被动信息收集
信息收集的方式分为被动与主动
被动:进行第三方的服务对目标进行访问了解(Google)
主动:直接访 问,扫描网站(namp)
被动搜索的优势:不与目标系统直接交互,避免留下痕迹
1.通过DNS收集信息
DNS服务:(Domain Name Service,域名服务器)域名服务是将域名与ip之间转换的服务,域名服务器分为根域域名服务器(13个),顶级域名服务器
1.1域名查询原则:逐级查询,一问一答
1.2DNS查询方式
递归和迭代
主机向本地DNS查询一般都是递归查询,客户端只发送一个请求,要求对方给出最终结果
本地域名服务器向根域名服务器查询属于迭代,客户端发送一次请求,返回一个能解答的其他服务器的地址,客户端再向新的地址发送请求,直到最终的到结果
1.3DNS信息收集-nslookup
1.3.1域名ip转换
方法一:ping 域名
如果ping出的域名不相同,可能目标节点做了CDN技术,得到的只是单独一个节点的ip,非真实的ip
方法二;nslookup 域名(Kali与win10皆可)
nslookup -type=记录名称(a/mx/ns/soa) baidu.com 查看对应网址的解析记录
从主DNS服务器返回的数据叫做权威应答,不是从主DNS服务器返回叫做非权威应答
1.3.2Tips:DNS解析记录
DNS服务器分为:主服务器,备份服务器,缓存服务器
A记录:名称解析的重要记录,将特定主机映射到对应主机的ip地址上
别名:将某个别名指向到A记录上,不需要再为某个新名字创建一条新的A记录
MX记录:记录一个邮件域名对应的ip地址
NS记录:记录该域名由哪台域名服务器解析的
SOA:起始授权机构记录,也叫主DNS服务器
域传送漏洞:本来只有备份服务器能获得主服务器的数据,由于漏洞导致任意的client都能通过“域传送”
获取主DNS服务器的数据(zone数据库信息/所有的域名解析记录)
1.3.3通过主DNS服务器查询域传送漏洞
nslookup
进入交互模式
server 主DNS服务器地址
ls baidu.com
如果查询成功证明存在域传送漏洞
1.4DNS信息收集-DIG
dig baidu.com
dig 域名
dig baidu.com 记录名称
查询域名记录
dig baidu.com any
显示所有的域名服务器
dig axfr @主DNS服务器地址 域名
dig方式查询域传送漏洞,通过向主DNS服务器发送axfr记录查询域传送漏洞
Tips:
dnsenum -enum baidu.com
kali内其他查询命令
点击链接查询 查询网址是否做了CDN
2.查询网站的域名注册信息、备案信息和企业信息
2.1域名注册信息的两种查询方式,web接口查询和whois命令查询
whois baidu.com
kali内输入
点击链接查询 查询网址域名注册信息
2.2网站备案信息
点击链接1查询 查询网址域名备案信息
点击链接2查询 查询网址域名备案信息
点击链接3查询 查询网址域名备案信息
2.3企业信息
点击链接1查询 企查查
点击链接2查询 天眼查
3.收集子域名信息
3.1子域名介绍
子域名:顶级域名之前的都是子域名,子域名也划分为二级子域名和三级子域名
顶级域名是指域名的最后一个部分,就是网址的最后一部分
通常分为两类
领域不同:com商业、edu教育、gov政府、net互联网、org公益
国家:cn中国、uk英国
点击查询子域名
4.ARL资产侦查灯塔系统搭建及使用
ARL资产侦查灯塔旨在快速发现并整理企业外网资产并为资产构建基础数据库,主要用于资产管理。资产梳理的路径会根据输入的数据进行变动与调整。如输入数据为基于域名时,采用的技术手段包括DNS枚举、智能域名生成枚举、第三方 API服务来获取子域名,随后将域名解析为IP (当输入数据基于IP 时,可直接进入后续阶段),既是对IP 进行端口扫描、服务识别、系统识别、站点识别和 WEB 指纹识别,同时爬取站点 URL,并对首页进行截图,完成资产发现。
当通过域名或是IP识别出对应的安全应用后,便可将其与鱼鹰(Osprey)poc 漏洞检测框架、通用漏洞扫描(CRS)、漏洞预警系统(VAS)和漏盒子相关联,快速准确识别资产威胁,降低资产风险。
4.1搭建灯塔系统
设备:centos7
1.部署docker容器虚拟化平台
yum install -y yum-utils device-mapper-persistent-data lvm2
kill -9 多余的进程id
yum install -y yum-utils device-mapper-persistent-data lvm2
yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo //配置docker源
yum -y install epel-release //安装拓展仓库,里面有docker-compose
yum install docker-ce docker-ce-cli containerd.io docker-compose-y
systemctl start docker && systemctl enable docker //启动 docker 并设置开机自启动
docker version //显示 Docker 版本信息
vim /etc/docker/daemon.json
写入以下内容
{
"registry-mirrors":["https://registry.dockercn.com","https://docker.mirrors.ustc.edu.cn","https://dockerhub.azk8s.cn","http://hubmirror.c.163.com"]
}
退出
systemctl daemon-reload
systemctl restart docker
docker info
docker pull tophant/arl //拉取镜像
git clone https://github.com/TophantTechnology/ARL
cd ARL/docker/
docker-compose up -d
docker volume create --name=arl_db
docker-compose up -d
最好关闭centos防火墙和selinux
docker-compose ps
使用默认账号:admin,密码:arlpass 登录
灯塔系统可以提供:子域名爆破,站点监控,端口扫描等任务
5.Goolge搜索引擎使用技巧
site:域名 //搜索子域名
inurl:关键词 //url含有关键词的
intitle:index.of //搜索目录浏览漏洞,标签里面含有index.of的
cache:网站 //搜索缓存
filetype.php //搜索PHP的网站
filetype.php site:域名 //判断该网站何种语言开发
6.searchsploit的使用
searchsploit windows 10 //搜索关于win10的漏洞,关键词搜索漏洞
searchsploit -t windows 10 //只在标题中显示
searchsploit windows 10 | wc -l //显示漏洞个数
searchsploit -e windows 10 //按关键词顺序匹配
searchsploit -p 漏洞id // 根据漏洞id搜索路径
searchsploit windows 10 --exclude="关键字" //排除关键字搜索
searchsploit windows 10 | grep 关键字 // 搜索含有关键字的
searchsploit -m 脚本id // 拷贝脚本到当前目录
searchsploit windows 10 -w //显示漏洞官网地址
#7. FOFA搜索引擎检索资产信息
FOFA
tittle="关键字" /搜索网站源代码tittle含有关键词的站点
body="关键字" /搜索网站源代码body含有关键词的站点
domain="域名" / 搜索子域名
country="CN" /搜索指定国家的资产
region=“beijing” /搜索指定行政区的资产
city="beijing" /搜索指定城市的资产
&& /与
|| /或
js_name="js文件路径" /通过js文件搜索
header="关键字" /利用header内关键词搜索