免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。——Draem
1. 信息收集简介
(1) 什么是信息收集
信息收集是指通过各种方式获取所需要的信息,以便我们在后续的渗透过程更好的进行。比如目标站点 IP、中间件、脚本语言、端口、邮箱等等。信息收集包含资产收集但不限于资产收集。
(2) 信息收集的意义
-
信息收集是渗透测试成功的保障
-
更多的暴露面
-
更大的可能性
(3) 信息收集分类
-
主动信息收集
通过直接访问网站在网站上进行操作、对网站进行扫描等,这种是有网络流量经过目标服务器的信息收集方式。
-
被动信息收集
基于公开的渠道,比如搜索引擎等,在不与目标系统直接交互的情况下获取信息,并且尽量避免留下痕迹。
(4) 收集哪些信息
域名信息:(whois、备案信息、子域名)
服务器信息:(端口、服务、真实 IP)
网站信息:(网站架构、操作系统、中间件、数据库、编程语言、指纹信息、WAF、敏感目录、敏感文件、源码泄露、旁站、C 段)
管理员信息:(姓名、职务、生日、联系电话、邮件地址)
2. 域名信息收集
(1) 域名介绍
-
域名(Domain Name),简称域名、网域,是由一串用点分隔的名字组成的 Internet 上某一台计算机或计算机组的名称,用于在数据传输时标识计算机的电子方位(有时也指地理位置)。
-
DNS(域名系统,Domain Name System)是互联网的一项服务。它作为将域名和 IP 地址相互映射的一个分布式数据库,能够使人更方便地访问互联网。
(2) 域名分类
顶级域名 | 二级域名 | 三级域名 | 教育域名 | 商业域名 | 政府域名 |
---|---|---|---|---|---|
.com | baidu.com | www.baidu.com | .edu | .com | .edu |
-
二级域名是指顶级域名之下的域名,在国际顶级域名下,它是指域名注册人的网上名称,例如 ibm,yahoo,microsoft 等;在国家顶级域名下,它是表示注册企业类别的符号,例如 com,top,edu,gov,net 等
(3) Whois
1.whois 简介
-
WHOIS 协议
Whois 是用来查询域名的 IP 以及所有者等信息的传输协议。就是一个用来查询域名是否被注册,以及注册域名的详细信息的数据库(如域名所有人,域名注册商)
Whois 简单来说,就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商、域名注册日期和过期日期等)。通过域名 Whois 服务器查询,可以查询域名归属者联系方式,以及注册和到期时间
-
Whois 查询的用处
通过 Whois 查询可以获得域名注册者邮箱地址等信息。一般情况下对于中小型网站域名注册者就是网站管理员。利用搜索引擎对 Whois 查询到的信息进行搜索,获取更多域名注册者的个人信息。
-
Whois 工作过程
WHOIS 服务是一个在线的 "请求/响应" 式服务。WHOIS Server 运行在后台监听 43 端口,当 Internet 用户搜索一个域名(或主机、联系人等其他信息)时,WHOIS Server 首先建立一个与 Client 的 TCP 连接,然后接收用户请求的信息并据此查询后台域名数据库。如果数据库中存在相应的记录,它会将相关信息如所有者、管理信息以及技术联络信息等,反馈给 Client。待 Server 输出结束,Client 关闭连接,至此,一个查询过程结束。
2.whois 查询
-
web 接口查询:
https://whois.aliyun.com/
https://www.whois365.com/cn/
http://whois.chinaz.com/
-
whois 命令行查询:
┌──(root㉿linux)-[~]
└─# whois kuwo.cn
Domain Name: kuwo.cn
ROID: 20060101s10001s43560604-cn
Domain Status: ok
Registrant: 北京酷我科技有限公司
Registrant Contact Email: [email protected]
Sponsoring Registrar: 腾讯云计算(北京)有限责任公司
Name Server: ns3.dnsv4.com
Name Server: ns4.dnsv4.com
Registration Time: 2006-01-01 13:34:28
Expiration Time: 2026-01-01 13:34:27
DNSSEC: unsigned
-
python脚本查询:
pip3 install python-whois
查询结果视图:
(4)Whois 反查:
whois 反查,可以通过注册人、注册人邮箱、注册人手机电话反查 Whois 信息。
WHOIS 反查,是指可以通过一个已知域名的 WHOIS 信息中的部分信息作为条件反过来查询与此条件相匹配的一系列其它域名列表情况。借此我们可以知道该注册人拥有哪些域名,或者说是拥有哪些站点,那些域名的注册信息具体是什么等等相关信息,因此 WHOIS 反查也可称之为域名反查。
-
Whois 反查方式
(1)根据已知域名反查,分析出此域名的注册人、邮箱、电话等字段;
(2)根据已知域名 WHOIS 中的注册邮箱来反查得出其它域名 WHOIS 中注册邮箱与此相同的域名列表;
(3)根据已知域名 WHOIS 中的注册人来反查得出其它域名 WHOIS 中注册人与此相同的域名列表;
缺点:很多公司都是 DNS 解析的运营商注册的,查到的是运营商代替个人和公司注册的网站信息。
https://whois.chinaz.com/
-
域名反查:
https://whois.chinaz.com/reverse?ddlSearchMode=0
-
邮箱反查:
https://whois.chinaz.com/reverse?ddlSearchMode=1
-
注册人反查:
https://whois.chinaz.com/reverse?ddlSearchMode=2
-
电话反查:
https://whois.chinaz.com/reverse?ddlSearchMode=3
https://whois.aizhan.com/reverse-whois/
(5)备案信息
备案号是网站是否合法注册经验的标志,可以用网页的预备号反查出该公司旗下的资产。
https://beian.miit.gov.cn/
https://icplishi.com/
(6)子域名
A、子域名简介:
子域名指二级域名,二级域名是顶级域名(一级域名)的下一级。
B、常见搜索引擎Goog leHacking语法:
-
1.intext:(仅针对Google有效)把网页中的正文内容的某个字符作为搜索的条件
-
2.intitle:把网页标题中的某个字符作为搜索的条件
-
3.cache:搜索“搜索引擎”里关于某些内容的缓存,可能会在过期内容中发现有价值的信息
-
4.filetype:指定一个格式类型的文件作为搜索对象
-
5.inurl:搜索包含指定字符的URL
-
6.site:在指定的(域名)站点搜索相关内容
-
7.Index of:查找允许目录浏览的页面,比方说我想看看/admin目录下的文件(部分网站因为配置疏忽的原因,导致目录可以被 所有人访问,目录的文件也可以被下载)
C、第三方web接口:
https://dnsdumpster.com/
https://developers.virustotal.com/reference/domains-relationships
https://www.nmmapper.com/sys/tools/subdomainfinder/
D、网络空间安全搜索引擎
资产测绘平台是针对互联网的公开信息资产进行定期的资产探测,通过长期的互联网资产收集,结合数据分析手段,可以快速的针对目标资产进行资产收集,以这样的方式,现对网络空间资产的准确识别、发现与安全检测、从而掌握网络空间资产安全风险态势,提升资产安全治理水平,降低资产安全维护管理成本
-
FOFA
FOFA是白猫汇推出的一款网络空间搜索引擎,它通过进行网络空间测绘,能够帮助研究人员或者企业迅速进行网络资产匹配,列如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。
https://fofa.info/
-
鹰图
奇安信网络空间测绘平台(简称HUNTER平台),可对全球暴露在互联网上的服务器和设备进行:资产探测、端口探活、协议解析、应用识别。通过网络空间测绘技术,将地理空间、社会空间、网络空间相互映射,将虚拟的网络空间绘制成一幅动态、实时、有效的网络空间地图,实现互联网资产的可查、可定位,帮助客户解决互联资产暴露面梳理的难题。
https://hunter.qianxin.com/
-
钟馗之眼
钟尴之眼ZoomEye是启明星辰推出的一个检索网络空间节点的搜索引擎。通过后端的分布式爬虫引擎对全球节点的分析,对每个节点的所拥有的特征进行判别,从而获得设备类型、固件版本、分布地点、开放端口服务等信息。
https://www.zoomeye.org/
https://myssl.com/ssl.html
3.IP信息收集
(1)IP反查域名
http://stool.chinaz.com/same
https://site.ip138.com/
如果渗透目标为虚拟主机,那么通过IP反查到的域名信息很有价值,因为一台物理服务器上面可能运行多个虚拟主机。这些虚拟主机有不同的域名,但通常共用一个IP地址。如果你知道有哪些网站共用这台服务器,就有可能通过此台服务器上其他网站的漏洞获取服务器控制权,进而迂回获取渗透目标的权限,这种技术也称为“旁注”。
(2)域名查询IP
https://ipchaxun.com/
http://ip.tool.chinaz.com/
知道一个站点的域名需要得到它的IP以便之后获取端口信息或扫描等后续工作。
(3)C段存活主机探测
查询与目标服务器IP处于同一个C段的服务器IP
A.使用Nmap探测
nmap -sP www.XXX.com/24
nmap -sP 192.168.1.*
(4)CDN
CDN简介:
https://zhuanlan.zhihu.com/p/52362950
https://baike.baidu.com/item/%E5%86%85%E5%AE%B9%E5%88%86%E5%8F%91%E7%BD%91%E7%BB%9C/4034265
CDN即内容分发网络。CDN是构建在网络之上的内容分发网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、调度等功能模块,使用户就近获取所需内容,降低网络拥塞,提高用户访问响应速度和命中率
CDN判断:
-
A.多地ping:用各种多地ping的服务,查看对应IP地址是否唯一
http://ping.chinaz.com/
https://ping.aizhan.com/
http://www.webkaka.com/Ping.aspx
-
B.国外ping:因为有些网站设置CDN可能没有把国外的访问包含进去,所以可以这么绕过
https://ping.eu/ping/
DNS绕过:
-
A.查询子域名的IP
https://ip.tool.chinaz.com/ipbatch
CDN流量收费高,所以很多站长可能只会对主站或者流量大的子站点做了CDN,而很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的IP来辅助查找网站的真实IP
-
B.MX记录邮件服务
MX记录是一种常见的查找IP的方式。如果网站在与web相同的服务器和IP上托管自己的邮件服务器,那么原始服务器IP将在MX记录中。
-
C.查询历史DNS记录
https://viewdns.info/iphistory/
https://www.ip138.com/
查看IP与域名绑定的历史记录,可能会存在使用CDN前的记录;
域名注册完成后首先需要做域名解析,域名解析就是把域名指向网站所在服务器的IP,让人们通过注册的域名可以访问到网站。
IP地址是网络上标识服务器的数字地址,为了方便记忆,使用域名来代替IP地址。
域名解析就是域名到IP地址的转换过程,域名的解析工作由DNS服务器完成。
DNS服务器会把域名解析到一个IP地址,然后在此IP地址的主机上将一个子目录与域名绑定。
域名解析时会添加解析记录,这些记录有:A记录、AAAA记录、CNAME记录、MX记录、NS记录、TXT记录。
(5)DNS记录类型:
https://developer.aliyun.com/article/331012
记录:
用来指定主机名(或域名)对应的IP地址记录 通俗来说A记录就是服务器的IP,域名绑定A记录就是告诉DNS,当你输入域名的时候给你引导向设置在DNS的A记录所对应的服务器。
NS记录:
域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析。
MX记录:
邮件交换记录,它指向一个邮件服务器,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。
CNAME记录:
别名记录,允许您将多个名字映射到同一台计算机·
TXT记录:
一般指某个主机名或域名的说明·
-
泛域名与泛解析
泛域名是指在一个域名根下,以*.Domain.com
的形式表示这个域名根所有未建立的子域名。泛解析是把*.Domain.com
的A记录解析到某个IP地址上,通过访问任意的前缀.domain.com
都能访问到你解析的站点上。
-
域名绑定
域名绑定是指将域名指向服务器IP的操作
原文始发于微信公众号(Piusec):信息收集01
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论