Kunyu (坤舆),名字取自 <坤舆万国全图> ,测绘实际上是一个地理信息相关的专业学科,针对海里的、陆地的、天上的地理信息进行盘点。同样应用于网络空间,发现未知、脆弱的资产也是如此,更像是一张网络空间地图,用来全面描述和展示网络空间资产、网络空间各要素及要素之间关系,以及网络空间和现实空间的映射关系。所以我认为“坤舆”还是比较贴合这个概念的。
Kunyu(坤舆),旨在让企业资产收集更高效,使更多安全相关从业者了解、使用网络空间测绘技术。
对于 kunyu 的使用,应用场景可以有很多,例如:
- 企业内遗忘的,孤立的资产进行识别并加入安全管理。
- 企业外部暴露资产进行快速排查,统计。
- 红蓝对抗相关需求使用,对捕获IP进行批量检查。
- 批量收集脆弱资产(0day/1day) 影响内的设备、终端。
- 新型网络犯罪涉案站点信息进行快速收集,合并,进行更高效的研判、分析。
- 对互联网上受相关漏洞影响的脆弱资产,进行统计、复现。
- .......
在第一次运行程序时通过输入以下命令进行初始化操作,提供了其他登录方式,但是推荐使用API的方式,因为用户名/密码登录需要额外做一次请求,所以理论上API的方式会更加高效。
kunyu init --apikey <your zoomeye key> --seebug <your seebug keyGlobal commands:info Print User infoSearchHost <query> Basic Host searchSearchWeb <query> Basic Web searchSearchIcon <File>/<URL> Icon Image searchSearchBatch <File> Batch search HostSearchCert <Domain> SSL certificate SearchSearchDomain <Domain> Domain name associated/subdomain searchEncodeHash <encryption> <query> Encryption method interfaceHostCrash <IP> <Domain> Host Header Scan hidden assetsshow <config>/<rule> Show can set options or Kunyu configSeebug <query> Search Seebug vulnerability informationset <option> Set Global arguments values<ID> Look over banner row data informationCscan <IP>/<Port> Scans port information about cobaltStrikePupilSearch <URL>/<ID> Example Query sensitive interfacesPocsuite3 Invoke the pocsuite componentExportPath Returns the path of the output fileCreateMap Generate an IP distribution heat mapAliveScan The viability of the last retrievalclear Clear the console screenhelp Print Help infoexit Exit KunYu &
ZoomEye:page <Number> 查询返回页数(默认查询一页,每页20条数据)dtype <0/1> 查询关联域名/子域名(设置0为查询关联域名,反之为子域名)stype <v4/v6> 设置获取数据类型IPV4或IPV6,默认为 ipv4,ipv6 全选btype <host/web> 设置批量查询的API接口(默认为HOST)timeout <num> 设置Kunyu HTTP请求的超时时间thread 设置PupilSearch线程数量(默认为10)deep 设置PupilSearch递归深度(默认为2)all PupilSearch Add All Url To Check Listfuzz PupilSearch Add Api To Check Listproxy PupilSearch HTTP Proxy
用户信息
HOST 主机搜索
Web 主机搜索
批量 IP 搜索
Icon 搜索
在搜集企业资产时,我们可以使用这样的方式进行检索相同 ico 图标资产,在关联相关企业资产时,通常会有不错的效果。但是需要注意的是如果某些站点也使用这个 ico 图标,可能会关联出无关资产(但是无聊用别人 ico 图标的人总归是少数吧)。支持url或本地文件的方式搜索。
命令格式:
SearchIocn https://www.baidu.com/favicon.ico
SearchIcon /root/favicon.ico
SSL证书搜索
通过 SSL 证书的序列号进行查询,这样关联出来的资产较为精准,能搜索出使用相同证书的服务。碰到https站点时,可以通过这样的方式。
特征搜索
通过HTTP请求包特征或网站相关特征可以进行更加精准的串并相同框架资产
多因素查询
同样kunyu也支持多因素条件查询关联资产,可以通过ZoomEye逻辑运算语法实现。
关联域名/子域名搜索
对关联域名以及子域名进行搜索,默认查询关联域名,可以通过设置 dtype 参数设置 关联域名/子域名 两种模式。
命令格式:SearchDomain Domain
设置获取数据类型
在V1.6.1版本后,用户可以通过stype参数设置获取的数据类型为IPV4或者IPV6,实现应用场景,默认参数为v4。
命令格式:set stype = v6
查看Banner信息
用户可以通过view命令查看指定序号对应信息的Banner,从而进一步分析前端代码及Header头,用户可以截取banner信息进一步的关联匹配。
命令格式: view ID
用户也可以通过views命令查看指定序号的SSL证书信息,通过提取SLL证书信息中的敏感信息进一步关联。
命令格式:views ID
Cscan扫描cobaltStrike的端口信息
Cscan是Kunyu 1.7.2版本的一个新特性,允许您使用此命令来识别网络资产是否为cobaltStrike,并列举配置文件的详细信息。
命令格式:
Cscan 1.1.1.1 443
Cscan 1.1.1.1 443, 80
PupilSearch敏感信息收集
在Kunyu v1.7.0版本后,移除了KeyWord命令替换为PupilSearch,就是提取敏感数据的功能,当然也支持通过空间测绘提取历史banner信息,举个例子像accesskey这种,历史数据中banner泄露了敏感信息,哪怕现在换了服务,但是AK/SK没有过期,依旧可以直接利用,懂得都懂,支持提取敏感信息**(身份证号、IP、JWT、API接口、appid、appkey、GithubAccessKey,default usernamepassword、邮箱等)**。
命令格式:
PupilSearch https://www.domain.com/
PupilSearch ID (通过空间测绘返回的banner提取敏感信息)
下载链接
原文始发于微信公众号(贝雷帽SEC):【红队】一款高效的企业资产收集工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论