险配置
站点识别:对站点进行指纹识别
搜索引擎调用:利用搜索引擎结果爬取对应的URL
站点爬虫:利用静态爬虫对站点进行爬取对应的URL
站点截图:对站点首页进行截图
文件泄露:对站点进行文件泄露检测,会被WAF拦截
3)弱口令爆破设置
根据需要自行选择即可,这里全部选择。
都设置完了,点击确定按钮。
在策略配置列表可以看到我们新添加的策略。
任务下发对资产进行扫描和探测。
任务类型:
资产侦查任务:目标支持IP、IP段和域名,对资产进行端口识别、服务识别、系统识别等。
风险巡航任务:目标需要输入确定的地址(IP或域名),对资产进行风险扫描。
这里我们选择资产侦查任务,输入目标后点击确定。
任务下发成功后,可以到任务管理里查看。
等待任务执行完成,点击任务名或Task_id就可以查看结果了。
3.5.4 资产侦察灯塔系统升级
[root@xuegod63 ~]# cd /root/ARL
[root@xuegod63 ~]# git pull
[root@xuegod63 ~]# cd /root/ARL/docker
[root@xuegod63 ~]# docker-compose pull
[root@xuegod63 ~]# docker-compose up -d
3.5.5 资产侦察灯塔系统忘记密码重置
当忘记了登录密码,可以执行下面的命令
docker exec -ti arl_mongodb mongo -u admin -p admin
use arl
db.user.drop()
db.user.insert({ username: 'admin', password: hex_md5('arlsalt!@#'+'admin123') })
exit
然后使用 admin/admin123 就可以登录了。
3.6 Google搜索引擎的使用技巧
我们通常使用搜索引擎都是直接搜索自己想要的内容,正常情况下我们都是直接使用语言进行描述问题来进行搜索,然后搜索引擎也有特定语法可以使用,熟练掌握搜索引擎的语法可以让你的搜索效率和准确率大幅度提升,当然我们学习这种技巧是为了寻找存在漏洞的页面,或者存在敏感信息的文件。
Google常用语法说明
site 指定域名
inurl URL中存在的关键字页面
intext 网页内容里面的关键字
Filetype 指定文件类型
intitle 网页标题中的关键字
link 返回你所有的指定域名链接
info 查找指定站点信息
cache 搜索Google里的内容缓存
技巧1:inurl,拆开来,就是in url ,它的作用是限定在url中搜索。
例:输入内容:inurl:qq.txt
我们可以看到有很多存在QQ账号密码信息的页面,不过时间是比较久远的。这里只是演示方法。
技巧2: inurl:admin.php 或 "inurl:admin_login.asp" 查找后台登录页面
inurl:login.php 或: inurl:login.asp 或:inurl:login.html
我们可以看到全部都是后台登录的页面。
技巧3 “intitle:index.of .bash_history”
intitle表示标题
index.of表示包含index.of字段,出现该字段表示网站目录是对我们开放的,我们可以查看到网站目录下的所有文件信息。
如:通过:“intitle: index.of” 进行查找到,一个redhat的网站。
https://ftp.redhat.com/redhat/rhel/
.bash_history 表示我们要筛选的文件名称,也可以替换成其他的敏感信息文件,该文件记录了用户的历史命令记录
http://www.lamardesigngroup.com/homedir/
例2:查找mysql的配置文件my.cnf
如:https://www.artila.com/download/9200/Linux/Utility/mysql-all/mysqld/etc/
例3:查找discuz论坛中存储mysql密码的配置文件config_global.php
intitle:index.of config_global.php
技巧 4 “cache:12306.cn”
cache返回的结果是被搜索引擎收录时的页面,比如一些页面被删除了,我们通过cache还是可以访问。
我们看到Google缓存的日期为12月21日,他也会提示我们当前页面可能已经更改,所以我们查看一些被删除的内容是完全可能的。
技巧5 “Kali filetype:torrent”
Kali是我们要搜索的关键字,至于同学们关心什么奇怪的内容老师就不知道了。
filetype指定文件类型
torrent文件类型名称,torrent是种子文件,可以填写任意扩展名。
我们可以找到很多Kali相关的种子文件,当然这些就比较老了,不建议同学们下载使用,同学们使用老师提供的官方版本即可。
技巧 6 “apache site: cnvd.org.cn”
site搜索范围限定在特定站点中
使用场景:您如果知道某个站点中有自己需要找的东西,就可以把搜索范围限定在这个站点中,提高查询效率。因为站内的搜索功能并不是那么好用,所以我们使用该方式可以快速的查找到自己想要的信息。
例:查找cnvd.org.cn 中有关apache的漏洞文章
在谷歌上搜索:apache site: cnvd.org.cn
注:如果找国内的一些信息,还是使用百度查的比较多。
例2:直接使用写 site: cnvd.org.cn 可以查看百度对这个网站的收录情况
技巧 7 “intext:user.sql intitle:index.of” 组合使用技巧
intext:user.sql查询包含user.sql用户数据库信息的页面
intitle:index.of表示网站目录是开放状态。
我们可以看到有很多页面都包含了敏感信息。找到了一个数据库备份的页面。
http://western-blotting.com/oc_v1.5.2.1_database_dump/
我们可以看到这应该是一个备份数据库的地方。
例:site:gov.* intitle:"index of" *.csv
.gov(government的缩写)是政府机构的专用域名。
查看所有政府网站中可以直接显示目录,并显示的目录中有csv文件的链接。
government [ˈɡʌvənmənt] 政府
技巧 8 “s3 site:amazonaws.com filetype:xls password”
s3关键字,亚马逊的一种服务器类型。
site:amazonaws.com目标是亚马逊云平台。
filetype:xls password文件类型xls包含密码的文件。
我们点开一些链接会自动下载xls的表格文件文件中包含了用户名密码信息。
这里给大家提个醒,不要下载什么文件都直接打开,一定要开启杀毒软件,原因是黑客会利用我们这种行为,伪造一个包含信息的页面,我们打开页面后下载的文件就有可能是包含病毒的文件。
或:搜索: dell filetype:xls password
总结:谷歌黑客数据库:Google Hacking Database (GHDB) - Google Dorks, OSINT, Recon
在谷歌黑客数据库中有大量的搜索引擎语法以及搜索案例如下:
同学们可以多尝试学习其中的一些特殊用法。
3.7 常见最新漏洞公布网站
美国著名安全公司Offensive Security的漏洞库 http://www.exploit-db.com [比较及时]
赛门铁克的漏洞库 http://www.securityfocus.com (国际权威漏洞库)
国家信息安全漏洞共享平台 http://www.cnvd.org.cn/
国内安全厂商——绿盟科技 http://www.nsfocus.net
俄罗斯知名安全实验室 https://www.securitylab.ru/vulnerability/
CVE常见漏洞和披露 http://cve.mitre.org
信息安全漏洞门户 http://vulhub.org.cn/index
安全客 https://www.anquanke.com/
美国国家信息安全漏洞库 https://nvd.nist.gov/
知道创宇漏洞库 https://www.seebug.org/
总结:
3.1 被动信息收集概述
3.2 DNS域名解析原理-收集网站域名解析记录
3.3 使用Layer子域名挖掘机收集子域名信息
3.4 使用资产检索FOFA搜索引擎收集信息
3.5 Google搜索引擎使用技巧
3.6 常见最新漏洞公布网站