???第一部分：被動信息收集

1、簡介

? 在信息收集這塊區(qū)域，我將其分為兩部分：第一部分即被動信息收集，第二部分即主動信息收集。

? 對于標(biāo)準(zhǔn)的滲透測試人員來說，當(dāng)明確目標(biāo)做好規(guī)劃之后首先應(yīng)當(dāng)進(jìn)行的便是信息收集，那么在收集的過程中就需要考慮是否應(yīng)該被目標(biāo)發(fā)現(xiàn)。對于企業(yè)安全管理來說，他會無時(shí)無刻的監(jiān)管著企業(yè)的服務(wù)器，保持企業(yè)的正常的運(yùn)行，所以當(dāng)如果企業(yè)的服務(wù)器出現(xiàn)異常訪問、或者大量的信息請求等等不是正常的流量的情況下，企業(yè)的安全運(yùn)維人員便會對訪問者即使作出應(yīng)急響應(yīng)，比如：限制訪問次數(shù)、拒絕響應(yīng)請求、封鎖IP等等。那么這無疑會增大滲透測試者的攻擊難度，為了避免這種情況的發(fā)生，最好的辦法就是在此之前避免與之直接交互先收集足夠的信息，不被目標(biāo)發(fā)現(xiàn)，當(dāng)我們無法再收集有用的信息之后，主動收集便是我們才要進(jìn)行的步驟。

? 當(dāng)然，在被動信息收集的時(shí)候，我們應(yīng)當(dāng)注意被動信息收集的三個(gè)基本要求：

1. 公開渠道可獲得的信息
2. 與目標(biāo)系統(tǒng)不產(chǎn)生直接交互
3. 盡量避免留下一切痕跡

? 總之一句話，被動信息收集的過程中，保持最大的隱蔽性，防止目標(biāo)發(fā)現(xiàn)，不予目標(biāo)產(chǎn)生直接的交互，也可以理解為，在目標(biāo)看來一切的收集過程都是正常的訪問過程。

2、信息收集的內(nèi)容

? 在這一階段，信息收集的內(nèi)容可能會很多，例如：

IP地址段、域名信息、郵件地址、文檔圖片數(shù)據(jù)、公司地址、公司組織架構(gòu)、聯(lián)系電話/傳真號碼、人員姓名/職務(wù)、目標(biāo)系統(tǒng)使用的技術(shù)架構(gòu)、公開的商業(yè)信息等等。

? 上面所說的內(nèi)容，僅僅只是我們常用的一些內(nèi)容，在這一階段，針對目標(biāo)所有的一些信息都可能成為我們利用的信息。有一點(diǎn)很重要，對于一個(gè)良好的滲透測試人員來說，沒有什么信息是沒有用處的，如果有，那就是可能漏了什么。

3、信息收集的用途

? 當(dāng)我們收集到信息之后，我們的信息是很雜亂的，那么這就需要對這些信息做一些整理，例如：

域名查詢到的信息為一類，具體到可為：

1. 子域名

2. 真實(shí)IP

   ...

各種搜索引擎查詢到的信息為一類，如：

1. Google hacking
2. fofa
3. ZoomEye
4. shodan

DNS解析記錄(whois)查詢?yōu)橐活?，如?/p>

1. 域名所有者的姓名

2. 聯(lián)系人電話

3. 郵箱地址

   ...

? 當(dāng)然，實(shí)際情況并不是像上面一樣一個(gè)一個(gè)列，一個(gè)一個(gè)記錄，在真實(shí)的滲透測試信息收集環(huán)境中，一般不會是獨(dú)自完成，那么這樣收集的信息就會更亂，所以，很多時(shí)候都會用到信息統(tǒng)計(jì)工具，將我們所收集的信息分類錄入上去，這樣，團(tuán)隊(duì)信息收集完成后，這樣的信息便會一目了然。

? 對我們來說，我們的目的是利用收集的信息，所以當(dāng)對我們手中所掌握的信息有了一個(gè)足夠的了解之后，我們就應(yīng)該開始進(jìn)行信息利用了，那么實(shí)際情況中信息利用的方向就很廣，并不局限。

例如以下用途：

1、用信息描述目標(biāo)：

? 這個(gè)目標(biāo)的真實(shí)IP地址是什么，它具有的子域名有什么，曾經(jīng)是否發(fā)生過信息威脅記錄等等。

2、發(fā)現(xiàn)：

? 目標(biāo)網(wǎng)站的技術(shù)框架是什么、哪個(gè)版本、目標(biāo)時(shí)候具有防火墻或者CDN、C段查詢、站點(diǎn)真實(shí)IP對應(yīng)的開放端口有哪些，提供什么服務(wù)等等。

3、社會工程學(xué)攻擊：

? 在一些DNS解析中，可能會收集到目標(biāo)站點(diǎn)的注冊者的相關(guān)信息，那么有了這些信息，通常就會利用郵件釣魚等方式。

注：請?jiān)谀繕?biāo)用戶的許可和符合法律的情況之下進(jìn)行，否則切勿操作。

4、物理缺口：

? 這種利用就不再是網(wǎng)絡(luò)操作而已，更多的就是實(shí)地考察等。

4、二級域名或IP收集

1).DNS信息收集

? dns信息收集的意義：dns信息中包含了很多對滲透人員來說有用的信息，這些信息能為接下來的滲透行為提供思路，比如攻擊dns服務(wù)器、域名劫持、子域滲透等。對滲透目標(biāo)進(jìn)行dns信息的收集通常是被動的形式，不會對被滲透目標(biāo)產(chǎn)生影響也不會在被滲透目標(biāo)上留下任何痕跡。

dns需要收集的信息：

A記錄：記錄域名和服務(wù)器的對應(yīng)關(guān)系

cname記錄：別名記錄，把一個(gè)域名解析到另一個(gè)域名

ns記錄：記錄解析該域名的dns服務(wù)器

mx記錄：郵件交換記錄，對應(yīng)郵件服務(wù)器

txt記錄：一般為驗(yàn)證記錄

bind信息：域名服務(wù)器所使用的bind版本信息

??這里說明兩個(gè)工具：nslookup、dig、dnsenum

新版kali不再包含nslookup工具，需要使用如下命令：

apt-get install bind9-utils

利用nslookup

這里能看到域名解析之后的CName以及對應(yīng)的IP地址，下面再舉幾個(gè)例子：

通過這幾個(gè)域名的解析我們能夠看到DNS解析后能夠得到的IP地址，如果在以前可能這就是真實(shí)的IP地址，但現(xiàn)在來說一般企業(yè)都會用到CDN加速自己的網(wǎng)站，那么這樣解析得到的IP地址就變得作用甚微，因?yàn)镃DN就像類似代理一樣，你并不知道目前獲得的IP地址是否是真實(shí)的IP地址，比如：

多次進(jìn)行：nslookup 域名、ping 域名

能夠清楚的看到，這一次的解析與上一次的解析完全不同，這就是做了CDN的網(wǎng)站，那么如何繞過這種CDN找到真實(shí)的IP地址呢？稍后會說明

補(bǔ)充：我這里用到百度對應(yīng)的域名服務(wù)器的IP地址119.29.29.29且對應(yīng)的服務(wù)端口號就是53端口（DNS服務(wù)的通信端口），那么對于一個(gè)服務(wù)器來說，53端口的開放就能做到很多事，比如像利用DNS53端口繞過校園網(wǎng)認(rèn)證?（百度就別想了）。有關(guān)端口的一些利用和所對應(yīng)的服務(wù)并不在這里詳述。

當(dāng)然，nslookup并不是只有此用法，還有如獲取不同類型的記錄，a、mx、ns、any等。

更多的可用法可以使用man nslookup查詢。

利用dig

上面已經(jīng)描述了相關(guān)的DNS解析，那么這里就直接說明工具的用法了。

用法：

      dig @server name type

這里用Google的DNS服務(wù)器去解析百度的mx記錄，效果如下：

解析百度any：

dig能夠反向查詢DNS服務(wù)器的IP地址，如：

dig能夠進(jìn)行DNS追蹤，如：（這里的dig查詢過程是值得探究的，至于具體的可以抓包?比較遞歸查詢、迭代查詢過程的區(qū)別）

2).DNS域傳送漏洞

這里會用到三個(gè)工具：dnsenum、dig、host

dnsenum是一款強(qiáng)大的域名信息收集工具，它除了能查詢常用的dns記錄外，還能使用google搜索和使用字典爆破子域名。

Dns是整個(gè)互聯(lián)網(wǎng)公司業(yè)務(wù)的基礎(chǔ)，越來越多的互聯(lián)網(wǎng)公司開始自己搭建DNS服務(wù)器做解析服務(wù)，同時(shí)由于DNS服務(wù)是基礎(chǔ)性服務(wù)非常重要，因此很多公司會對DNS服務(wù)器進(jìn)行主備配置而DNS主備之間的數(shù)據(jù)同步就會用到dns域傳送，但如果配置不當(dāng)，就會導(dǎo)致任何匿名用戶都可以獲取DNS服務(wù)器某一域的所有記錄，將整個(gè)企業(yè)的基礎(chǔ)業(yè)務(wù)以及網(wǎng)絡(luò)架構(gòu)對外暴露從而造成嚴(yán)重的信息泄露，甚至導(dǎo)致企業(yè)網(wǎng)絡(luò)被滲透。

如果存在，不僅能搜集子域名，還能輕松找到一枚洞，這樣子的好事百試不厭。

利用dig

利用host

也可以利用host去進(jìn)行域傳送漏洞查詢：

利用dnsenum

dnsenum工具可以獲取dns域中的域名，如：

dnsenum參數(shù)說明：

` -h 查看工具使用幫助

--dnsserver?指定域名服務(wù)器

--enum 快捷選項(xiàng)，相當(dāng)于"--threads 5 -s 15 -w"

--noreverse 跳過反向查詢操作

--nocolor 無彩色輸出

--private 顯示并在"domain_ips.txt"文件結(jié)尾保存私有的ips

--subfile?寫入所有有效的子域名到指定文件

-t, --timeout?tcp或者udp的連接超時(shí)時(shí)間，默認(rèn)為10s（時(shí)間單位：秒）

--threads?查詢線程數(shù)

-v, --verbose 顯示所有的進(jìn)度和錯(cuò)誤消息

-o ,--output?輸出選項(xiàng)，將輸出信息保存到指定文件

-e, --exclude?反向查詢選項(xiàng)，從反向查詢結(jié)果中排除與正則表達(dá)式相符的PTR記錄，在排查無效主機(jī)上非常有用

-w, --whois 在一個(gè)C段網(wǎng)絡(luò)地址范圍提供whois查詢

-f dns.txt 指定字典文件，可以換成 dns-big.txt 也可以自定義字典`

3).備案號查詢

在我國，每一個(gè)網(wǎng)站都會進(jìn)行備案，那么在同一個(gè)備案號下就可能查到其他的相關(guān)公司域名。

http://www.beianbeian.com、http://icp.bugscaner.com/

以CSDN為例：

上面就能清楚的看到在這個(gè)備案號下面還有多少域名，然后做出相關(guān)域名收集整理

4).SSL查詢

目前一般的企業(yè)站點(diǎn)都會具備HTTPS協(xié)議的能力，那么通過這一項(xiàng)也能查找出一些相關(guān)的子域名。

SSL狀態(tài)檢測

例如：

5).APP提?。赡埽?/p>

在這一個(gè)內(nèi)容中，前提就是目標(biāo)站點(diǎn)具有安卓app，如果沒有，那么就只能忽略。同時(shí)，現(xiàn)在很多app都會具有加殼手段，那么直接反編譯就不再具備效果，需要脫殼處理，前提是具有匯編和逆向的能力；如果沒有加殼技術(shù)，那么這就是一個(gè)很好的查找子域名的思路，畢竟APP里面有大量的接口IP和內(nèi)網(wǎng) IP，可以獲取不少安全漏洞。

這里就不再詳細(xì)舉例子介紹了，如果有去殼的app那么就可以用反匯編工具嘗試一下，像AndroidKiller反編譯工具等。

6).微信公眾號

如果目標(biāo)具有相關(guān)公眾號，那么滲透相關(guān)公眾號，絕對會有意外收獲，比如獲取不少漏洞+域名，可以參考 Burp APP抓包抓取微信公眾號數(shù)據(jù)。

7).暴力破解/字典枚舉

所謂暴力破解即利用一個(gè)已經(jīng)生成的數(shù)字組合不斷嘗試與目標(biāo)匹配，直到找出相符的目標(biāo)單位。

暴力破解可以用很多工具，如DNSReconcile、Layer子域名挖掘機(jī)、DirBuster、fierce、dnsdict6、dnsenum、dnsmap、dnsrecon、等等

下面舉個(gè)幾個(gè)例子，同時(shí)這里的字典就用工具自帶的字典了。

用Demon：

利用dnsdict6

安裝：dnsdict6

`https://src.fedoraproject.org/lookaside/pkgs/thc-ipv6/thc-ipv6-2.7.tar.gz/2975dd54be35b68c140eb2a6b8ef5e59/thc-ipv6-2.7.tar.gz

tar -zxvf thc-ipv6-2.7.tar.gz

cd thc-ipv6-2.7/

apt-get install -y libpcap-dev libssl-dev

make

cp dnsdict6 /usr/bin/

dnsdict6`

利用dnsenum

8).DNS歷史記錄解析

像這種歷史記錄解析，一般都可以查到以前域名擁有著的相關(guān)信息，例如：

注：像通常所謂的釣魚攻擊，一般都會去收集這些歷史信息。

9).威脅情報(bào)查詢

像華為、360都擁有威脅情報(bào)查詢的能力：360威脅情報(bào)中心

比如以前站點(diǎn)出現(xiàn)過哪些漏洞、相關(guān)內(nèi)容，都可能在情報(bào)中查到：

10).證書序列號獲取域名與IP

一個(gè)網(wǎng)站都會具有相關(guān)的證書，那么對證書的序列號進(jìn)行查詢，也會有意外的收獲：

轉(zhuǎn)為十進(jìn)制后，就可以用fofa去搜一搜：

11).搜索引擎（重點(diǎn)）

在信息收集中，搜索引擎能夠提供給我們很大的幫助，幾乎很大的程度的幫助都來自于搜索引擎，而普遍的搜索引擎有：

1. Google
2. shodan
3. fofa
4. ZoomEye（知道創(chuàng)宇）

還有很多好用的搜索引擎就不再多介紹了這里就說說常用的搜索引擎。

Google

? 一般使用Google進(jìn)行搜索的話，也叫Googlehacking，簡單說明幾個(gè)例子，關(guān)于搜索引擎的用法其實(shí)有很多，可以任意搭配，不可能說的完。

1、搜索含有管理員登錄頁面的URL

語法：inurl:/admin/login.php

2、搜索文件類型為xls且包含username、password字段的內(nèi)容

語法：filetype:xls "username | password"

3、搜索含有充值字符沒有支付制服的頁面

語法：+充值 -支付

關(guān)于Google搜索引擎的用法，可以去https://www.exploit-db.com/google-hacking-database這個(gè)頁面瀏覽，然后根據(jù)自己情況寫出適合自己的。

shodan

據(jù)說shodan是一個(gè)很強(qiáng)大的搜索引擎，用于搜索聯(lián)?的設(shè)備，傳言只要有聯(lián)網(wǎng)的設(shè)備都會被搜索到，其原始開發(fā)者有msf框架的開發(fā)者參與。

Shodan Search Engine

常見的過濾規(guī)則就是：

net、city、country、port、os、hostname

語法比如：os:windows country:CN city:neijing

語法可以自己構(gòu)造，也可以參考：https://www.shodan.io/explore看看別人怎么構(gòu)造語句的。

fofa

https://fofa.so/

想必到了這里搜索引擎的語句構(gòu)造就不需要再贅述了，那么簡單說兩個(gè)例子：

1、查詢C段

ip="10.0.0.0/24"

2、查詢網(wǎng)站名（可列出釣魚網(wǎng)站）

title="網(wǎng)站名"

其他的可以自行參考文檔：https://fofa.so/help

`查詢語法

直接輸入查詢語句，將從標(biāo)題，html內(nèi)容，http頭信息，url字段中搜索

title="abc" 從標(biāo)題中搜索abc。例：標(biāo)題中有北京的網(wǎng)站

header="abc" 從http頭中搜索abc。例：jboss服務(wù)器

body="abc" 從html正文中搜索abc。例：正文包含Hacked by

domain="qq.com" 搜索根域名帶有qq.com的網(wǎng)站。例：?根域名是qq.com的網(wǎng)站

host=".gov.cn" 從url中搜索.gov.cn,注意搜索要用host作為名稱。例：?政府網(wǎng)站,?教育網(wǎng)站

port="443" 查找對應(yīng)443端口的資產(chǎn)。例：?查找對應(yīng)443端口的資產(chǎn)

ip="1.1.1.1" 從ip中搜索包含1.1.1.1的網(wǎng)站,注意搜索要用ip作為名稱。例：?查詢IP為220.181.111.1的網(wǎng)站; 如果想要查詢網(wǎng)段，可以是：ip="220.181.111.1/24"，例如查詢IP為220.181.111.1的C網(wǎng)段資產(chǎn)

protocol="https" 搜索指定協(xié)議類型(在開啟端口掃描的情況下有效)。例：?查詢https協(xié)議資產(chǎn)

city="Hangzhou" 搜索指定城市的資產(chǎn)。例：?搜索指定城市的資產(chǎn)

region="Zhejiang" 搜索指定行政區(qū)的資產(chǎn)。例：?搜索指定行政區(qū)的資產(chǎn)

country="CN" 搜索指定國家(編碼)的資產(chǎn)。例：?搜索指定國家(編碼)的資產(chǎn)

cert="google" 搜索證書(https或者imaps等)中帶有g(shù)oogle的資產(chǎn)。例：?搜索證書(https或者imaps等)中帶有g(shù)oogle的資產(chǎn)

banner=users && protocol=ftp 搜索FTP協(xié)議中帶有users文本的資產(chǎn)。例：?搜索FTP協(xié)議中帶有users文本的資產(chǎn)

type=service 搜索所有協(xié)議資產(chǎn)，支持subdomain和service兩種。例：?搜索所有協(xié)議資產(chǎn)

os=windows 搜索Windows資產(chǎn)。例：?搜索Windows資產(chǎn)

server=="Microsoft-IIS/7.5" 搜索IIS 7.5服務(wù)器。例：?搜索IIS 7.5服務(wù)器

app="HIKVISION-視頻監(jiān)控" 搜索海康威視設(shè)備，更多app規(guī)則。例：?搜索?？低曉O(shè)備

after="2017" && before="2017-10-01" 時(shí)間范圍段搜索。例：?時(shí)間范圍段搜索，注意： after是大于并且等于，before是小于，這里 after="2017" 就是日期大于并且等于 2017-01-01 的數(shù)據(jù)，而 before="2017-10-01" 則是小于 2017-10-01 的數(shù)據(jù)

asn="19551" 搜索指定asn的資產(chǎn)。例：?搜索指定asn的資產(chǎn)

org="Amazon.com, Inc." 搜索指定org(組織)的資產(chǎn)。例：?搜索指定org(組織)的資產(chǎn)

base_protocol="udp" 搜索指定udp協(xié)議的資產(chǎn)。例：?搜索指定udp協(xié)議的資產(chǎn)

is_ipv6=true 搜索ipv6的資產(chǎn),只接受true和false。例：?搜索ipv6的資產(chǎn)

is_domain=true 搜索域名的資產(chǎn),只接受true和false。例：?搜索域名的資產(chǎn)

ip_ports="80,443" 或者 ports="80,443" 搜索同時(shí)開放80和443端口的ip資產(chǎn)(以ip為單位的資產(chǎn)數(shù)據(jù))。例：?搜索同時(shí)開放80和443端口的ip

ip_ports"80,443" 或者 ports"80,443" 搜索同時(shí)開放80和443端口的ip資產(chǎn)(以ip為單位的資產(chǎn)數(shù)據(jù))。例：?搜索只開放80和443端口的ip

ip_country="CN" 搜索中國的ip資產(chǎn)(以ip為單位的資產(chǎn)數(shù)據(jù))。例：?搜索中國的ip資產(chǎn)

ip_region="Zhejiang" 搜索指定行政區(qū)的ip資產(chǎn)(以ip為單位的資產(chǎn)數(shù)據(jù))。例：?搜索指定行政區(qū)的資產(chǎn)

ip_city="Hangzhou" 搜索指定城市的ip資產(chǎn)(以ip為單位的資產(chǎn)數(shù)據(jù))。例：?搜索指定城市的資產(chǎn)

ip_after="2019-01-01" 搜索2019-01-01以后的ip資產(chǎn)(以ip為單位的資產(chǎn)數(shù)據(jù))。例：?搜索2019-01-01以后的ip資產(chǎn)

ip_before="2019-01-01" 搜索2019-01-01以前的ip資產(chǎn)(以ip為單位的資產(chǎn)數(shù)據(jù))。例：?搜索2019-01-01以前的ip資產(chǎn)

高級搜索：可以使用括號 和 && || !=等符號，如
title="powered by" && title!=discuz
title!="powered by" && body=discuz
( body="content="WordPress" || (header="X-Pingback" && header="/xmlrpc.php" && body="/wp-includes/") ) && host="gov.cn"
新增完全匹配的符號，可以加快搜索速度，比如查找qq.com所有host，可以是domain"qq.com"
關(guān)于建站軟件的搜索語法請參考：組件列表

`

ZoomEye

ZoomEye - Cyberspace Search Engine

相關(guān)搜索語句可以見幫助然后自行構(gòu)造。

12).JSFinder

這里的方法就是利用開源的Python腳本，從js文件里面提取二級域名以及ip。

參考：GitHub - Threezh1/JSFinder: JSFinder is a tool for quickly extracting URLs and subdomains from JS files on a website.

13).用戶信息收集

這里利用的theharvester與metagoofil工具對用戶的一些信息進(jìn)行搜集，例子：

theharvester -d sina.com -l 300 -b google

metagoofil -d baidu.com -t pdf -l 300 -o test -f test.html

其他的參數(shù)可以查看手冊：man

14).MELTAGO

這是一個(gè)非常好用的域名、ip等等信息收集的工具，既可以在linux上運(yùn)行，也可以在Windows上運(yùn)行，舉個(gè)例子：

15).C段旁站

什么是旁站？旁站是和目標(biāo)網(wǎng)站在同一臺服務(wù)器上的其它的網(wǎng)站。

什么是C段？C段是和目標(biāo)服務(wù)器ip處在同一個(gè)C段的其它服務(wù)器。

旁站

旁站指的是網(wǎng)站所在服務(wù)器上部署的其他網(wǎng)站
旁注的意思就是從同臺服務(wù)器上的其他網(wǎng)站入手，提權(quán)，然后把服務(wù)器端了，就自然把那個(gè)網(wǎng)站端了

C段

C段指的是例如192.168.1.4，192是A段，168是B段，1是C段，4是D段
C段嗅探指的是拿下同一C段下的服務(wù)器，也就是說是D段1-255中的一臺服務(wù)器

即：
旁注：同服務(wù)器不同站點(diǎn)的滲透方案
C段：同網(wǎng)段不同服務(wù)器的滲透方案

C段/旁站（前提條件要獲取到網(wǎng)站的真實(shí)ip）即：當(dāng)知曉目標(biāo)真實(shí)IP后；一般來說主頁面很難存在可利用點(diǎn)，那么這時(shí)候就可以通過嗅探此IP段內(nèi)其他的主機(jī)服務(wù)器來實(shí)現(xiàn)C段利用，或者從此服務(wù)器上的其他網(wǎng)站入手。

像ARP攻擊等。

那么下面就會用到一些工具，如搜索引擎或者工具掃描：

上面已經(jīng)說了shodan、fofa、ZoomEye等掃網(wǎng)段，那么下面就說兩個(gè)例子工具：

總結(jié)

1、網(wǎng)站域名有沒有CDN，CND是做網(wǎng)站加速的，也是間接的隱藏了真實(shí)IP地址的作用的，真實(shí)IP在CND之后。（相當(dāng)于網(wǎng)站"代理"）
判斷CND方法：ping、dns解析等查看有沒有雙重.com或者ip變換就能知道有沒有CDN
繞過CDN：fofa引擎(title="網(wǎng)站標(biāo)題")、有CDN可采用國外節(jié)點(diǎn)ping測試，或者就是shodan引擎、包括它的插件。還有子域名，DNS歷史解析，郵件、SSL證書簽名，網(wǎng)站ico等方法繞過CDN

2、沒有DNS區(qū)域傳送漏洞如何獲取二級域名？
證書查找：通過有沒有https（SSL證書）什么的反推
備案號查找：通過備案號反推二級域名

3、APP中去殼反編譯可提取到內(nèi)網(wǎng)的地址，做后期的內(nèi)網(wǎng)IP確定

4、暴力破解中，泛域名解析會規(guī)避暴力破解，暴力幾乎無效

5、DNS解析直接取公網(wǎng)IP，DNS記錄（域名反查）

6、fofa比zoomeye強(qiáng)一些，fofa通過title標(biāo)簽?zāi)軌蚶@過CDN拿到真實(shí)IP，或者證書的序列號前去查詢

7、C段搜集，就是通過一個(gè)（必須真實(shí)的）ip查找這個(gè)ip的網(wǎng)段里面其他ip有沒有能夠收集的漏洞等，通過fofa就是ip="ip.0/24"（主要就是C段了）

8、威脅情報(bào)查詢：有如歷史whois的信息中可能有QQ、手機(jī)號等信息然后釣魚攻擊
（通過域名查真實(shí)IP地址，C段漏洞搜集、掃端口服務(wù)，）

9、具有CND的域名使用whois是查不出來的，但是能夠查到這個(gè)CDN下有哪些域名

10、本網(wǎng)站的友情鏈接中如果那些網(wǎng)站有的被掛馬了，那么在本網(wǎng)站中點(diǎn)擊被掛馬的網(wǎng)站，那么就相當(dāng)于本網(wǎng)站被掛馬了。（這就是API調(diào)用出的問題）

5、敏感信息收集

在這一部分中我們主要就是收集的關(guān)于一些泄露的信息，即我能可能直接利用的一些信息，大致將其劃為以下內(nèi)容：

1. WEB源代碼泄露（可以用7kb）

   在很多時(shí)候，一些有關(guān)網(wǎng)站的源代碼會被上傳到相關(guān)的網(wǎng)站中，比如github、gitee等等，那么在這些網(wǎng)站中我們就可以對這些泄露的代碼進(jìn)行審計(jì)，也許能找到其相關(guān)的信息。

   比如：.hg源代碼泄露、.git源代碼泄露、cvs源代碼泄露、svn源代碼泄露（當(dāng)然這里的svn現(xiàn)在在掃描器中就能爆出來）、.DS_store文件泄露、網(wǎng)站的備份文件泄露：rar/zip/tar.gz/7z/bak/tar

   下面舉個(gè)例子：

   打包了部分代碼：

   換了一個(gè)備份文件字典后，開始掃描

2. github信息泄露

   在github上面會存有很多的源碼信息，那么如果目標(biāo)的源碼可能存在于上面，那么在github上面輸入相應(yīng)的關(guān)鍵字，也許就能匹配到關(guān)于目標(biāo)的結(jié)果，然后分析有沒有利用的價(jià)值，比如：IP、用戶名密碼、數(shù)據(jù)、網(wǎng)站過濾規(guī)則等等。

   舉個(gè)例子：

   注：與github這樣的網(wǎng)站有很多的類似，如：https://searchcode.com/、https://gitee.com/、gitcafe.com、code.csdn.net

3. Google hack

   前面已經(jīng)介紹過了，有關(guān)Google的語法需要自行匹配。那么很有可能就爆出一些目標(biāo)后臺的相關(guān)內(nèi)容，可能是數(shù)據(jù)表等。

   無非就是：filetype:xls 或者 filetype:docx等等

4. 接口信息泄露

   所謂接口信息泄露，無非就是一些程序調(diào)用的API導(dǎo)致目標(biāo)相關(guān)的一些數(shù)據(jù)或者文件內(nèi)容暴露，那么這就是一個(gè)采集點(diǎn)。（有沒有能夠利用的未授權(quán)訪問等）

5. 社工信息泄露

   在這方面的信息泄露，可能就包含了目標(biāo)的個(gè)人信息，像一些普通的社交網(wǎng)站、新聞組、論壇、招聘網(wǎng)等等凡是能夠應(yīng)用到的信息，存在可能進(jìn)行社工的信息都是可采集點(diǎn)。

   比如可以 去天眼查：https://www.tianyancha.com/、https://www.instantcheckmate.com/、http://www.uneihan.com/

6. 郵箱地址信息泄露

   收集的一般都是目標(biāo)注冊域名時(shí)候可能使用的郵箱，有時(shí)候會進(jìn)行釣魚攻擊等方式都需要郵箱等重要信息點(diǎn)。

   可以使用theHarvester工進(jìn)行郵箱收集（一般在引擎、DNS反查等手段中都可能查到。）

7. 歷史漏洞收集

   仔細(xì)分析，大膽驗(yàn)證，發(fā)散思維，對企業(yè)的運(yùn)維、開發(fā)習(xí)慣了解絕對是有很大的幫助?？梢园崖┒幢４嫦聛恚M(jìn)行統(tǒng)計(jì)，甚至炫一點(diǎn)可以做成詞云展示給自己看，看著看著或者就知道會有什么漏洞。（主要是看一些企業(yè)是否有暴露出來的漏洞沒有去修補(bǔ)）

   wooyun 歷史漏洞庫：烏云網(wǎng) – 白帽子丨烏云知識庫丨Wooyun丨烏云漏洞平臺?、烏云網(wǎng)鏡像丨烏云知識庫丨Wooyun鏡像丨烏云漏洞平臺

   漏洞銀行：BUGBANK 官方網(wǎng)站 | 領(lǐng)先的網(wǎng)絡(luò)安全漏洞發(fā)現(xiàn)品牌 | 開放安全的提出者與倡導(dǎo)者 | 創(chuàng)新的漏洞發(fā)現(xiàn)平臺

   360補(bǔ)天：補(bǔ)天 - 企業(yè)和白帽子共贏的漏洞響應(yīng)平臺，幫助企業(yè)建立SRC

   教育行業(yè)漏洞報(bào)告平臺（Beta）https://src.edu-info.edu.cn/login/

8. 其他

   微步在線：VirusTotal?、網(wǎng)盤搜索：http://www.pansou.com/或https://www.lingfengyun.com/?網(wǎng)盤密碼破解可參考：提示信息 - 吾愛破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

6、信息整理

1).指紋識別

所謂指紋識別，即發(fā)現(xiàn)當(dāng)前目標(biāo)所處的環(huán)境框架是什么、哪個(gè)版本等，當(dāng)我們拿到這些信息之后，我們應(yīng)該做的就是查詢這個(gè)框架有沒有漏洞，曾經(jīng)出現(xiàn)過什么漏洞，然后我們查找這些漏洞的使用方法，驗(yàn)證目標(biāo)是否存在這些漏洞，如果打了補(bǔ)丁那么就跳過這個(gè)思路，如果沒有那么就利用漏洞達(dá)成突破。

相關(guān)指紋識別的在線站點(diǎn)可以有：

http://whatweb.bugscaner.com/look/

yunsee.cn-2.0

TideFinger 潮汐指紋 TideFinger 潮汐指紋

相關(guān)的指紋識別工具：

御劍WEB指紋識別、wappalyzer（瀏覽器插件）

當(dāng)然不止這些方法，像我常用的shodan、fofa等也能快速識別：

2).waf識別

所謂的waf識別即安全狗，防火墻，通過檢查匯報(bào)，可能識別端口是否經(jīng)過防火墻過濾，即需要對安全狗檢測，所使用的工具到https://github.com/EnableSecurity/wafw00f下載下來之后記得在本機(jī)安裝好py,用py執(zhí)行python setup.py install 執(zhí)行完后cd進(jìn)行C:\wafw00f-master\wafw00f目錄，執(zhí)行main.py www.safedog.cn就可以了。

或者：使用scapy、nmap等工具

nmap有系列防火墻過濾檢測功能

nmap -sA 1.1.1.1 -p 22

nmap www.sina.com --script=http-waf-detect.nse

3).CDN識別（繞過，獲取真實(shí)IP）

1、通過ping一個(gè)不存在的二級域名獲取真實(shí)ip或沒有掛cdn的域名

2、通過fofa語法title標(biāo)簽獲取真實(shí)ip

3、DNS歷吏記錄

4、在線網(wǎng)站查找：What's that site running? | Netcraft

5、phpinfo（可以忽略）：如果目標(biāo)網(wǎng)站存在phpinfo泄露等，可以在phpinfo中的SERVER_ADDR或_SERVER[“SERVER_ADDR”]找到真實(shí)ip。

6、shodan搜索引擎查詢

7、掛國外節(jié)點(diǎn)再ping目標(biāo)網(wǎng)站

4).旁注與C段(獲取真實(shí)IP情況下)

1、站長之家http://stool.chinaz.com/same

2、網(wǎng)絡(luò)搜索引擎 www.fofa.so、www.shodan.io、www.ZoomEye.org等

3、Nmap,Msscan掃描C段（nmap建議之后主動信息收集的時(shí)候使用）

nmap常用說明：

nmap -p 80,443,8000,8080 -Pn 1.1.1.0/24

簡單ping掃描探測主機(jī)是否在線：nmap -sn 1.1.1.1

采用TCP與UDP端口掃描：nmap -sS -sU 1.1.1.1

–sV 指定版本探測：nmap -sV 1.1.1.1

-O 探測系統(tǒng)類型版本號：nmap -O 1.1.1.1

繞過ping掃描參數(shù)為：nmap -Pn 1.1.1.1

漏洞檢測可直接：nmap 1.1.1.1--script=auth,vuln

總結(jié)：

你平時(shí)常去那些網(wǎng)站進(jìn)行學(xué)習(xí)：

seebug、cnvd、freebuf、吾愛破解、微信公眾號

你平時(shí)挖漏洞提交到那些平臺：

奇安信補(bǔ)天、cnvd、教育漏洞平臺、漏洞銀行、wooyun、漏洞盒子眾測平臺

# 第二部分 主動信息收集

直接與目標(biāo)系統(tǒng)交互通信
無法避免留下訪問的痕跡
使用受控的第三方電腦進(jìn)行探測
使用代理或已經(jīng)被控制的主機(jī)
做好被封殺的準(zhǔn)備
使用噪聲迷惑目標(biāo)，淹沒真實(shí)的探測流量
掃描
發(fā)送不同的探測，根據(jù)返回結(jié)果判斷目標(biāo)狀態(tài)

1、二層發(fā)現(xiàn)

二層發(fā)現(xiàn)是基于ARP協(xié)議來進(jìn)行的探測發(fā)現(xiàn)，ARP協(xié)議的數(shù)據(jù)包不可路由，其到達(dá)路由端口會被過濾，通過這樣的發(fā)現(xiàn)能夠清晰知道目標(biāo)是否存活，其優(yōu)點(diǎn)就是掃描的速度快、結(jié)果可靠。

這里用三個(gè)工具來說明舉例：arping、nmap、Netdiscover

arping //只能ping一個(gè)
arping 1.1.1.1 -c 1 //指定一個(gè)包
arping 1.1.1.1 -d //-d可以查看是否重復(fù)，即ARP欺騙
arping -c 1.1.1.1 | grep "bytes from" | cut -d" " -f 5

nmap 1.1.1.1-254或者1.1.1.0/24 -sn //可支持地址段
nmap -iL iplist.txt -sn //調(diào)用存好的文本文檔ping

主動
netdiscover -i eth0 -r 1.1.1.0/24
netdiscover -l iplist.txt

被動 （被動方式主要是等待其他主機(jī)溢出ARP包，在本機(jī)監(jiān)聽然后采集）
netdiscover -p

還可以用scapy進(jìn)行構(gòu)造ARP數(shù)據(jù)包然后發(fā)送數(shù)據(jù)包進(jìn)行探測：

apt-get install python-gnuplot（安裝）

2、三層發(fā)現(xiàn)

三層發(fā)現(xiàn)是基于IP、ICMP協(xié)議進(jìn)行的，優(yōu)點(diǎn)就是可路由，速度比較快，缺點(diǎn)就是速度比二層慢，經(jīng)常被防火墻過濾。

這里用五個(gè)工具來說明舉例：ping、scapy、nmap、fping、hping

舉例：

3、四層發(fā)現(xiàn)

優(yōu)點(diǎn)：
可路由且結(jié)果可靠
不太可能被防火墻過濾
甚至可以發(fā)現(xiàn)所有端口都被過濾的主機(jī)
缺點(diǎn)：
基于狀態(tài)過濾的防火墻可能過濾掃描
全端口掃描速度慢
TCP：
未經(jīng)請求的ACK——RST
SYN——SYN/ACK RST //通過我們發(fā)的包確定他是否在線，會回一個(gè)rst包
UDP：
ICMP端口不可達(dá) 一曲不復(fù)返

這里可以用一些工具，類似如：nmap、scapy、hping等進(jìn)行實(shí)操。

附錄1：nmap常用

端口掃掃描：

nmap -sU 1.1.1.1

nmap 1.1.1.1 -sU -p 53

nmap -iL iplist.txt -sU -p 1-200

隱蔽端口掃描：

nmap -sS 1.1.1.1 -p 80,21,25,110,443

nmap -sS 1.1.1.1 -p 1-65535 --open

nmap -sS 1.1.1.1 -p- --open

nmap -sS -iL iplist.txt -p 80,21,22,23

全連接端口掃描：

nmap -sT 1.1.1.1 -p 80

nmap -sT 1.1.1.1 -p 80,21,25

nmap -sT 1.1.1.1 -p 80-2000

nmap -sT -iL iplist.txt -p 80

服務(wù)掃描：

nmap -sT 1.1.1.1 -p 22 --script=banner

服務(wù)識別：

nmap 1.1.1.1 -p 80 -sV

操作系統(tǒng)識別：

nmap 1.1.1.1 -O

SMB掃描：

nmap -v -p139,445 192.168.60.1-20

nmap 192.168.60.4 -p139,445 --script=smb-os-discovery.nse

nmap -v -p139,445 --script=smb-check-vulns --script-args=unsafe=1 1.1.1.1

nbtscan -r 192.168.60.0/24

enum4linux -a 192.168.60.10

SMTP掃描：

nmap smtp.163.com -p25 --script=smtp-enum-users.nse --script-args=smtp-enum-users.methods={VRFY}

nmap smtp.163.com -p25 --script=smtp-open-relay.nse

防火墻識別：文章來源地址http://www.zghlxwxcb.cn/news/detail-444218.html

到了這里，關(guān)于網(wǎng)絡(luò)安全之信息收集的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！