引用来源：微信公众号 WgpSec 狼组安全团队

0x00 前言

解决问题

TIG (Threat Intelligence Gathering) 即威胁情报收集

在蓝队进行溯源工作时，通常有以下场景：

1、需要对 IP 的威胁情报信息、域名反查备案、IP 存活等信息进行查询

2、需要对多个攻击 IP 进行查询

为了提高蓝队在进行这项工作时的效率，为此简单编写了一个威胁情报收集的小工具。

工具代码完全开源，放心使用，绝不是钓鱼！！XDM有问题可以在GitHub提issue或者关注底部公众号加入团队官方交流群~

我们也会根据大家反馈的内容持续完善！

工具介绍

TIG 项目地址（完全开源）

https://github.com/wgpsec/tig

https://gitee.com/wgpsec/tig

当前该工具获取 IP 的信息有以下几个角度：

1、微步情报信息：获取到 IP 的标签信息、是否恶意 IP、地理位置等等

2、IP 域名反查：获取到 IP 对应的域名，从而根据域名查询到备案信息和 Whois 信息

3、Fofa 信息：获取到 IP 可能开放的端口和 IP 对应的域名信息

4、Ping 存活检测：判断 IP 是否存活

假设在获取到的信息最大化情况下，通过 TIG 可以一键发现 IP 对应的情报标签、域名、域名注册人、备案邮箱、备案号、备案单位、域名注册商、IP 开放端口、地理位置等等信息。

后续将集成更多模块，如有好的建议或遇到 Bug 欢迎提 issue

0x01 安装

该工具需要 python3 环境支持，直接到 python.org 或 pan.wgpsec.org 下载对应自己系统的安装包安装即可。

安装好 Python3 环境之后运行以下命令即可完成 TIG 的安装。 

（如遇到网络问题可以使用国内镜像源 https://gitee.com/wgpsec/tig.git）

git clone https://github.com/wgpsec/tig.git

cd tig

pip3 install -r requirements.txt

python3 tig.py

看到评论区有害怕git命令执行的朋友，可以直接下载打包好的仓库

https://gitee.com/wgpsec/tig/repository/archive/master.zip

https://github.com/wgpsec/tig/archive/refs/heads/master.zip

0x02 使用

使用介绍

帮助信息：

-h, --help 查看帮助信息

-c CONFIG 指定配置文件，默认 ./config.ini

-f FILE IP 文本，一行一个

-i IP 目标 IP

-p PROXY 指定代理，比如：http://127.0.0.1:1080 或者 socks5://127.0.0.1:1080

在开始使用工具之前，为了获取到更多的信息，可以选择将您的 API 添加到配置文件中。

只要运行一下程序就会自动生成配置文件，默认配置文件如下：

[Threat Intelligence]

# 微步威胁情报查询，查看 api 地址：https://x.threatbook.cn/nodev4/vb4/myAPI（每天 50 次的免费额度）

ThreatBook_enable = true

ThreatBook_api = ''

[IP Passive Information]

# IP 反查，调用 http://api.hackertarget.com/reverseiplookup/ 和 http://api.webscan.cc/ 的 api 接口

IP_reverse_enable = true

# ICP 备案信息查询，调用 https://api.vvhan.com/api/icp 的 api，如果目标 IP 没有反查到域名，该项即使开启也不会有输出

ICP_beian_enable = true

# Whois 信息查询，调用 https://api.devopsclub.cn/api/whoisquery 的 api

Whois_enable = true

# Fofa ip 信息查询，查看 api 地址：https://fofa.so/personalData（付费，普通会员每次100条，高级会员每次10000条）

Fofa_enable = true

Fofa_email = ''

Fofa_api = ''

[IP Active Information]

# 利用 ping 命令对 IP 进行存活检测

IP_survive_enable = true

在配置文件中，需要配置 API 的地方有两处，分别为微步 API 和 Fofa API。

查看自己微步 API Key 的地址为：https://x.threatbook.cn/nodev4/vb4/myAPI，免费账户有每天 50 次的限额。

查看自己 Fofa API Key 的地址为：https://fofa.so/personalData，普通会员每次免费前 100 条，高级会员每次免费前 10000 条。

示例

例如这里要获取某个 IP 的信息，直接使用 -i 命令即可。

对于获取多个 IP 的情况，可以将要查询的 IP 放到一个 txt 文件里，之后使用 -f 命令指定 txt 文件即可。

实战

在实际在使用中，可以直接使用 TIG 查看目标 IP 威胁情报信息，从而快速判断该 IP 是否具有溯源价值，以提高整个溯源过程的效率。

比如如果通过 TIG 判断目标 IP 是 IDC 机房恶意 IP，同时主机能 ping 通，而且还可能开放了一些端口，这时就可以多花些时间看看这个 IP。

如果通过 TIG 判断目标 IP 是动态非恶意 IP，而且也不能 ping 通，那就可以少花些时间在这个 IP 上或者直接看下一个 IP。

0x03 最后

如果各位师傅在使用工具的过程中发现存在 bug 或者有好的建议，欢迎多多提 issue。

如果感觉使用起来还不错，欢迎师傅赏个 star ！！！！ 

本文始发于微信公众号（Hacking黑白红）：蓝队神器 基于微步情报API的威胁情报收集溯源工具 TIG