红队信息搜集

    万物的起源是信息搜集，渗透的本质也是信息搜集。无论是渗透测试亦或者是HVV，在对靶标无法进一步攻击时，信息搜集就会成为突破靶标的关键。

1、域名信息搜集

    域名信息搜集主要搜集方式有子域名爆破、搜索引擎、网络空间搜索引擎、企业信息查询等，通过搜索子域名可以快速的发现目标的弱资产，可以第一时间获取弱资产的权限。

    1）子域名爆破

        • Layer子域名挖掘机

        • SubDomainsBrute

        • 灯塔（ARL）

        • Goby 

        • ……

    2）搜索引擎

        • google

        • baidu

        • bing

        • ……

    3）网络空间搜索引擎

        • fofa

        • shodan

        • virustotal

      • hunter

      • ……

    4）企业信息查询

      • 天眼查

      • 企查查

      • 爱企查

2、ip信息搜集

    ip信息包括：端口、banner信息、同ip网站信息、同ip网段信息等。

    1）ip端口信息搜集

      • nmap端口扫描

      • 灯塔（ARL）

      • GOBY

      • ......

    2）真实IP获取（绕CDN）

      • 子域名

      • DNS记录

      • 国外主机解析域名

      • phpinfo

      • 邮件

      • 多地ping

      • 利用SSL证书寻找真实原始IP

      • ......

    3）旁站信息搜集

      • 同ip网站查询

      • 搜索引擎

      • ......

    4）C段主机信息搜集

      • 扫描器

      • 搜索引擎

      • fofa

      • ......

案例分享

案例1

    某大学附属医院通过目录扫描发现旁站www.lz*****.cn，后台登录地址http://www.lz*****.cn/admin/Menu.htm和备份文件http://www.lz*****.cn/admin.rar。查看管理登录源码信息发现后台编辑器地址

    数据库备份

    后台地址

    进入后台以后上传文件，获取webshell，提权，获取到目标靶机的权限。

3、互联网信息搜集

    互联网上的敏感信息主要有指纹识别（主要是快速确认靶机的cms，以便快速的利用相关漏洞进行定向攻击）、敏感目录信息（敏感路径可能会泄漏上传接口、泄漏代码等信息，可以对代码进行白盒审计等攻击操作））、互联网信息（百度云盘、github、供应商等信息，通过这些敏感信息可能泄漏账号密码等信息）。

    1）指纹识别

      • 关键字识别，powered by xxxcms；content字段等等

      • 特定文件或路径，wp-admin；robots.txt等等

      • 响应头， Server；X- Powered-By；Set-Cookie

      • 指纹识别工具，whatweb；Wappalyzer ；Whatruns ；W11scan 等等

    2）敏感路径探测

       • 工具扫描，burpsuite；dirsearch；JSFinder；御剑等等

    3）互联网信息搜集

      • git、svn等源码泄漏

      • 手机号、邮箱等信息泄漏

      • 默认密码或密码规则泄漏

      • github、网盘、QQ群等敏感信息泄漏

      • 供应商，买源码

      • 微信公众号、小程序

      • js中敏感信息

总结一下互联网信息搜集就是

案例分享

案例1

    某项目github泄漏ak和sk，控制3个BUCKET ，包含大量用户的手持身份证 

案例2

    某市HW，某学校默认账号密码为：工号/身份证后六位

4、社会工程信息搜集

    1）whois信息

    2）手机、邮箱（同网站信息收集）

    3）社工库查邮箱手机

    4）客服电话

    5）地域信息

    内网信息搜集主要是以内网中的账户、密码、网络拓扑、网段、操作系统、端口、域控等信息为主，如：内网的密码本、通用口令、操作系统漏洞等均可以直接获取对应系统的权限。

1、本机信息搜集

    1）用户信息 

      • net user

      • net user /domain

      • cat /etc/passwd

    2）主机信息

      • systeminfo

      • lsb_release -a

      • history

      • arp -a

      • Windows recent文件

      • Windows登录日志

      • last或lastb

    3）进程信息

      • tasklist

      • ps –ef

      • top

    4）端口信息

      • netstat -ano

      • netstat -ntulp

    5）补丁信息

      • wmic qfe list full

    6）密码搜集

      • 本机密码

      • 浏览器密码

      • 数据库密码

    快速查询mysql包含用户、密码等字段的数据库和数据表

select table_schema as db,table_name as tables,column_name as columns from information_schema.columns where column_name like '%user%' or column_name like '%pass%' or column_name like '%login%';

    在主机CMD中执行如下命令可以批量快速定位敏感文档文件

for /r D:/Data/ %i in (*account.docx,*pwd*.docx,*login*.docx,*login*.xls) do @echo %i >> c:/windows/debug/result.txt

2、敏感信息搜集

    1）共享文件

    2）密码本

    3）WIKI

    4）内网Gitlab

    5）内网SVN

    6）备份文件

    7）通讯录

3、网络框架搜集

    1）扫描工具

      • fscan

      • cs

      • msf

      • …

    2）系统命令

      • arp -a

      • route print -4

      • hosts文件

      • /etc/profile

      • …

4、网络拓扑文件

5、网络设备

6、安全设备

    信息搜集远不止于此，最后借用大佬的几句话。