Web攻防之红队外围信息收集归纳

admin 2022年1月13日22:02:00安全文章评论84 views21146字阅读70分29秒阅读模式

Web攻防之红队外围信息收集归纳

网安教育

培养网络安全人才

技术交流、学习咨询

我不是一条咸鱼,而是一条死鱼啊!

外围打点前言

由于红队不同于一般的渗透测试,强调更多的是如何搞进去拿到相应机器权限或者实现某特定目的,而不局限于你一定要在什么时间,用什么技术或者必须通过什么途径去搞,相比传统渗透测试,红队则更趋于真实的入侵活动,这种场景其实对防御者的实战对抗经验和技术深度都是比较大的挑战

信息收集方式一般采取以下几种方式在搜索引擎(如:baidu、google)进行搜索:

 1主站相关联的链接,主站链接下可能会放置跳转,如邮件、OA等相关系统。
2
3主站子域名进行搜索,通过二级或三级域名进行目标搜索相关域名。
4
5主目标相关title,主要为搜索一些没有设置域名只有相关IP的系统。
6
7主目标相关body,这种搜索方式误报率比较高,通过一些条件可筛选出相关联系统。
8
9C段探测,一般前几种搜索方式获取相关IP,然后探测可能存在的C段,可获取一些没有相关联信息的隐藏资产。
10
11端口探测,扫描是否存在其他的web服务,或可利用的、可爆破的、未授权的端口等。
12
13邮件账号收集,一般为发布在公网上招聘、联系方式等,然后可进行弱密码破解。

首先,选择主要进攻目标原则:

1资产范围比较庞大。因为资产范围广,容易出现不被关注的系统,安全性可能存在疏忽,比较容易进行突破;
2
3受关注比较低的。由于受到关注度高的系统,如果受到攻击,影响会比较大,安全性会比一般的高。所以需要选择受关注比较低的系统做为突破口;
4
5没有与资金直接关系的系统。涉及资金交易的系统,安全性受到重视度最高,突破难度大,所以不选择;
6
7安全管理不够完善的单位。安全管理不够完善的单位做为突破口,容易发现弱口令或密码相同,人员安全意识不高,容易利用钓鱼手段做为突破口;

一般红队攻击分为三个阶段:

第一阶段

定位好主要攻击目标后,一起寻找主要突破口,当成功撕开一个突破口后进入第二阶段;

第二阶段

由于刚撕开突破口,不宜动作太大,所以由主要攻击手进行内网探测信息收集,以及留后门工作,寻找其他跳板机;另外两人进行次要目标的寻求突破,当主攻手成功获取其他跳板机后,或者次要目标找到突破口进入第三阶段;

第三阶段

全力挖掘内网,尽量得分,寻求拿下任务目标系统。

攻击手段

主要是通过以下途径开展渗透攻击:一是通过SQL注入、文件上传漏洞等攻击方式,对目标系统开展攻击,获取系统权限;二是利用后台、用户弱口令漏洞,获取网络及信息系统关键信息;三是利用系统已知漏洞,直接获得系统服务器权限。

当攻陷的服务器处于内网之中,将进一步深入进行内网漫游。

由于不同目标防守方一般经过行业划分,所以防守实力强弱差距比较大。

防守方最强的为金融行业,毕竟与金钱有着直接关系的,受到关注度也是最高,安全投入最高,就算突破也很难获取大量得分,所以大多数攻方都不以金融行业为主要攻击目标。

其次防守比较强的行业为重要企业,由于企业对外网络服务的业务少,受众面不如政府、金融行业,再加上企业对安全管理比较重视,所以企业属于易守难攻类型。

防守比较薄弱的几个行业如下:

运输交通、政府公众服务类、能源矿产类、电力等这几类系统的特点:

资产庞大,业务系统驳杂、全国各地都有甚至到县城,容易被找到突破口。

没有统一的安全管理,由于庞大系统需要多个管理员一起维护,一旦有重大漏洞爆出往往会出现响应不及时的现象。例如:在互联网上传播最新漏洞信息,防守比较强的行业能在第一时间内修复漏洞或者找到临时应对的方法。而防守薄弱的可能,没有获取相关信息,或者在了解信息后,没有比较好的解决方法选择极端的防守方式关闭站点。

安全边界防护不严格,由于系统庞大系统需要布满全国各地,地方可能也会开放自己的业务系统,一旦一个地方被入侵成功,就可连通全国各地的内网,以点破面全部沦陷的风险。

排查攻击能力较弱。

例如:在内网中发现攻击或木马后门,防守强的行业能在发现后门后,分析出攻击的入侵点,并能锁定哪些资产可能被入侵进行彻底排查。而防守比较弱的队伍可能无法发现后门,或者无法彻底清除后门,导致在管理以为彻底修复问题后,内网仍然被入侵。

说太多没有用的东西了,正式进入本次话题... ...

0x01 信息收集踩点

Googe Hacke 搜索如需更多搜索引擎语法前往 以下是利用GHDB结合搜索引擎高级指令进行敏感信息获取的对应表:

Web攻防之红队外围信息收集归纳

Web攻防之红队外围信息收集归纳

Web攻防之红队外围信息收集归纳

补充部分:还有其它得语法,不管是github 还是fofa、谷歌,语法组合一起使用的威力有时会有意想不到的结果

0x02 GitHub 信息收集

数据库信息泄露

1site:github.com  root password
2
3site:github.com  sa password
4
5site:github.com  User ID=’sa’;Password

svn信息泄露

1site:github.com  svn
2
3site:github.com  svn password
4
5site:github.com  svn username
6
7site:github.com  svn username password

数据库备份文件

1site:github.com  inurl:sql

综合信息泄露

1site:github.com  password
2
3site:github.com  ftp ftppassword
4
5site:github.com  密码
6
7site:github.com  内部

Github 信息收集

1https://github.com/michenriksen/gitrob
2
3https://securitytrails.com/blog/github-dorks

0x03 搜索空间信息收集

子域名中的常见资产类型一般包括办公系统,邮箱系统,论坛,商城等,其他管理系统,网站管理后台等较少出现在子域名中。

首先找到目标站点,在官网中可能会找到相关资产(多为办公系统,邮箱系统等),关注一下页面底部,也许有管理后台等收获。

查找目标域名信息的方法:

Web攻防之红队外围信息收集归纳

0x04  端口、邮箱、备案收集

Web攻防之红队外围信息收集归纳

0x05 端口检测

Web攻防之红队外围信息收集归纳

0x06 邮箱收集技巧

使用邮箱地址查找工具

· 批量邮箱验证

 11)Clearbit Connect:可免费访问,每月免费搜索上限100个;
2
32)Hunter:每月免费搜索上限100个,付费每月49美元起,每月搜索上限1000个起;
4
53)Findanyemail 2.0:每月免费搜索上限100个,付费每月49美元起,每月搜索上限5000个起;
6
74)toofr:首次使用可免费搜索30个,之后每月19美元,每月搜索上限2500个起;
8
95)Voila Norbert:首次使用可免费搜索30个,之后每月49美元起,每月搜索上限1000个起;
10
116)Anymail finder:首次使用可免费搜索20个,之后每月18美元起,每月搜索上限200个起;
12
137)Find That Email:首次使用可免费搜索15个,之后每月19美元起,每月搜索上限500个起;
14
158)Snovio 查看三度人脉以内的邮箱
16
179)Rapportive 输入邮箱或者将鼠标悬浮在Gmail中任意一个联系人的邮箱,此工具会立马给出相应联系人的详细LinkedIn个人资料信息
18
1910)Emailmatcher:无限免费搜索。
20
2111)SellHack:输入名称和域名,然后扫描邮件服务器以查找所有匹配的电子邮件地址。替代品:Clearbit

· 性格+其它收集

1Crystal 性格分析工具(使用相同或相似分析后判断是否有可能是同公司的)
2
3收集目标网站信息构造文件内容(批量发送邮件验证)
4
5Google、必应、百度浏览器搜索相关邮件信息

这里解释一下如上说的一些搜索信息大致分为三类:

第一种:目标单位正在运营的网站,例如官方网站,社交网站等

第二种:保留在第三方网站上的信息,例如用于注册公司信息的网站,行业网站,招聘网站等

第三种:最后一个类别与关键字相关

在这三种类型的网站中,第一类和第二类网站确实有价值

(该公司的官方网站通常可以找到开发历史,主要产品和市场信息。社交网站通常使我们能够找到关键人物的职业信息。第三方网站上的信息通常使我们能够找到有关公司的更深入的信息,例如资产净值,公司的业务状况和员工人数。展示的信息。)

Bloomberg 是专门用于查询公司信息的网站

whois 适合查询个人注册的公司、历史快照、从Bloomberg 相关关键人员信息

通过网站的通用联系表单和邮箱。

PS:通常,邮件接收人会猜你是不是有重要的事,然后又因为他跟你的目标人基本无利益冲突,很可能会热心的帮你这个忙。

验证邮箱真假(https://www.mail-verifier.com/ (邮箱侦探 验证电子邮件地址有效性!)、https://verify-email.org/ (核实邮件)、https://www.emailcamel.com (批量验证收费))

· SKYPE 工具使用

“一个” 直接使用SKYPE查找客户

11)使用产品关键字在SKYPE中搜索客户(当前正在与客户聊天!)
2
32)使用行业名称在SKYPE中搜索客户
4
53)搜索之后,在SKYPE个人资料图片中使用客户的SKYPE名称,昵称,信息和客户的公司LOGO来过滤和添加客户

“两个” 使用客户查询信息来搜索客户的SKYPE

11)在SKYPE中搜索客户网站名称(在www之后和点之前)
2
32)使用客户电子邮件@前content在SKYPE中搜索
4
53)使用客户名称在SKYPE中搜索。
6
74)使用客户公司名称在SKYPE中搜索

“三” 将客户的邮箱放在Skype上进行搜索,然后可以搜索客户的Skype ID,以便您可以及时与客户在线聊天。(当前,使用此方法搜索有较大意图的先前客户)

分类目标单位类型

· 外贸或类似食品类型

  11)展览客户-展览将遇到一些新客户,通过交流和网站调查,可以确定一些精确的买家。
 2
 32)B2B查询-通过分析查询客户,可以确定一些精确的买家。
 4
 53)海关数据通过关键字搜索+数据分析,您可以找到与自己公司实力相匹配的准确买家。
 6
 74)公司名称和联系方式放在LinkedIn、Facebook等国外社交媒体平台上进行搜索
 8
 93)猜测邮箱姓、名等地址:metricsparrow.com/toolkit/email-permutator
10
114)谷歌指定搜索,例如名称
12
13假设对方叫做Ken Lyons,可利用的谷歌搜索指令如下:
14
15● site:companywebsite.com + ken.lyons [at] companyname.com
16
17● site:companywebsite.com + kenlyons [at] companyname.com
18
19● site:companywebsite.com + klyons [at] companyname.com
20
21● site:companywebsite.com + ken [at] companyname.com
22
23● site:companywebsite.com + ken_lyons [at] companyname.com
24
25● site:WEBSITE.com+[name]+email
26
27● site:WEBSITE.com+[name]+contact
28
29● NAME email
30
31● NAME contact
32
33● “FIRSTNAME LASTNAME” email
34
35● “FIRSTNAME LASTNAME” contact
36
375)利用the Harvester 可以查找电子邮箱和子域名
38
396)使用Pipl查找
40
417)外贸搜(waimaosou.com)
42
43鹰眼搜(yingyanso.cn)
44
45微匹(veryvp.com)
46
47类似微匹搜索的网站(email-format.com)
48
49skymem搜索邮箱(skymem)
50
518)邮件反查工具(懒得工具)
52
539)知道客户和国家/地区的全名,通过此URL查询客户信息(peoplelooker、beenverified)
54
5510)探测邮箱(免费)
56
5711)www.emailgo.cn进行注册。您只能输入URL,找到邮箱,并找到更多,更完整和可靠的邮箱。
58
5912)www.email-format.com,无需注册。
60
6113)emailhunter.co,如果您要注册,每个月丢失网站地址只能找到150个电子邮件地址。
62
6314)www.yingyanso.com,要注册,有客户端下载,客户端电子邮件结果比较完整,搜索URL或产品名称查找电子邮件.
64
6515)teemo扫描工具(提莫)
66
6716)www.mingluji.com 名录集
68
6917)buyerinfo.biz.cutestat.com 世界买家网
70
7118)谷歌地图搜索,搜索邮箱
72
73www.52wmb.com
74
75www.365trade.com.cn
76
77cn.panjiva.com
78
7919)领英、脉脉、陌陌、youtube、twitter、pinterest、google+,vk,tumblr等国外社交网站发布产品
80
8120)istagram 国外社交软件搜索邮箱
82
8321)Snovio 自动化搜索邮箱(免费试用)
84
8522)中国制造,环球资源,环球资源、tradekey等等B2B平台,搜索邮箱
86
8723)souyouxiang.com 搜邮箱
88
8924)常用外贸B2B
90
91Global Sources、Alibaba、Kompass、Aliexpress、Globalimporter、hktdc、Eworldtrade、Mytradezone、Dhgate
92
9325)常用外贸搜索
94
95Google、Yahoo、who.is、商务部买家数据、海关及海关数据、Icanopen、Thomasnet、Kellysearch、Ezilon、Ask
96
9726)中国(中国最有影响力搜索引擎、中国最有影响力B2B网站、中国本国黄页网站、中国国家政府官方经典对外经贸网站、中国新闻信息网站、中国银行证券网站、中国相关信息网站)
98
99https://www.b2bwz.com/guobie/yazhou/china.htm
100
10127)谷歌邮箱插件
102
10328)邮箱工具
104
105http://www.qunfa158.com/software-email-search
106
10729)谷歌查找
108
109公司名称+ Google查找电子邮件
110
111公司地址+ Google查找电子邮件
112
113公司网站+ Google查找客户
114
115公司电话+ Google查找客户
116
117http://www.qunfa158.com/software-email-search
118
11930)软件(网络登录)—猎人
120
121名称:hunter.io
122功能:按域名查找邮箱,使用非KP邮箱(如INFO)
123用法:可以找到相应的来源
124
12531)软件(网络登录)
126
127名称:connect.data.com
128功能:免费账户可以查询2家公司的邮箱,邮箱的信誉还可以
129用法:
130
131   1)支付或上传数据以换取积分
132   2)电子邮件验证需要时间
133
13432)海关数据
135
136外贸数据(https://www.52wmb.com/)
137出口贸易(http://www.e8t.com/information/)
138
13933)电话联系以获取电子邮件
140
141用法:
142a. 直接联系老板进行沟通(中小企业直接与老板沟通),获取对方的邮箱
143b. 如果老板不在等,请向收件人询问电子邮件地址
144提示:通知被叫人紧急情况或作为买方查询老板的电子邮件地址;检查与被叫方的老板电子邮件地址(按照1a,询问他的邮箱是否错误并被退回)
145c. 致电公司销售人员获取其电子邮件地址,然后以电子邮件格式插入相应的联系人姓名。或与他们核对联系电子邮件是否有问题。
146d. 如果以上b或c方法均不能确认Boss邮箱,请找一名管理人员并告知他们订单信息已发送给Sales和Boss,但Boss邮箱将返回该信件,需要进行检查。
147
14834)猜邮箱法
149
150名称:猜测联系电子邮件+发送给公司INFO,SALES等的电子邮件
151功能:猜测邮箱后,结合使用邮箱身份验证工具,或发送公司的公共邮箱以请求转发
152用法:猜猜联系电子邮件。例如,如果老板是史蒂文·利维(Steven Levy),则联系电子邮件可能是:    steven.[email protected]xxx.com;
153[email protected]xxx.com ;
154[email protected]xxx.com ;
155[email protected]xxx.com ….
156b。发送到公司的公共邮箱,并在电子邮件中写上老板的姓名和职位。
157例如,如果老板是史蒂文·利维(Steven Levy),请发送电子邮件至[email protected]xxx.com。[email protected]xxx.com; [email protected]xxx.com…并写信给Dear Steven Levy

· 邮箱收集工具

 1深维软件开发有限公司
2
3Google邮箱搜索器(深维软件外贸版)
4
5深维百度邮箱搜索软件
6
7深维超级邮箱搜索软件
8
9深维手机号码搜索软件
10
11深维邮箱填补搜索软件
12
13深维淘宝商家信息采集软件
14
15中国制造网会员信息采集软件
16
17智动软件 – 辅助优化推广软件提供商
18
19智动邮件搜索
20
21智动网页内容采集器
22
23小笨鸟软件
24
25小笨鸟邮箱采集大师—客户邮件地址email精准搜索软件
26
27小笨鸟手机号码采集大师—客户手机按号段精准搜索软件
28
29邮件营销大师
30
31邮箱地址批量验证大师2017
32
33邮箱地址批量验证专家商业版(免费软件)
34
35全网邮箱批量采集工具(支持百度、谷歌、搜狗、360)
36
37邮件营销大师2019
38
39群发158
40
41158邮件地址搜索专家
42
43158手机号码搜索专家
44
45社交电子邮件提取器Pro
46
47在线潜在顾客查找器Pro
48
49Encryptomatic MailDex

思路:

根据目标客户关键词搜索目标客户网址,深度搜索网站邮箱,客户域名注册邮箱,社交平台邮箱,数据平台 邮箱,聚合算法邮箱,深度算法邮箱,多种大数据全面抓取有价值邮箱,不仅提取网站本身联系人,更加广泛挖掘社交SNS联系人,逆向批量分析客户邮箱公司名字职位搜索,分析联系人的身份和职位,有效找到CEO和采购负责人,让您高效联系潜在客户;海关数据结合社交平台客户公司详细信息,直接找出决策人采购,精准找到可被钓鱼的人员。

邮件服务入口

查询域名MX记录找到真实ip,扫描该ip的C段,端口(25、109、110、143、465、995、993)

扫描子域名

搜索引擎、Shodan、fofa、zoomeye搜索 site:target.com intitle:”Outlook Web App” site:target.com intitle:”mail” site:target.com intitle:”webmail”

在线搜索邮件

 1https://monitor.firefox.com/breaches 
2
3https://haveibeenpwned.com/ 
4
5https://ghostproject.fr/
6
7https://hunter.io/ 
8
9https://github.com/m4ll0k/Infoga 
10
11http://www.skymem.info/ 
12
13https://smallseotools.com/zh/secure-email/
14
15https://www.email-format.com/i/search/ 
16
17https://github.com/0Kee Team/CatchMail
18
19https://github.com/bit4woo/teemo 

TheHarvester

TheHarvester 能够收集电子邮件账号、用户名、主机名和子域名等信息

验证账户有效性

1https://mailtester.com/testmail.php
2
3https://github.com/Tzeross/verifyemail
4
5https://github.com/albandum/mailtester   配合https://www.aies.cn/pinyin.htm生成人名字典
6
7https://github.com/pentestmonkey/smtp-user-enum   枚举用户名
8
9https://github.com/busterb/msmailprob       枚举邮箱用户

没有SPF 直接用swaks伪造

swaks –to [email protected] –from [email protected] –ehlo 360.cn –body welcome –header “Subject: welcome” –header-X-Mailer SMTP –header-Message-Id ‘<[email protected]>’

其中:

1from <要显示的发件人邮箱>
2
3ehlo <伪造的邮件ehlo头>
4
5body <邮件正文>
6
7header <邮件头信息,subject为邮件标题>

第三方数据可利用地址

 1Google 地图
2
3Linkedin
4
5Facebook
6
7Twitter
8
9B2B网站
10
11Facebook
12
13Skype
14
15其他社交媒体:TikTok、Instagram、Line
16
17海关数据
18
19招聘网站
20
21QQ
22
23微信
24
25企业微信
26
27钉钉
28
29探探
30
31微博
32
33Google、必应、雅虎搜索

利用关键词seo 分析工具

 1https://keywordtool.io/
2https://neilpatel.com/ubersuggest/
3https://moz.com/ (收费,30天试用)
4https://neilpatel.com/ubersuggest/
5https://www.wordtracker.com/(收费,2次10条信息免费)
6https://www.webceo.com/ (需注册,不限次15条信息免费)
7https://www.keyworddiscovery.com/search.html(收费,不限次100条信息免费)
8https://www.keywordtooldominator.com/k/google-autocomplete-keyword-tool(收费,每天3次免费搜索)
9https://kwfinder.com
10https://www.semrush.com
11https://googleautosuggest.wordpress.com/

邮件追踪工具

 1http://www.bananatag.com/email-tracking
2
3http://www.getnotify.com
4
5http://www.whoreadme.com
6
7http://www.ifread.com
8
9http://www.wasmyemailread.com
10
11http://www.didtheyreadit.com
12
13http://www.pointofmail.com
14
15http://www.msgtag.com

插件搜索邮箱

· SNS中的搜索组合方法

名称:如何在linkedin中查找电子邮件

网站:www.linkedin.com

功能:

1)可以找出公司的主要KP及其可能的对应邮箱

2)您可以查看其KP的详细信息,这有助于分析和跟进

用法:

1)使用产品关键字或已知的公司名称,使用COMPANIES维进行搜索

2)进入其公司页面,然后检查其雇员

3)在EMPLOYEES中找到主要KP,添加为CONNECTION后即可看到其邮箱

4)您也可以使用GOOGLE插件查找邮箱

· Google插件

名称:RocketReach

网站:www.rocketreach.co

功能:查找电子邮件(工作电子邮件)+电话号码+完整的个人资料信息+其他活跃的社交平台

2种方式

1)直接在他们的网站上使用3 /月

2)直接在LinkedIn上使用5 /月

用法:

1)仅通过公司电子邮件注册

2)2种用法。如果要在LinkedIn界面上使用它,则需要下载并安装Google插件(不建议在LinkedIn上使用。它违反了LinkedIn的用户协议)

· Google插件-获取电子邮件

名称:获取电子邮件

功能:

1)在LinkedIn上找到该页面的电子邮件地址(您需要下载该插件,安装成功后它将在浏览器中标记出来),在其标题下打开您要查找的人的个人资料,然后单击图标“获取电子邮件”,它将出现

2)有些不确定是否正确,可以与电子邮件验证工具结合使用

用法:

1)在Google App Store中找到并添加后,添加成功后,您将在浏览器中看到此图标;

2)不建议在LinkedIn上使用,因为它违反了LinkedIn的用户协议

· Google插件-原子电子邮件猎人

名称:原子电子邮件猎人

功能:在LinkedIn上找到页面的电子邮件地址(您需要下载插件,安装成功后它将在浏览器中标记),打开要查找的人的个人资料,然后单击图标电子邮件猎人,它会出来

用法:

1)在Google App Store中找到并添加后,添加成功后,您将在浏览器中看到此图标;(不建议在LinkedIn Miles上使用,这违反了LinkedIn的用户协议)

2)也可以安装在桌面上以查看客户电子邮件

· Google插件-FTL(查找线索)

名称:FTL(查找线索)

功能:找到线索,twitter.com

用法:一旦在Google App Store中找到并添加(不建议在LinkedIn Miles上使用,则违反了LinkedIn的用户协议)

· Google插件-Lusha(查找电话号码)

姓名:卢莎(电话号码)

功能:find email & phone from anywhere on web

用法:一旦在Google App Store中找到并添加(不建议在LinkedIn Miles上使用,则违反了LinkedIn的用户协议)

· Google plugin-snov.io

名称:snov.io

功能:从Linkedin个人资料或网站获取电子邮件。使用电子邮件验证程序验证电子邮件,在LinkedIn,Twitter,Facebook或您访问的任何网站上找到潜在客户。

用法:

1)在Google App Store中找到并添加后,添加成功后符号S将出现在右上角。打开您想看到的人的LinkedIn个人资料,在右上角的“ S”,“人员列表”,“电子邮件”中单击(不是(建议用于LinkedIn Miles,违反了LinkedIn的用户协议)

2)注册(开箱即用也可以)直接在网站上使用,您可以执行DOMAIN,EMAIL,PROSPECT等6个方面。

0x07 Whois 查询

通过whois来对域名信息进行查询,可以查到注册商、注册人、邮箱、DNS解析服务器、注册人联系电话等,因为有些网站信息查得到,有些网站信息查不到,所以推荐以下信息比较全的查询网站,直接输入目标站点即可查询到相关信息。

Web攻防之红队外围信息收集归纳

0x08 在线网站备案查询

Web攻防之红队外围信息收集归纳

0x09 查找真实IP

多地ping、nslookup、DNS 历史查询、查找子域名、反向连接、利用SSL证书寻找真实IP、国外解析域名、漏洞利用、目标敏感文件泄露、扫描全网、从 CDN 入手、利用HTTP标头寻找真实原始IP、利用网站返回的内容寻找真实原始IP、F5 LTM解码法

DNS解析与Whois 查询意义何在?

(1)DNS解析记录可以反查IP,比较早的解析记录有时可以查到真实IP,需要留意一下。

(2)注册人电话,注册人邮箱等社工信息可以钓鱼或者收集进字典来爆破目标办公系统。

为何需要收集子域名?

收集子域名可以扩大测试范围,同一域名下的二级域名都属于目标范围。

常用方式

子域名中的常见资产类型一般包括办公系统,邮箱系统,论坛,商城等,其他管理系统,网站管理后台等较少出现在子域名中。

首先找到目标站点,在官网中可能会找到相关资产(多为办公系统,邮箱系统等),关注一下页面底部,也许有管理后台等收获。

查找目标域名信息的方法:

Web攻防之红队外围信息收集归纳

第三方子域名查询

Web攻防之红队外围信息收集归纳


假设:如果目标网站使用了CDN,该如何找到真实IP?

注意:很多时候,主站虽然是用了CDN,但子域名可能没有使用CDN,如果主站和子域名在一个ip段中,那么找到子域名的真实IP也是一种途径,而且说不定子域名IP的C段就存在主域名的真实IP。

1. 部分收集真实IP

1) 多地ping

如果多地ping同一网站,出现多个解析IP地址,那么说明使用了CDN进行内容分发~

http://www.baidu.com

可以看到解析到10多个IP地址,猜测应该是使用了CDN

IP 信息收集网址

Web攻防之红队外围信息收集归纳


windows 系统对应的内核版本和自带 iis 版本

Web攻防之红队外围信息收集归纳


Windows 2000 Server→IIS5.0 Windows XP SP1→IIS5.0 Windows XP SP2,SP3→IIS5.1 Windows Server 2003,xp porfessional →IIS6.0 Windows Vista Ultimate→IIS7.0 Windows 7→iis7, iis7.5 Windows server2008 sp2 sp3 → iis7.0 Windows server2008 R2 ,部分win7→iis7.5 Windows server2008 sp2 sp3 → iis7.0 Windows server2012 ,windows 8 →iis8.0 Windows server2012 r2 →iis8.5 windows server 2016 ,windows 10 →iis10

2) nslookup

使用nslookup查看域名解析对应的IP地址

3) DNS 历史查询

查看IP与域名绑定的历史记录,有可能会存在使用CDN前的记录信息

 1· DNS历史:https://completedns.com/dns-history/
2
3· 域历史记录检查器:https://whoisrequest.com/history/
4
5· 世界上最大的DNS库:https://securitytrails.com/dns-trails
6
7· WHOIS搜索,域名,网站,和IP工具- WHOIS:https://who.is/
8
9· 托管历史|过去的IP, DNS,注册商信息|域名工具:https://research.domaintools.com/research/hosting-history/
10
11· 全球DNS搜索引擎:https://dnsdb.io/zh-cn/
12
13· 网站全国各地Ping值测试|在线ping工具—卡卡网:http://www.webkaka.com/ping.aspx
14
15· CA应用合成监控网站监控服务- Ping – IPv6:https://asm.ca.com/en/ping.php iphistory:https://viewdns.info/iphistory/
16
17· DNS查询:https://dnsdb.io/zh-cn/
18
19· 微步在线:https://x.threatbook.cn/
20
21· 域名查询:https://site.ip138.com/
22
23· Netcraft:https://sitereport.netcraft.com/?url=github.com
24
25· CDN Finder工具:https://www.cdnplanet.com/tools/cdnfinder/

通过大量DNS查漏 查询冷门的DNS的解析或者多地Ping

全球多地ping

1http://ce.cloud.360.cn/
2http://www.webkaka.com/ping.aspx
3https://asm.ca.com/en/ping.php  

查找子域名

很多时候,站长都喜欢对主站或者流量大的子站点加 CDN,很多小站点又跟主站在同一台服务器或者同一个C段内,一些重要的站点会做CDN,而一些子域名站点并没有加入CDN,而且跟主站在同一个C段内,这时候,就可以通过查找子域名来查找网站的真实IP。

常用的子域名查找方法和工具:

1、搜索引擎查询:如Google、baidu、Bing等传统搜索引擎,site:baidu.com inurl:baidu.com,搜target.com|公司名字。

2、一些在线查询工具

如:

1http://tool.chinaz.com/subdomain/
2
3http://i.links.cn/subdomain/  
4
5http://subdomain.chaxun.la/
6
7http://searchdns.netcraft.com/
8
9https://www.virustotal.com/

3、 子域名爆破工具

Layer子域名挖掘机

1wydomain:https://github.com/ring04h/wydomain    
2
3subDomainsBrute:https://github.com/lijiejie/
4
5Sublist3r:https://github.com/aboul3la/Sublist3r

5) 反向连接

让服务器主动连接我们告诉我们它的IP,如RSS邮件订阅、邮箱注册、邮箱密码找回等,很多网站都自带sendmail,通过网站给自己发送邮件,从而让目标主动暴露他们的真实的IP,查看邮件头信息,获取到网站的真实IP。

6) 利用SSL证书寻找真实IP

证书颁发机构(CA)必须将他们发布的每个SSL/TLS证书发布到公共日志中,SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。

SSL证书搜索引擎:

1https://censys.io/ipv4?q=github.com
2
3https://transparencyreport.google.com/
4
5https/certificates?hl=zh_CN
6
7https://www.chinassl.net/ssltools/ssl-checker.html

7) 国外解析域名

国内很多 CDN 厂商因为各种原因只做了国内的线路,而针对国外的线路可能几乎没有,此时我们使用国外的DNS查询,很可能获取到真实IP。

国外多PING测试工具:

1https://asm.ca.com/zh_cn/ping.php
2
3http://host-tracker.com/
4
5http://www.webpagetest.org/
6
7 https://dnscheck.pingdom.com/

8) 漏洞利用

利用漏洞目标服务器主动来连接我们,知道真实IP后,可以实施比如SSRF、XSS盲打,命令执行反弹shell等等。

9) 目标敏感文件泄露

也许目标服务器上存在一些泄露的敏感文件中会告诉我们网站的IP,另外就是如 phpinfo之类的探针了。

例如:配置CDN的时候,需要指定域名、端口等信息,有时候小小的配置细节就容易导致CDN防护被绕过。

案例1:为了方便用户访问,我们常常将www.test.com 和 test.com 解析到同一个站点,而CDN只配置了www.test.com,通过访问test.com,就可以绕过 CDN 了。

案例2:站点同时支持http和https访问,CDN只配置 https协议,那么这时访问http就可以轻易绕过。

10) 扫描全网

通过Zmap、masscan等工具对整个互联网发起扫描,针对扫描结果进行关键字查找,获取网站真实IP。

ZMap:https://github.com/zmap/zmap

Masscan:https://github.com/robertdavidgraham/masscan

11) 从 CDN 入手

无论,是用社工还是其他手段,反正是拿到了目标网站管理员在CDN的账号了,此时就可以自己在CDN的配置中找到网站的真实IP了。

12) 利用HTTP标头寻找真实原始IP

当我们知道一个拥有非常特别的服务器名称与软件名称时,可以通过HTTP标头来寻找真实IP。

Censys 是一款用以搜索联网设备信息的新型搜索引擎,安全专家可以使用它来评估他们实现方案的安全性,而黑客则可以使用它作为前期侦查攻击目标、收集目标信息的强大利器。Censys 搜索引擎能够扫描整个互联网,Censys 每天都会扫描IPv4地址空间,以搜索所有联网设备并收集相关的信息,并返回一份有关资源(如设备、网站和证书)配置和部署信息的总体报告。

censys:https://censys.io/

查找由CloudFlare提供服务的网站的参数的网站有哪些

13) 利用网站返回的内容寻找真实原始IP

浏览网站源代码,寻找独特的代码片段。在JavaScript中使用具有访问或标识符参数的第三方服务(例如Google Analytics,reCAPTCHA)是攻击者经常使用的方法。

以下是从HackTheBox网站获取的Google Analytics跟踪代码示例:

ga(’create’,’UA-93577176-1’,’auto’); 可以使用80.http.get.body:参数通过body/source过滤Censys数据,不幸的是,正常的搜索字段有局限性,但你可以在Censys请求研究访问权限,该权限允许你通过Google BigQuery进行更强大的查询。

Shodan是一种类似于Censys的服务,也提供了http.html搜索参数。

搜索示例:https://www.shodan.io/search?query=http.html%3AUA-32023260-1

14) 利用网站返回的内容寻找真实原始IP

浏览网站源代码,寻找独特的代码片段。在JavaScript中使用具有访问或标识符参数的第三方服务(例如Google Analytics,reCAPTCHA)是攻击者经常使用的方法。

以下是从HackTheBox网站获取的Google Analytics跟踪代码示例:

ga(’create’,’UA-93577176-1’,’auto’); 可以使用80.http.get.body:参数通过body/source过滤Censys数据,不幸的是,正常的搜索字段有局限性,但你可以在Censys请求研究访问权限,该权限允许你通过Google BigQuery进行更强大的查询。

Shodan是一种类似于Censys的服务,也提供了http.html搜索参数。

搜索示例:https://www.shodan.io/search?query=http.html%3AUA-32023260-1

15) F5 LTM解码法

服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取

例如:

Set-Cookie: BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最后的真实ip。

2. phpinfo、旁站和C段

如果目标网站存在phpinfo泄露等,可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真实IP。

旁站往往存在业务功能站点,建议先收集已有IP的旁站,再探测C段,确认C段目标后,再在C段的基础上再收集一次旁站。

旁站是和已知目标站点在同一服务器但不同端口的站点,通过以下方法搜索到旁站后,先访问一下确定是不是自己需要的站点信息。

PS:不是所有C段都是该目标服务器的,可能只是某个范围是或切割多个范围才属于该目标范围的IP段,建议先收集已有IP的旁站,再探测C段,当然有些C段,你别傻不拉几的用Goby或漏扫直接扫,有些有WAF,你线程一大就封你IP,扫或不扫,根据现场测试业务环境决定。

3. 网络空间搜索引擎 如FOFA搜索旁站和C段 Nmap,Msscan扫描等

例如:nmap -p 80,443,8000,8080 -Pn 192.168.0.0/24网络空间搜索引擎

如果想要在短时间内快速收集资产,那么利用网络空间搜索引擎是不错的选择,可以直观地看到旁站,端口,站点标题,IP等信息,点击列举出站点可以直接访问,以此来判断是否为自己需要的站点信息。

FOFA的常用语法

1、同IP旁站:ip=”192.168.0.1”

2、C段:ip=”192.168.0.0/24”

3、子域名:domain=”baidu.com”

4、标题/关键字:title=”百度”

5、如果需要将结果缩小到某个城市的范围,那么可以拼接语句 title=”百度”&& region=”Beijing”

6、特征:body=”百度”或header=”baidu”

扫描敏感目录/文件

扫描敏感目录需要强大的字典,需要平时积累,拥有强大的字典能够更高效地找出网站的管理后台,敏感文件常见的如.git文件泄露,.svn文件泄露,phpinfo泄露等,这一步一半交给各类扫描器就可以了,将目标站点输入到域名中,选择对应字典类型,就可以开始扫描了,十分方便

 11、御剑   https://www.fujieace.com/hacker/tools/yujian.html
2
327kbstorm   https://github.com/7kbstorm/7kbscan-WebPathBrute
4
53、bbscan    https://github.com/lijiejie/BBScan
6
74、dirmap    https://github.com/H4ckForJob/dirmap
8
95、dirsearch    https://github.com/maurosoria/dirsearch
10
116、Github搜索

0x10 指纹识别

收集网站信息,对网站进行指纹识别,通过识别指纹,确定目标的cms及版

Web攻防之红队外围信息收集归纳

0x11 威胁情报平台

Web攻防之红队外围信息收集归纳

0x12 账号/密码/数据泄漏情况查询网站

Web攻防之红队外围信息收集归纳

0x13 匿名邮箱/一次性邮箱/短信/隐私短信

Web攻防之红队外围信息收集归纳

0x14 密码破解/密码生成/MD5破解/MD5加密类网站

Web攻防之红队外围信息收集归纳

0x15 一些在线的命令生成网站,比如反弹shell命令,下载文件命令等等

Web攻防之红队外围信息收集归纳

0x16 在线提权辅助工具或一些提权相关的漏洞

Web攻防之红队外围信息收集归纳

0x17 SSL/TLS证书查询

SSL/TLS证书通常包含域名、子域名和邮件地址等信息,结合证书中的信息,可以更快速地定位到目标资产,获取到更多目标资产的相关信息。

Web攻防之红队外围信息收集归纳

0x18 OSINT调查平台工具

Web攻防之红队外围信息收集归纳

0x19 其它信息收集

互联网上的信息和数据不断更新,每天都会产生新的信息。面对互联网上海量的信息,如何收集民意,如何收集民意信息是一个难题。

那么我们是否能借助舆情信息收集方面的技术来帮我们快速定位相关企业的威胁情报方面的重要信息呢?

1、从媒体收集信息

国内外媒体信息来源非常广泛,尤其是网络媒体信息,传输速度快,周转环节少。此外,媒体报道的信息往往是尖锐和及时的。因此,舆论信息的收集可以从媒体开始,划分不同类型的媒体,然后针对不同类型的媒体,分类别进行收集。

2、运用舆论监督系统进行收集

因为网上的信息种类很多,收集舆论需要很多工作和一定的人力物资。因此,这项工作不能只靠人力来完成。可以使用智能网络舆论来确保网络舆论信息的客观、可靠性、正确的收集网络舆情监测系统工具来设置要监测的主题或关键词,系统将自动监测和收集与整个网络相关的信息,使相关部门和单位能够快速、直观地获取所需的数据和信息内容。

3、实时监控互联网平台信息

突发公共舆论事件通常是由于未及时发现公共舆论信息或未能收集公共舆论监测而造成的。因此,为了及时收集公众意见,我们必须首先确保能够准确掌握公众意见。为了确保快速、准确、准确和完整地收集公众意见,一些舆情监控系统工具还可以实时监控主要权威新闻媒体、主流门户网站、论坛、博客、数字报纸、行业垂直网站、新闻客户端等平台的互联网信息,从而深入准确地分析舆情发展趋势,找到解决问题的关键。

4、推荐类似微热点舆情通的软件

自己写爬虫来解决,但是这个想法精力占用较大,作为一个白嫖党,当然是现场马上能用的最香咯!自己写一个舆情监控系统?我这个编程水平还不够,就是可以,也没这么大的精力!

那么换个方面,自己写比较麻烦!那么网上是不是有写好的舆情监控系统?(免费的!免费是重点,圈起来要考的!)好的!我们打开百度!

金石舆情监测系统

舆情监测范围包含各大新闻门户网站、论坛、贴吧、博客、微博、文档、视频等。您还可以自定义网站采集监测。系统具有类同信息分析、追踪信息源头、制作舆情专题报告的功能。系统能自动预警,自动生成舆情报告 。

马克斯舆情监测(免费版)

马克斯舆情监测免费版,所有用户每天可以使用系统一次,每日24点刷新。中级版用户的查询次数为10次/天,价格为199元/月高级版不仅将用户每日查询次升级为100次/天,价格为1999元/月

项目地址:http://www.gg360.cn/

中科微步

项目地址:http://www.vbu.cn/

微步商情

这个注册最难注册,试了好多接码平台,也可以白嫖免费版的

项目地址:http://e.vbu.cn/#/

探索者互联网舆情监测系统(免费)

搭建在自身系统上面的舆情监控系统

http://www.ourgogo.net/articles.aspx?id=70

舆情录

免费使用,但有限制,即使关键字组合只能是1个

项目地址:http://www.yuqinglu.com/index.html

脉讯互联网传播管理平台

免费版有限制,可以白嫖就对了

项目地址:http://platform.maixunbytes.com/

瞬速互联网舆情监测系统(免费)

一款功能强大、简单实用的互联网情报采集、监控、跟踪与分析的软件。可以时刻监测互联网上最新的新闻、博客、论坛等与您相关的资讯信息。软件提供多种舆情监测功能,网站跟踪、论坛跟贴、全网监测、可以无遗漏地满足了目前互联网信息监测所必需的作业模式。

PS:试用期一个月

瞬速网络信息采集系统(免费)

瞬速网络信息采集系统是一套互联网信息采集软件。软件基于人工智能的自动学习技术,只要输入目标网站的网址就可以自动监测并采集目标网站上最新的资讯信息,自动过滤掉无关的信息(如广告信息、版权信息等)达到了所采即所得的效果。同时,自动识别与资讯信息相关的图片、附件等感兴趣的媒体资源,并可根据设置自动采集到本地或是建立映射快照。除了满足新闻信息的智能采集外,软件可以根据业务需求在软件上自定义配置相应的业务规则,软件可以满足大数据、多分类、跨网站下的多维度的数据采集(如房产信息、求职招聘、汽车数据等)与数据分类管理等。

PS:试用期7天

0x20 搜索引擎收集的所有资产

如上标题里说的资产,不是普通定义中的资产,而是信息收集里面的企业信息资产。

ICMP存活探测–>端口开放探测–>端口指纹服务识别–>提取快照(若为WEB)–>搜索网页敏感内容(邮箱、手机号、URL)–>生成结果报表

此处为什么会这么讲呢?

因为,随着企业内部业务的不断壮大,各种业务平台和管理系统越来越多,很多单位往往存在着“隐形资产”,这些“隐形资产”通常被管理员所遗忘,长时间无人维护,导致存在较多的已知漏洞。

在渗透测试中,我们需要尽可能多的去收集目标的信息,资产探测和信息收集,决定了你发现安全漏洞的几率有多大。如何最大化的去收集目标范围,尽可能的收集到子域名及相关域名的信

息,这对我们进一步的渗透测试显得尤为重要。

APP、媒体公众号等收集

通过百家号、微博、抖音、快手、哔哩哔哩等媒体公众号,可以收集到员工的账号。或是不小心泄露出来的一些web服务。当收集到qq群这种信息时还可以”潜伏”到qq群,qq群文件可能会包含一些敏感的信息。这方面的信息收集能够帮助我们在漏洞利用时构造一些参数值或是进行暴力破解等等。

随着移动端的兴起,很多单位都有自己的移动APP、微信公众号、支付宝生活号等,这也是值得重点关注的点。

通过对APP流量的抓取也可以获取到部分子域名或者ip。

http://www.zyzilxy.top:1220/?p=5328

行业系统

同行业可能存在类似的系统,甚至于采用同一家厂商的系统,可互做对比

通用:办公OA、邮件系统、VPN等

医院:门户、预约系统、掌上医院、微信公众平台等

而关于信息收集,主要就是在资产收集之后,针对单个站点的信息进行收集,主要围绕服务器ip,域名,网站等.

对于更高阶的安全从业人员来说,可以结合威胁情报,对红队人员进行针对性溯源。

对于企业的运维人员来说,可以结合流量日志,对IP信誉进行碰撞,发现隐藏的攻击IP。

对于红队人员来说,可以结合威胁情报搜索攻击资产,从而不必使用目录爆破方式进行批量的爆破,费时费力(有的子目录的名字不好猜,通过爆破目录工具也拿不到)。

有时主站实在弄不动,其实也可以去收集情报,意思就是说:收集主站官网上发布的相关情报信息进行汇总,说不定会有额外的发现。

例如:某Ax集团从2017年开始改名为某AX1集团。但我们分配下来的目标时拿到的目标单位名称是某AX1集团,那么我们猜测,去信息收集相关的某Ax集团资产信息(有些忘记改网站名称,甚至有可能一直使用之前该名称之前的单位名称),我们也可以拿到足够多的情报后,制作针对性的钓鱼邮件,网上收集相关的目标单位的在职人员的邮箱,进行钓鱼

对于女生来说,可以使用情报对男朋友进行溯源。

暂时先写这么多吧,其它的后面再补充... ...

参考链接(很久之前写的草稿,有些链接当时忘保留了,有遗漏的请留言,博主会补上):

1https://mp.weixin.qq.com/s/VJCPAluqz8YDyCxE8HZtdQ
2
3https://mp
.weixin.qq.com/s/SwnFnn9kB-_3fSLvFS5bVQ
4
5https://mp
.weixin.qq.com/s/hZ47n0SgycWxf2lWoRp1ZQ
6
7https://mp
.weixin.qq.com/s/4SIxsPoIICxHxZYs64I5vw
8
9https://mp
.weixin.qq.com/s/QDarNtl9yPjGl8u2QQ2QRA

我自横刀向天笑,去留肝胆两昆仑

Web攻防之红队外围信息收集归纳

版权声明:本文为CSDN博主「菠萝_橙留香」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/Ananas_Orangey/article/details/122450557

版权声明:著作权归作者所有。如有侵权请联系删除

开源聚合网安训练营

战疫期间,开源聚合网络安全基础班、实战班线上全面开启,学网络安全技术、升职加薪……有兴趣的可以加入开源聚合网安大家庭,一起学习、一起成长,考证书求职加分、升级加薪,有兴趣的可以咨询客服小姐姐哦!

Web攻防之红队外围信息收集归纳

加QQ(1005989737)找小姐姐私聊哦

精选文章
环境搭建
Python
学员专辑
信息收集
CNVD
安全求职
渗透实战
CVE
高薪揭秘
渗透测试工具
网络安全行业
神秘大礼包
基础教程
我们贴心备至
用户答疑
 QQ在线客服
加入社群
QQ+微信等着你

Web攻防之红队外围信息收集归纳

我就知道你“在看”
Web攻防之红队外围信息收集归纳

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月13日22:02:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Web攻防之红队外围信息收集归纳 https://cn-sec.com/archives/735768.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: