本系列側(cè)重方法論，各工具只是實(shí)現(xiàn)目標(biāo)的載體。
命令與工具只做簡(jiǎn)單介紹，其使用另見《安全工具錄》。

本文以 kali-linux-2022.3-vmware-amd64 為例。

1：被動(dòng)信息收集

被動(dòng)信息收集指從公開渠道獲取信息，主要是已經(jīng)公開的信息。當(dāng)然也不排除私密但是泄露的信息。

要點(diǎn)：

• 公開渠道可獲得的信息。
• 與目標(biāo)系統(tǒng)不產(chǎn)生直接交互（如掃描等）。
• 可以盡量避免留下一切痕跡。

1.1：收集內(nèi)容

• IP 地址段
• 域名信息
• 郵件地址
• 文檔圖片數(shù)據(jù)
• 公司地址
• 公司組織架構(gòu)
• 聯(lián)系電話 / 傳真號(hào)碼
• 人員姓名 / 職務(wù)
• 目標(biāo)系統(tǒng)使用的技術(shù)架構(gòu)
• 公開的商業(yè)信息

1.2：信息用途

• 用所有已獲得的信息來(lái)描述目標(biāo)，還原目標(biāo)真實(shí)情況。
• 通過(guò)分析描述中的目標(biāo)來(lái)發(fā)現(xiàn)其弱點(diǎn)。
• 社會(huì)工程學(xué)攻擊。
• 物理缺口（物理層面，這里就不介紹了）。

2：域名信息收集

域名（Domain Name）和完全限定域名（Fully Qualified Domain Name，F(xiàn)QDN）：

• 域名（Domain Name）
  是一個(gè)可用于標(biāo)識(shí)網(wǎng)絡(luò)上特定實(shí)體的人類可讀的名稱。
  例如：example.com。

• 完全限定域名（Fully Qualified Domain Name，F(xiàn)QDN）
  是一個(gè)更具體的域名表示形式，它提供了完整的域名層次結(jié)構(gòu)路徑，以確保在全球范圍內(nèi)唯一標(biāo)識(shí)一個(gè)特定的網(wǎng)絡(luò)資源。
  例如：www.example.com。

可以說(shuō) FQDN 是域名的更具體形式，提供了完整的層次結(jié)構(gòu)路徑，以便準(zhǔn)確定位和訪問(wèn)特定的網(wǎng)絡(luò)資源。

需要注意的是，F(xiàn)QDN 不同于 URL（統(tǒng)一資源定位符），URL包含了更多的信息，如協(xié)議（http、https 等）和路徑，用于標(biāo)識(shí)和定位特定的網(wǎng)絡(luò)資源。

2.1：nslookup

nslookup 常用于域名解析和網(wǎng)絡(luò)故障排除。

nslookup 有兩種操作模式，兩種模式功能一致：

• 交互式模式
  適用于在一個(gè)會(huì)話中執(zhí)行多個(gè)查詢或操作。

• 命令行模式
  適用于執(zhí)行一次性的簡(jiǎn)單查詢或?qū)⑵淝度氲侥_本中。

2.1.1：命令參數(shù)

進(jìn)入交互式：
nslookup

命令行模式：
nslookup 選項(xiàng)

常用選項(xiàng)：

記錄類型：

在 nslookup 中，記錄類型（Record Type）用于指定要查詢的特定DNS記錄類型。

2.1.2：示例 - 命令行

• 示例01：

操作

nslookup 163.com -type=any 8.8.8.8

結(jié)果

網(wǎng)站智能 DNS：
互聯(lián)網(wǎng)上，網(wǎng)站使用智能 DNS 功能，能夠根據(jù)用戶終端環(huán)境不同，選擇最近可滿足服務(wù)的服務(wù)器位置?？梢詢?yōu)化互聯(lián)網(wǎng)流量。
所以用不同 DNS 服務(wù)器解析同一個(gè)域名時(shí)，可能獲得不同 ip 地址。

2.1.3：示例 - 交互式

輸入 nslookup 回車進(jìn)入交互模式。

• 示例02：設(shè)置記錄類型

set q=any

• 示例03：指定 DNS 服務(wù)器。

server 8.8.8.8

• 示例04：解析域名。

bilibili.com

2.2：dig

dig 是域名系統(tǒng)（DNS）查詢工具，常用于域名解析和網(wǎng)絡(luò)故障排除。比 nslookup 有更強(qiáng)大的功能。

2.2.1：命令參數(shù)

基本語(yǔ)法：
dig 選項(xiàng)

常用選項(xiàng)：

記錄類型詳見：2.1.1：命令參數(shù)

2.2.2：示例

• 示例01：反向查詢

dig +noall +answer -x 8.8.8.8

• 示例02：查詢 DNS 服務(wù)器 BIND 版本信息

dig +noall +answer txt chaos version.bind @ns3.dnsv4.com

BIND（Berkeley Internet Name Domain）是一個(gè)常用的開源 DNS 服務(wù)器軟件。BIND 提供了域名解析和 DNS 服務(wù)功能，并被廣泛用于互聯(lián)網(wǎng)上的許多 DNS 服務(wù)器。

BIND 版本信息指的是運(yùn)行在特定 DNS 服務(wù)器上的 BIND 軟件的版本號(hào)。據(jù)此可尋找其已知漏洞

記錄類型 “ TXT ”，用于獲取主機(jī)的文本記錄。“ chaos ” 是一個(gè)特殊的 DNS 區(qū)域，用于存儲(chǔ)系統(tǒng)信息和統(tǒng)計(jì)數(shù)據(jù)。

主機(jī)名 “ version.bind ”，它通常用于查詢 DNS 服務(wù)器的軟件版本信息。

• 示例03：

dig +trace www.sina.com

可以抓包查看其過(guò)程。

3：DNS 區(qū)域傳輸

區(qū)域傳輸（Zone transfer）是一種用于在不同的服務(wù)器之間復(fù)制和同步區(qū)域數(shù)據(jù)的機(jī)制。

為了確保安全性，要限制執(zhí)行區(qū)域傳輸?shù)?IP 地址，以避免未經(jīng)授權(quán)的訪問(wèn)和潛在的數(shù)據(jù)泄漏風(fēng)險(xiǎn)。

可以通過(guò)以下兩條命令嘗試進(jìn)行區(qū)域傳輸：

命令一：
dig @DNS服務(wù)器 域名 axfr

“ axfr ” 用于指定進(jìn)行 DNS 區(qū)域傳輸（AXFR）操作。

dig 命令詳見：2.2：dig

示例：

dig @ns1.example.com example.com axfr

該命令的含義是從 ns1.example.com 這個(gè) DNS 服務(wù)器執(zhí)行 DNS 區(qū)域傳輸操作，將 example.com 域名的完整區(qū)域數(shù)據(jù)傳輸?shù)綀?zhí)行這個(gè)命令的主機(jī)上。

命令二：
host -T -l 域名 DNS服務(wù)器

這里簡(jiǎn)單介紹 host 命令參數(shù)：

示例：

host -T -l sina.com 8.8.8.8

該命令的含義是使用 DNS 枚舉操作，從 8.8.8.8 這個(gè) DNS 服務(wù)器獲取 sina.com 域名的完整區(qū)域數(shù)據(jù)。

4：域名字典爆破

域名字典爆破通過(guò)嘗試多個(gè)可能的域名來(lái)猜測(cè)有效的域名或子域名。

因此，字典爆破主要在于字典的選擇與使用。一些 DNS 字典爆破命令都自帶有字典，原理大致一樣。

4.1：fierce

fierce 是開源的網(wǎng)絡(luò)安全工具，用于進(jìn)行域名掃描和子域名枚舉。

A DNS reconnaissance tool for locating non-contiguous IP space.

基本語(yǔ)法：
fierce 選項(xiàng)

常用選項(xiàng)：

可以查看幫助信息，很全面。這里只簡(jiǎn)單貼一下。鑒于命令比較簡(jiǎn)單，這里不補(bǔ)充什么了。而且，不要懼怕英語(yǔ)。

options:
  -h, --help            show this help message and exit
  --domain DOMAIN       domain name to test
  --connect             attempt HTTP connection to non-RFC 1918 hosts
  --wide                scan entire class c of discovered records
  --traverse TRAVERSE   scan IPs near discovered records, this won't enter adjacent class c's
  --search SEARCH [SEARCH ...]
                        filter on these domains when expanding lookup
  --range RANGE         scan an internal IP range, use cidr notation
  --delay DELAY         time to wait between lookups
  --subdomains SUBDOMAINS [SUBDOMAINS ...]
                        use these subdomains
  --subdomain-file SUBDOMAIN_FILE
                        use subdomains specified in this file (one per line)
  --dns-servers DNS_SERVERS [DNS_SERVERS ...]
                        use these dns servers for reverse lookups
  --dns-file DNS_FILE   use dns servers specified in this file for reverse lookups (one per line)
  --tcp                 use TCP instead of UDP

示例：

fierce --dns-servers 8.8.8.8 --domain sina.com.cn

4.2：dnsenum

dnsenum 是一個(gè)用于枚舉域名信息的開源工具。通過(guò)執(zhí)行多種 DNS 查詢來(lái)收集與目標(biāo)域名相關(guān)的信息。

基本語(yǔ)法：
dnsenum 選項(xiàng)

常用選項(xiàng)：
自己看幫助信息。(=￣ω￣=)喵了個(gè)咪

示例：

dnsenum -dnsserver 8.8.8.8 sina.com -o sina.xml

4.3：dnsrecon

dnsrecon 是一款用于進(jìn)行域名枚舉和信息收集的開源工具。

基本語(yǔ)法：
dnsrecon 選項(xiàng)

自我感覺(jué)不如前面兩個(gè)好用。o(′^｀)o。反正，這類工具只需熟悉一個(gè)即可。

5：域名注冊(cè)信息

域名注冊(cè)信息是與域名相關(guān)的注冊(cè)和所有者信息。

這些信息通常包括域名所有者的名稱、聯(lián)系信息、注冊(cè)日期、過(guò)期日期、域名服務(wù)器（DNS服務(wù)器）等。

查找和獲取特定域名的 DNS 注冊(cè)信息，有以下方法：

• 網(wǎng)站查詢
• whois 命令

5.1：相關(guān)網(wǎng)站

• AFRINIC（African Network Information Center，非洲網(wǎng)絡(luò)信息中心）
  https://www.afrinic.net/

• APNIC（Asia-Pacific Network Information Centre，亞太網(wǎng)絡(luò)信息中心）
  https://www.apnic.net/

• ARIN（American Registry for Internet Numbers，美洲互聯(lián)網(wǎng)數(shù)字資源注冊(cè)局）
  https://www.arin.net/

• IANA（Internet Assigned Numbers Authority，互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)）
  https://www.iana.org/

• ICANN（Internet Corporation for Assigned Names and Numbers，互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)）
  https://www.icann.org/

• LACNIC（Latin America and Caribbean Network Information Centre，拉丁美洲和加勒比網(wǎng)絡(luò)信息中心）
  https://www.lacnic.net/

• NRO（Number Resource Organization，數(shù)字資源組織）
  https://www.nro.net/

• RIPENCC（Réseaux IP Européens Network Coordination Centre，歐洲網(wǎng)絡(luò)協(xié)調(diào)中心）
  https://www.ripe.net/

• Internic（Internet Network Information Center，互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心）
  https://www.internic.net/

5.2：whois

whois 用于查詢和獲取域名的注冊(cè)信息?？梢圆榭磁c特定域名相關(guān)的注冊(cè)商、域名所有者、注冊(cè)日期、過(guò)期日期、DNS 服務(wù)器等信息。

基本語(yǔ)法：
whois 選項(xiàng)

常用選項(xiàng)：
使用 whois -h 查看。

示例：

whois -h whois.apnic.net 192.0.43.10

6：搜索引擎

合理使用搜索引擎可能會(huì)有意想不到的收獲。

• 公司新聞動(dòng)態(tài)
• 重要雇員信息
• 機(jī)密文檔/網(wǎng)絡(luò)拓?fù)?/li>
• 用戶名密碼
• 目標(biāo)系統(tǒng)軟硬件技術(shù)架構(gòu)

6.1：Shodan

Shodan 專門用于搜索與互聯(lián)網(wǎng)連接的設(shè)備和系統(tǒng)。它主要關(guān)注的是物聯(lián)網(wǎng)設(shè)備、工業(yè)控制系統(tǒng)、服務(wù)器和其他網(wǎng)絡(luò)設(shè)備等特定類型的聯(lián)網(wǎng)設(shè)備。

鏈接：https://www.shodan.io/

登錄后，可在首頁(yè)查看篩選語(yǔ)法。

6.2：Google

Google 搜索引擎工作原理是通過(guò)自動(dòng)化程序（爬蟲）定期抓取互聯(lián)網(wǎng)上的網(wǎng)頁(yè)內(nèi)容，并建立一個(gè)龐大的索引數(shù)據(jù)庫(kù)。

善用 Google 的篩選語(yǔ)法也能有以外收獲

除此以外，Exploit-DB 提供了一個(gè)廣泛的漏洞利用數(shù)據(jù)庫(kù)：
https://www.exploit-db.com/

Google Hacking Database（GHDB）：
https://www.exploit-db.com/google-hacking-database

6.3：其他

• Yandex

Yandex 是俄羅斯最大的互聯(lián)網(wǎng)搜索引擎和在線服務(wù)提供商之一。

• ZoomEye

ZoomEye 專門用于搜索與互聯(lián)網(wǎng)上的網(wǎng)絡(luò)設(shè)備和系統(tǒng)相關(guān)的信息。它被稱為網(wǎng)絡(luò)空間搜索引擎，與 Shodan 類似。

7：相關(guān)工具

7.1：theHarvester

theHarvester 能夠在多個(gè)搜索引擎、DNS 服務(wù)器、互聯(lián)網(wǎng)檔案館和其他公開數(shù)據(jù)源中搜索信息。如電子郵件地址、子域名、主機(jī)名、開放端口等。

theHarvester is used to gather open source intelligence (OSINT) on a company or domain.

基本語(yǔ)法：
theHarvester 選項(xiàng)

常用選項(xiàng)：
自己看幫助信息。(=￣ω￣=)

7.2：Maltego

Maltego 是一款用于數(shù)據(jù)挖掘和情報(bào)收集的可視化工具。

通過(guò)可視化關(guān)聯(lián)，能幫助用戶發(fā)現(xiàn)隱藏的信息、連接和模式，從而支持取證、網(wǎng)絡(luò)偵查、情報(bào)分析和安全評(píng)估等任務(wù)。

Maltego 的核心概念是 “ 實(shí)體 ” 和 “ 變換 ”。

• 實(shí)體代表各種信息元素，例如人員、組織、域名、IP地址、電子郵件等。
• 變換是執(zhí)行各種操作和查詢的過(guò)程，用于獲取、分析和展示實(shí)體之間的關(guān)系和屬性。

通過(guò)點(diǎn)擊圖標(biāo)或使用命令 maltego 打開工具。

初次使用需注冊(cè)。

7.3：Recon-NG

Recon-NG 是一款開源情報(bào)收集和偵察框架（全特性 web 偵察框架）。它用于自動(dòng)化和簡(jiǎn)化情報(bào)收集任務(wù)。其核心思想是通過(guò)模塊化和插件化的方式，擴(kuò)展其功能和數(shù)據(jù)源。

Recon-NG 它支持各種模塊，包括搜索引擎、社交媒體、在線數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)掃描工具等，用于執(zhí)行各種查詢和收集信息。用戶可以根據(jù)自己的需求選擇和配置適當(dāng)?shù)哪K，將其組合成工作流程，并進(jìn)行自動(dòng)化執(zhí)行。

其命令格式與 msf 類似。

通過(guò)點(diǎn)擊圖標(biāo)或使用命令 recon-ng 打開工具。

8：其他途徑

• 社交網(wǎng)絡(luò)
• 工商注冊(cè)
• 新聞/論壇
• 招聘網(wǎng)站
• https://archive.org/web/web.php ：收集了歷年網(wǎng)站頁(yè)面。

8.1：社工字典

按個(gè)人信息生成專屬的密碼字典。

Common User Password Profiler（CUPP，通用用戶密碼探查器）：
https://github.com/Mebus/cupp

8.2：Metadata

元數(shù)據(jù)（Metadata）是描述數(shù)據(jù)的數(shù)據(jù)，即關(guān)于數(shù)據(jù)的信息。通常包含有關(guān)數(shù)據(jù)的結(jié)構(gòu)、格式、含義、來(lái)源、創(chuàng)建者、時(shí)間戳等信息。

常見領(lǐng)域中的元數(shù)據(jù)：

• 圖像和音頻
  在圖像和音頻文件中，元數(shù)據(jù)可以包含有關(guān)拍攝設(shè)備、拍攝時(shí)間、分辨率、作者、版權(quán)信息等。

• 文檔和文件
  在文檔和文件中，元數(shù)據(jù)可以包含有關(guān)創(chuàng)建者、最后修改時(shí)間、文檔類型、關(guān)鍵字、版本歷史等。

• 數(shù)據(jù)庫(kù)
  在數(shù)據(jù)庫(kù)中，元數(shù)據(jù)描述了表、字段、索引、關(guān)系和約束等數(shù)據(jù)庫(kù)結(jié)構(gòu)信息，使得數(shù)據(jù)的組織和查詢變得更加高效和準(zhǔn)確。

• 網(wǎng)絡(luò)和互聯(lián)網(wǎng)
  在網(wǎng)絡(luò)和互聯(lián)網(wǎng)中，元數(shù)據(jù)用于描述網(wǎng)頁(yè)的標(biāo)題、描述、關(guān)鍵字、鏈接關(guān)系等，以及用于搜索引擎索引和網(wǎng)頁(yè)排名。

• 科學(xué)研究
  在科學(xué)研究中，元數(shù)據(jù)可以描述實(shí)驗(yàn)數(shù)據(jù)的收集方法、實(shí)驗(yàn)條件、測(cè)量單位、數(shù)據(jù)質(zhì)量等，使得其他研究人員可以理解和重現(xiàn)實(shí)驗(yàn)。

元數(shù)據(jù)可以手動(dòng)添加，也可以由系統(tǒng)自動(dòng)生成。
它能以各種格式存儲(chǔ)，如標(biāo)記語(yǔ)言（如XML、JSON）、數(shù)據(jù)庫(kù)表、注釋字段等。

8.3：Exif

Exif（Exchangeable Image File Format）是一種用于存儲(chǔ)數(shù)字圖像和音頻文件元數(shù)據(jù)的標(biāo)準(zhǔn)格式。通常用于 JPEG、TIFF 和 RAW 圖像文件中，用于記錄與圖像相關(guān)的信息。

Exif 提供了關(guān)于圖像的拍攝參數(shù)、設(shè)備信息、拍攝時(shí)間等詳細(xì)的元數(shù)據(jù)。

Kali 中，可以使用 exiftool 命令查看相關(guān)信息。

基本語(yǔ)法：
exiftool 圖片

示例：

惡莫大于縱己之欲，禍莫大于言人之非。

——《格言聯(lián)璧》（清）金纓 文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-459331.html

到了這里，關(guān)于《Kali滲透基礎(chǔ)》03. 被動(dòng)信息收集的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！