带你了解信息收集
○ 简介
○ 分类
○ 主要收集的内容
◇ 主域名查询
◇ 子域名收集
◇ 端口扫描
◇ 网站指纹识别
◇ 网络空间搜索引擎
◇ 敏感信息收集
◇ 目录扫描
◇ 邮箱地址获取
◇ 其他
○ 声明
简介
NO.1
介绍信息收集之前首先需要了解什么是信息收集,信息收集就是俗称的踩点,即尽可能的收集目标信息,如子域名信息、端口信息、网站指纹等。
知己知彼,百战不殆。信息收集是渗透测试的重要环节之一,是万里长征第一步,也是胜利会师最重要的一步。信息收集可以让渗透者选择合适和准确的渗透测试攻击方式,缩短渗透测试时间。当我们越了解测试目标时,测试的工作就会越容易。
最后能否成功渗透进入目标,很大程度上取决于信息收集。目标资产信息收集的程度,决定渗透过程的复杂程度。渗透的本质是信息收集,而信息收集整理为后续的情报跟进提供了强大的保证。
----Micropoor
分类
NO.2
信息收集的方式有两种:主动和被动。
(1)主动式信息收集
通过主动对目标主机或者网站进行扫描,对目标信息进行扫描获取相关的信息,例如端口扫描等。
(2)被动式信息收集
通过第三方服务来间接获取目标网络相关信息,不会与目标直接交互,例如谷歌、百度等。
主要收集的内容
NO.3
信息收集的内容主要有ICP备案号、股权组织结构、Whois信息、主域名、子域名及端口目录等信息。
主域名查询
主域名查询可以分为备案域名查询和未备案域名查询。
备案域名查询
目前最全也是最准确的方法是去国家的备案信息查询网站里查询,通过查询目标企业的备案信息,可直接获取到目
标企业注册了哪些域名,从而增加可渗透的目标范围。
支持使用单位名称、域名和备案号进行查询
分别选择第一个和第二个点击 详情 查看
第一个:(京ICP证030173号-126)
第二个:(京ICP证030173号-135)
显而易见,不同的备案号对应着不同的域名。通过官方网站对域名进行查询的优点是官方备案,准确可靠,但不足之处在于对我们来说有用的信息太少,可能只有 备案号 和 域名 ,并且查询的目标单位名称必须是全称。
第三方备案网站查询
当然,除了官方的渠道外,还有一些第三方的备案域名查询站点,比如站长之家等。
未备案域名查询
通过目标已知的网站获取。有些企业会把自己的其他业务网站放在网站尾部,里面也许会包含未备案的站点。
空间搜索引擎查找
简介
网络空间搜索引擎是为了解决个人每次开展渗透测试时都需要进行的信息收集过程,通过全网扫描的方式,将基础数据进行格式化存储,供安全人员按需搜索使用,提升了安全人员的工作效率。
可以通过Fofa或Google等搜索引擎来查找域名信息。
fofa
(1)搜索证书中带有taobao的域名资产
(2)fofa常用语法:
直接输入查询语句,将从标题,html内容,http头信息,url字段中搜索;如果查询表达式有多个与或关系,尽量在外面用()包含起来;新增==完全匹配的符号,可以加快搜索速度,比如查找qq.com所有host,可以是domain=="qq.com"# 用途说明title="beijing" 从标题中搜索“北京”header="elastic" 从http头中搜索“elastic”body="网络空间测绘" 从html正文中搜索“网络空间测绘”fid="sSXXGNUO2FefBTcCLIT/2Q==" 查找相同的网站指纹# 搜索网站类型资产domain="qq.com" 搜索根域名带有qq.com的网站icp="京ICP证030173号" 查找备案号为“京ICP证030173号”的网站js_name="js/jquery.js" 查找网站正文中包含js/jquery.js的资产js_md5="82ac3f14327a8b7ba49baa208d4eaa15" 查找js源码与之匹配的资产cname="ap21.inst.siteforce.com" 查找cname为"ap21.inst.siteforce.com"的网站cname_domain="siteforce.com" 查找cname包含“siteforce.com”的网站cloud_name="Aliyundun" 通过云服务名称搜索资产
股权组织查询
股权穿透图
在我们拿到公司名称后,先不着急去查备案、找域名,我们可以先看看这家公司的股权构成,因为一般一家公司的子公司也是可以作为目标去打的,不过有时是要求 50% 持股或者 100% 持股,这个视具体情况而定。
较为常见的查询公司组织股权结构的网站有天眼查、企查查、爱企查、小蓝本、钉钉企典等等。如果目标持股的公司不多,可以直接看股权穿透图,比较直观;如果持股公司比较多,股权穿透图看着就比较耗费时间。
对外投资信息
除了股权穿透之外,还可以看它的对外投资信息。
通过查询股权信息,可以看到二级单位、三级单位,获取更多域名,扩展攻击点。
使用工具查询—ENScan(配置好key效果更佳)
(1)简介
如果目标比较少可以查看前面的两个部分,但如果目标很多,那查看的效率就较低。好在有现成的收集股权信息工具—ENScan。
这是一款开源程序,主要对百度爱企查API和接口进行封装,可以获取企业基本信息(法人、电话、公司地址等等)、企业ICP备案号以及网站、企业APP信息 、企业微信公众号信息、企业微博信息、子公司的基本信息、供应商信息等等。
(2)使用示例
搜集「北京百度网讯科技有限公司」以及其持股百分之百的企业信息。
这里使用的工具为ENScan,命令为:
ENScanPublic_amd64_windows.exe ‐n 北京百度网讯科技有限公司 ‐invest‐num 100
Whois查询
简介
Whois即标准互联网协议,是用来查询域名IP及所有者等信息的传输协议,也可以理解为是一个用来查询域名是否被注册及其详细信息的数据库。
通过WHOIS可以查看域名的当前信息状态,包括域名是否已被注册、域名当前持有者、所有者联系方式、注册日期、过期日期、域名状态、DNS解析服务器等,在这些信息中,我们需要重点关注的是注册商、注册人、邮件、DNS解析服务器及所有者联系方式。
作用
a. 比如利用whois查询到注册人的电话或者邮箱可以进行反查找到更多的注册域名或者是通过制作社工字典,利用字典进行爆破;
b. 在社工库查询邮箱和手机号,若查到,可尝试登陆服务器商或域名商;
c. DNS解析记录可以查ip,查NS、mx邮件交换记录;
d. MX记录是邮件服务交换记录,邮件服务经常搭建在目标办公网络,可以让快速我们定位目标核心区域并展开渗透。
查询方式
(1)站长工具
站长工具是站长的必备工具。
(2)Bugscaner
Bugscaner包含识别类工具(指纹cms识别、文件格式识别、webshell查杀、python反编译、java反编译、Access密码识别、代码审计、php解密、文件编码识别等)、站长工具(JS/HTML代码格式化、CSS格式化、字符串转ASCII、MD5批量加密、WHOIS查询、在线文本去重)等功能。
在其中的站长工具中找到WHOIS查询,输入域名 www.youku.com 可以看到基本的WHOIS信息
除域名信息外,还包含域名注册者的基本信息:
注册机构、注册城市、地区、街道及注册者邮编、电话、电子邮件、传真等信息。
子域名收集
顶级域名的防护一定是很好的,我们不能直接找到顶级域名的漏洞,但是我们可以通过它的子域名来收集漏洞,从而慢慢的接近主域名。
比较常见的工具是OneForAll,此外还有subfinder、xray、subdomain 等等。
DNS域传送漏洞检测
DNS简介
DNS(Domain Name System),是一个保存IP地址和域名相互映射关系的分布式数据库,重要的互联网基础设施,默认使用的TCP/UDP端口号是53。
DNS域传送漏洞简介
(1)漏洞原理
域传送漏洞则是由于DNS配置不当,导致匿名用户可以获取某个域的所有记录,造成整个网络的拓扑结构泄露给潜在的攻击者,凭借这份网络蓝图,可以为我们节省大量扫描时间,同时提升了目标的准确度。
(2)漏洞危害
网络拓扑结构泄露给潜在的攻击者,包括一些安全性较低的内部主机,如测试服务器等。直接加快、助长攻击者的入侵过程。
DNS域传送漏洞检测
利用工具nslookup
搜索引擎
可以通过谷歌搜索引擎查找子域名
常用查询语法
site:xxx.com ‐www //使用减号'‐'来排除不想搜集到的域名 示例
site:jd.com ‐www //搜集jd.com的子域名
网络空间搜索引擎
常用网络空间搜索引擎
还可以使用网络空间搜索引擎来查找子域名,如fofa,shodan等。
以下为fofa使用举例
fofa相关语法
(1)子域名查询语法
可使用domain="qq.com"来查询根域名带有qq.com的网站,即子域名:
(2)搜索结果
可以在搜索结果中发现其子域名:
其他网络空间搜索引擎比如shodan等也可以进行子域名的搜索。
在线平台查询
可以使用在线平台来查询子域名,如站长工具、微步社区、RapidDNS等。
可以直接导出csv相对来说方便一些
查询工具
Oneforall(配置key效果更佳)
(1)简介
https://rapiddns.io/
收集功能强大:利用证书透明度收集子域名、常规检查收集子域名、利用网上爬虫档案、利用DNS数据收集子域名、DNS查询、威胁情报平台数据、搜索引擎。
(2)常用命令
python3 oneforall.py ‐‐target example.com run //运行单个目标python3 oneforall.py ‐‐targets domains.txt run //运行单个目标
subfinder
(1)简介
subfinder是为只做一件事而构建的—被动子域枚举
a.模块化架构
b.速度快、轻量级资源
c.丰富的被动源(截至目前已有26个源)
d.支持集成 Stdin和 stdout
e.多种输出格式
(2)常用命令
subfinder –d xxx.com 查找子域名subfinder –d xxx.com ‐o output.txt 查找子域名并输出到指定文件subfinder –d xxx.com ‐o result_aquatone.json ‐oT ‐nW –v 查找子域名并以Aquatone风格的JSON格式写入输出‐config API 密钥等的配置文件‐d 查找子域‐dL 包含要枚举的域列表的文件‐exclude‐sources 清单中要排除的来源清单‐max‐time 等待枚举结果的分钟数(默认为10)‐nC 不要在输出中使用颜色‐nW 从输出中删除通配符和失效子域‐o 输出到指定文件(可选)‐timeout 超时时间(默认为30)
下图为使用subfinder查询qq.com的子域名示例:
ksubdomain
(1)简介
无状态爆破子域名,有失败重发机制,速度极快。ksubdomain有丢包重发机制(这样意味着速度会减小,但比普通的DNS爆破快很多),会保证每个包都收到DNS服务器的回复,漏报的可能性很小。
可以用--test来测试本地最大发包数,但实际发包的多少和网络情况息息相关,ksubdomain将网络参数简化为了-b参数,输入你的网络下载速
度如-b 5m,ksubdomain将会自动限制发包速度。
(2)常用命令
使用内置字典爆破 ksubdomain ‐d seebug.org使用字典爆破域名 ksubdomain ‐d seebug.org ‐f subdomains.dict字典里都是域名,可使用验证模式 ksubdomain ‐f dns.txt –verify爆破三级域名 ksubdomain ‐d seebug.org ‐l 2
端口扫描
(1)简介
按照目前的协议类型,我们大致可以知道有:
一个IP地址可以有65535个端口,范围则是从0-65535。每个端口按照协议又可以分为两种类型:一种是TCP端口;
另一种是UDP端口。TCP、UDP都是IP层的传输协议,其中TCP是面向连接、可靠的字节流服务;UDP则是不可靠的,面向数据报的服务。
每一个端口都会支持这两种协议,因此可以基于这两种协议进行端口扫描。
(2)为什么要端口扫描
有些应用绑定的端口不常见,导致我们扫描常见的端口时无法发现,所以需要扫描全端口,用于发现这个ip上开放的所有端口。常见的端口扫描工具有nmap、fscan、vscan等。
常见服务器端口及对应漏洞
21 FTP 匿名或者弱口令22 SSH 弱口令23 telnet 弱口令80‐90 WEB web漏洞161 snmp 弱口令443 openssl web漏洞445 smb 弱口令873 rsync 是否为匿名访问,也可能存在弱口令1025 RPC NFC匿名访问1099 java rmi 远程命令执行漏洞1433 mssql 弱口令爆破1521 oracle 弱口令爆破3306 mysql 弱口令爆破3389 RDP 弱口令爆破5432 postgres 弱口令爆破5900/5901/5902 vns 弱口令爆破6379 redis 一般无验证,可直接访问7001/7002 weblogic 弱口令/rce8080 tomcat/jboss 弱口令爆破,jboss后台可能不验证11211 memcahe 弱口令27017/28017 mongodb 未授权访问
端口扫描工具
Nmap
(1)简介
是主机扫描工具,图形化界面是Zenmap。
它可以完成以下任务:主机探测、端口扫描、版本检测、系统检测、支持探测脚本的编写。
(2)简要用法
Nmap进行完整全面的扫描:nmap –T4 –A –vNmap指定端口扫描: nmap ‐p(port1,port2,…) < target IP >Nmap自定义扫描: nmap ‐p(range) < target IP >
(3)基本用法示例
nmap –p 1‐65535 IP
nmap扫描有一些慢,可以使用快速扫描
nmap 172.18.2.254 ‐sS ‐Pn ‐n ‐‐open ‐‐min‐hostgroup 4 ‐‐min‐parallelism 1024 ‐‐host‐timeout 30 ‐T4 ‐v ‐oX result.xml
fscan
(1)简介
是一个内网综合扫描工具,方便一键自动化、全方位漏洞扫描。它支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell等功能。
(2)基本用法
fscan.exe ‐h 192.168.1.1/24 (默认使用全部模块)fscan.exe ‐h 192.168.1.1/16 ‐p 8000‐9000 (指定端口扫描)fscan.exe ‐h 192.168.1.1/24 ‐c whoami (ssh 爆破成功后,命令执行)fscan.exe ‐h 192.168.1.1/24 ‐np ‐no –nopoc(跳过存活检测 、不保存文件、跳过web poc扫描)
(3)常见用法
fscan64 –h IP –p 1‐65535
vscan
(1)简介
快速的端口扫描、指纹探测功能、快速的登录密码爆破功能、快速的POC检测功能、快速的敏感文件检测功能、轻量、开源、跨平台使用等等。
(2)基本用法
a. vscan ‐host 127.0.0.1会对127.0.0.1进行http常用端口扫描,扫描完端口后对端口地址进行检测;b. vscan ‐host http://127.0.0.1:7001不会对127.0.0.1进行端口扫描,而是直接对http://127.0.0.1:7001地址进行检测;c. vscan ‐host 192.168.1.1/24对192.168.1.1/24C段进行端口扫描,扫描完端口后对端口地址进行检测。
(3)用法示例
vscan.exe –host IP
在线工具
可以在站长之家的工具中找到端口扫描工具,通过该工具可以扫描常用的端口和指定的端口来查看它们是否开放。
网站指纹识别
指纹识别非常重要的一点,因为指纹识别的结果对打点的帮助是很大的,可以让打点更有针对性,同时也会节省很多时间。
网站指纹识别
常见CMS介绍
CMS 是内容管理系统的英文简称,它是用来管理和发布包括文章、图片、商品等内容的系统。最常见的 CMS 就是博客系统,作者登录管理后台写文章,点击发布后读者就可以访问指定网址,看到作者发布的内容。
常见的CMS有Wordpress、django-cms、DedeCMS等。
其中Wordpress作为全球最流行的 CMS,它的市场占有率一直处于独占鳌头那一档(64.2%)。我认为这些得益于它傻瓜式的安装方式、丰富的主题和插件、十年如一日的更新迭代,以及优秀的商业模式。
在线指纹查询网站
比较常见的在线指纹查询网站有 godeye 和云悉等
指纹查询工具
指纹查询工具有 observer_ward 和 Ehole 等。
这里用Ehole棱洞的本地识别做示例:
EHole ‐l url.txt //URL地址需带上协议,每行一个
网站WAF识别
WAF原理
WAF通过配置DNS解析地址、软件部署、串联部署、透明部署、网桥部署、反向代理部署、旁路部署等获取攻击流量,基于规则进行攻击特征匹配,或利用其他方式进行攻击检测及阻断。
WAF识别工具
Wafw00f可以通过发送正常以及不正常甚至是包含恶意代码的HTTP请求,来探测网站是否存在防火墙,并识别该防火墙的厂商及类型。
wafw00f能识别的防火墙数量远高于其他识别工具,nmap默认有19个指纹,sqlmap默认有94个指纹,而wafw00f默认有155个指纹。
#!/usr/bin/env python'''Copyright (C) 2020, WAFW00F Developers.See the LICENSE file for copying permission.'''# NOTE: this priority list is used so that each check can be prioritized,# so that the quick checks are done first and ones that require more# requests, are done laterwafdetectionsprio = ['ACE XML Gateway (Cisco)','aeSecure (aeSecure)','AireeCDN (Airee)','Airlock (Phion/Ergon)','Alert Logic (Alert Logic)','AliYunDun (Alibaba Cloud Computing)','Anquanbao (Anquanbao)','AnYu (AnYu Technologies)','Approach (Approach)','AppWall (Radware)','Armor Defense (Armor)','ArvanCloud (ArvanCloud)','ASP.NET Generic (Microsoft)','ASPA Firewall (ASPA Engineering Co.)','Astra (Czar Securities)','AWS Elastic Load Balancer (Amazon)','AzionCDN (AzionCDN)','Azure Front Door (Microsoft)','Barikode (Ethic Ninja)','Barracuda (Barracuda Networks)','Bekchy (Faydata Technologies Inc.)','Beluga CDN (Beluga)','BIG‐IP Local Traffic Manager (F5 Networks)',......]
网络空间搜索引擎
简介
擅用空间搜索引擎,有时可以在最初刚拿确定目标的时候就发现目标弱点。
目前比较常见的空间搜索引擎有 Fofa、Shodan、360 夸克、奇安信全球鹰、知道创宇 ZoomEye 等等。
如Fofa搜索语法介绍:
图形化工具
敏感信息收集
网站漏洞扫描
网站漏洞扫描可以使用扫描器来进行。如xray,AWVS,AppScan及各种大神团队自己编写的扫描器等等。
JS信息收集
在JS中可能会存在大量的敏感信息,包括但不限于:1、某些服务的接口,可以测试这些接口是否有未授权等2、子域名,可能包含有不常见或者子域名收集过程中没收集到的目标3、密码、secretKey等敏感数据
通过搜索引擎及代码仓库搜集敏感信息
1.搜索仓库可以使用> 、>=、 < 、 <=(1)搜索cats 星星数星星大于1000的仓库cats stars:>1000(2)搜索cats标签数量topicscats topics>5(3)搜索文件小于10KB的仓库sizecats size<100002.代码搜索(1)日期条件pushedcats pushed:<2021‐03‐08 搜索2021年3月8号以前的内容(2)包含搜索cats in:file 搜索文件中包含cats的代码cats in:path 搜索路径中包含cats的代码cats in:path,file 搜索路径文件中包含cats的代码console path:app/public language:javascript 搜索关键字console 且语言是javascript,在app/public目录下3.主体搜索user: USERNAME 用户名搜索org:``orgname 组织搜索repo:USERNAME/REPOSTITORY 指定仓库搜索4.文件大小size:>1000 搜索文件大于1KB的文件5.文件名称filename:config.php language:PHP 搜索文件名是config.php且语言为PHP的文件。
目录扫描
常用目录扫描工具
目录扫描比较常用的工具有dirsearch、ffuz,ffuz在Kali Linux中使用apt-get install ffuf安装,目前自带。
Github字典
ffuf更侧重于FFUZ,不过不管是目录扫描还是FFUZ ,扫描的结果都在于字典。
邮箱地址获取
在线网站查询
邮箱地址比较常用的方法有直接通过搜索引擎找网上公开的邮箱信息,这种往往会指向目标的网站中,比如目标某个网页的附件中包含有邮箱等信息。可以使用 Github 搜索目标公司开发者在代码中注释的邮箱信息。
也可以通过hunter查找目标公司的员工邮箱。Hunter是一个可以通过域名和网页在线抓取和验证邮箱的在线工具。可以让你在几秒钟内获取大量的公司电子邮件地址,并与对你的业务有帮助的潜在客户建立联系。
它可以帮助用户使用目标公司的域名查找和验证电子邮件地址。主要通过抓取网络并索引公开可用的电子邮件地址,并配备了一个非常强大的工具来获取经过验证的联系人并个性化他们的邮件列表。
营销人员、招聘人员和销售人员能够通过从网络上的任何网站获取邮箱地址来进行具有高度针对性的电子邮件营销活动。
Hunter首页
注册邮箱(outlook),登录后输入目标域名就可以搜索到目标公司的一些邮箱。
工具收集
theHarvester(配置key效果更佳)
python3 theHarvester.py ‐d xxx.com ‐b all语法:‐d参数指向目标的域名,‐b all是用调用theHarvester的所有模板查找邮箱
其他
app查找
公众号/小程序
可以输入公司名称或者公司缩写搜索公司名称,相对来说小程序中的脆弱点可能多一些。
声明
NO.4
本文作者:Bibabo
本文编辑:Yusa
感谢 Bibabo 师傅 (๑•̀ㅂ•́)و✧
扫码关注天虞实验室官方微信公众号,后台发送 “信息收集” 即可获得本文中所有工具的下载地址及好用工具推荐喔~
往期回顾
扫码关注我们
天虞实验室为赛宁网安旗下专业技术团队,重点攻关公司业务相关信息安全前沿技术。
原文始发于微信公众号(天虞实验室):带你了解信息收集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论