一、被動信息收集

1、概念：

信息收集的方式分為兩種：被動收集和主動收集。被動信息收集方式是指利用第三方的服務(wù)對目標(biāo)進(jìn)行訪問了解，比如Google搜索。主動信息收集方式：通過直接訪問、掃描網(wǎng)站，這種流量流經(jīng)網(wǎng)站的行為，比如：nmap掃描端口。

2、被動信息收集的目的：

通過公開渠道，取獲取目標(biāo)主機(jī)的信息，從而不與目標(biāo)系統(tǒng)直接交互，避免留下痕跡。

3、信息收集的內(nèi)容范圍：

1、ip地址段；
?2、域名信息；
?3、郵件地址；
?4、文檔圖片數(shù)據(jù)；
?5、公司地址；
?6、公司組織架構(gòu)；
?7、聯(lián)系電話、傳真號碼等；
?8、人員姓名、職務(wù)；
?9、目標(biāo)系統(tǒng)使用的技術(shù)架構(gòu)；
?10、公開的商業(yè)信息；

二、DNS 域名解析原理

1、 DNS 服務(wù)器概述：

DNS（Domain Name Server，域名服務(wù)器）是進(jìn)行域名(domain name)和與之相對應(yīng)的IP地址 (IP address)轉(zhuǎn)換的服務(wù)器。DNS服務(wù)器分為根域DNS服務(wù)器、頂級域名DNS服務(wù)器。根域DNS服務(wù)器有13個，都存儲了全部的頂級域名服務(wù)器的所在地址；

2、域名記錄的類別：

1.A記錄

A記錄是最常見和最常用的一種記錄類型，用于指定主機(jī)名和IP（IPv4）地址之間的關(guān)系。通過添加A記錄，網(wǎng)站管理者可以將域名與網(wǎng)站服務(wù)器地址進(jìn)行綁定。

2.AAAA記錄

與A記錄相對的是，AAAA記錄是用于將域名解析到IPv6地址的一種DNS記錄類型。國內(nèi)很多解析服務(wù)器不支持AAAA記錄的設(shè)置，如果想進(jìn)行AAAA記錄解析，就需要將域名的NS記錄指向一些專業(yè)的域名解析廠商。

3.CNAME記錄

CNAME記錄也是比較常用的一種記錄類型，它是主機(jī)名到主機(jī)名的映射。如果需要將域名指向另一個域名，而不是一個IP地址，那么就需要添加一條CNAME記錄。在CDN、企業(yè)郵箱、全局流量管理等業(yè)務(wù)場景下，經(jīng)常會使用到CNAME記錄。

4.NS記錄

NS記錄用于將子域名交給其他DNS服務(wù)商解析時使用，從某種意義上來講NS記錄相當(dāng)于設(shè)置子域名解析服務(wù)器的A記錄，用于在解析請求時確定該服務(wù)器的IP地址。大多數(shù)域名注冊商默認(rèn)使用自己的NS記錄來解析用戶的域名，但用戶也可以設(shè)置NS記錄指向更專業(yè)安全的域名解析廠商。

5.MX記錄

MX記錄是郵件交換記錄，主要用于郵箱解析，在發(fā)送郵件時根據(jù)收件人的地址后綴進(jìn)行郵件服務(wù)器的定位。MX記錄的權(quán)重對郵件服務(wù)非常重要，發(fā)送郵件時，會先對域名進(jìn)行解析，查找MX記錄，按照權(quán)重從小到大的順序聯(lián)通服務(wù)器進(jìn)行郵件發(fā)送。

6.TXT記錄

TXT記錄，一般用于某個主機(jī)名的標(biāo)識和說明，通過設(shè)置TXT記錄可以使別人更方便地聯(lián)系到你。此外TXT記錄還常用于做SPF反垃圾郵件和SSL證書的DNS驗(yàn)證等。

7.PTR記錄

PTR記錄可以簡單理解為A記錄的反向記錄，用于將一個IP地址指向?qū)?yīng)的主機(jī)名，實(shí)現(xiàn)通過IP地址訪問域名。

8.SOA記錄

SOA記錄又叫起始授權(quán)機(jī)構(gòu)記錄，NS標(biāo)記多臺解析服務(wù)器，SOA記錄用于表明在眾多NS記錄中哪一臺才是主服務(wù)器。當(dāng)要查詢的域名在所有遞歸解析服務(wù)器中沒有域名解析的緩存時，就會回源來請求此域名的SOA記錄，獲取提供權(quán)威解析服務(wù)的地址。

9.SRV記錄

SRV記錄即服務(wù)定位（SRV）資源記錄，用于定義提供特定服務(wù)的服務(wù)器的位置，如主機(jī)（hostname），端口（port number）等。

10.URL轉(zhuǎn)發(fā)

URL轉(zhuǎn)發(fā)，是將當(dāng)前訪問的域名指向另一個網(wǎng)絡(luò)地址，可以分為顯性轉(zhuǎn)發(fā)和隱性轉(zhuǎn)發(fā)兩種。顯性URL：將域名指向另一個網(wǎng)絡(luò)地址時，訪問域名自動跳轉(zhuǎn)至目標(biāo)網(wǎng)址，地址欄顯示為目標(biāo)網(wǎng)站地址。隱性URL：訪問域名跳轉(zhuǎn)到目標(biāo)網(wǎng)站，但地址欄顯示為原網(wǎng)站地址。

3、DNS緩存

不負(fù)責(zé)解析域名，只是緩存域名解析結(jié)果。

但在實(shí)際的解析過程中，并不是客戶端的每一次訪問都需要委托遞歸服務(wù)器進(jìn)行迭代查詢，而是先搜索瀏覽器自身的DNS緩存，如果有，解析到此為止；如果DNS緩存中沒有結(jié)果就會讀取操作系統(tǒng)中的HOSTS文件查找對應(yīng)的映射關(guān)系，如果有到此完成；如果沒有，再請求遞歸服務(wù)器，進(jìn)行全球遞歸查詢。從中我們可以看出DNS緩存是獲取域名解析記錄的第一步驟。

4、DNS查詢過程

一個DNS查詢過程，通過8個步驟的解析過程就使得客戶端可以順利訪問域名，但實(shí)際應(yīng)用中，通常這個過程是非常迅速的；

1） 瀏覽器緩存:當(dāng)用戶通過瀏覽器訪問某域名時，瀏覽器首先會在自己的緩存中查找是否有該域名對應(yīng)的IP地址（若曾經(jīng)訪問過該域名且沒有清空緩存便存在）；
2） 系統(tǒng)緩存:當(dāng)瀏覽器緩存中無域名對應(yīng)IP則會自動檢查用戶計(jì)算機(jī)系統(tǒng)Hosts文件DNS緩存是否有該域名對應(yīng)IP；
3） 路由器緩存:當(dāng)瀏覽器及系統(tǒng)緩存中均無域名對應(yīng)IP則進(jìn)入路由器緩存中檢查，以上三步均為客戶端的DNS緩存；
4） ISP（互聯(lián)網(wǎng)服務(wù)提供商）DNS緩存(一般就是本地DNS服務(wù)器):當(dāng)在用戶客戶端查找不到域名對應(yīng)IP地址，則將進(jìn)入ISP DNS緩存中進(jìn)行查詢。比如你用的是電信的網(wǎng)絡(luò)，則會進(jìn)入電信的DNS緩存服務(wù)器中進(jìn)行查找；
5） 根域名服務(wù)器：當(dāng)以上均未完成，則進(jìn)入根服務(wù)器進(jìn)行查詢。全球僅有13臺根域名服務(wù)器，1個主根域名服務(wù)器，其余12為輔根域名服務(wù)器。根域名收到請求后會查看區(qū)域文件記錄，若無則將其管轄范圍內(nèi)頂級域名（如.com）服務(wù)器IP告訴本地DNS服務(wù)器；
6） 頂級域名服務(wù)器：頂級域名服務(wù)器收到請求后查看區(qū)域文件記錄，若無則將其管轄范圍內(nèi)主域名服務(wù)器的IP地址告訴本地DNS服務(wù)器；
7） 主域名服務(wù)器：主域名服務(wù)器接受到請求后查詢自己的緩存，如果沒有則進(jìn)入下一級域名服務(wù)器進(jìn)行查找，并重復(fù)該步驟直至找到正確紀(jì)錄；
8）保存結(jié)果至緩存：本地域名服務(wù)器把返回的結(jié)果保存到緩存，以備下一次使用，同時將該結(jié)果反饋給客戶端，客戶端通過這個IP地址與web服務(wù)器建立鏈接。
?

5、DNS查詢方式： 遞歸查詢和迭代查詢

（1）、主機(jī)向本地域名服務(wù)器的查詢一般都是采用遞歸查詢。
（2）、本地域名服務(wù)器向根域名服務(wù)器的查詢的迭代查詢。
?
遞歸：客戶端只發(fā)一次請求，要求對方給出最終結(jié)果。
迭代：客戶端發(fā)出一次請求，對方如果沒有授權(quán)回答，它就會返回一個能解答這個查詢的其它名稱服務(wù)器列表，客戶端會再向返回的列表中發(fā)出請求，直到找到最終負(fù)責(zé)所查域名的名稱服務(wù)器，從它得到最終結(jié)果。

三、DNS信息收集方法?

1、將域名解析為IP地址

可以采用直接ping的方法，這樣比較直接；如果想知道百度的ip地址，命令如下：ping www.baidu.com ，可以看到百度的IP地址為：110.242.68.4

ping命令支持指定數(shù)據(jù)包的數(shù)量，ping www.baidu.com? -c 1 ? 指定發(fā)送一個數(shù)據(jù)包；

2、使用nslookup查看域名

nslookup (全稱 name server lookup) ，是一個在命令行界面下的網(wǎng)絡(luò)工具，它有兩種模式: 交互 & 非交互，進(jìn)入交互模式在命令行界面直接輸入nslookup按回車，非交互模式則是后面跟上查詢的域名或者 IP 地址按回車。一般來說，非交互模式適用于簡單的單次查詢，若需要多次查詢，則交互模式更加適合。

非交互模式：nslookup 的查詢在不指定參數(shù)的情況下，默認(rèn)查詢的類型為A。非交互模式下每次查詢需要輸入完整的命令和參數(shù)

?Server: ? ? ? ? 192.168.19.2? ? ? ? ? ? ? ?本機(jī)DNS設(shè)置
Address: ? ? ? ?192.168.19.2#53?

Non-authoritative answer:
12306.cn ? ? ? ?canonical name = 12306.cn.wsglb0.com.? ?#12306.cn域名的別名
Name: ? 12306.cn.wsglb0.com
Address: 101.28.249.31? ? ?#12306.cn解析出來的IP v4
Name: ? 12306.cn.wsglb0.com
Address: 2408:871a:a900:6::29? ??#12306.cn解析出來的IP v6

?查詢所有：nslookup -query=any 12306.cn ?

-querytype?和?-type?的效用一致，可以簡寫為?-q?和?-ty，其在不指定類型的情況下默認(rèn)查詢類型為?A

?交互模式：在命令行下輸入 nslookup，回車進(jìn)入交互模式；

可以看到進(jìn)入交互模式后不再需要輸入完整的命令便可以進(jìn)行查詢，并且可以連續(xù)的進(jìn)行查詢（友情提示Ctrl+C或者Cmd+C退出）

?最上面的 Server 和 Address 是該詞查詢的 DNS 服務(wù)器?？梢宰约褐付?，也可以默認(rèn)。
默認(rèn)情況下 DNS 服務(wù)器的端口為53
非權(quán)威應(yīng)答（Non-authoritative answer）意味著answer來自于其他服務(wù)器的緩存，而不是權(quán)威的12306服務(wù)器。緩存會根據(jù) ttl（Time to Live）的值定時的進(jìn)行更新。

3、DNS 信息收集-DIG

作用：查詢DNS包括NS記錄，A記錄，MX記錄等相關(guān)信息的工具。

語法： dig (選項(xiàng)) 需要查詢的域名
@<DNS 服務(wù)器地址>： 指定進(jìn)行域名解析的域名服務(wù)器；

@<服務(wù)器地址>：指定進(jìn)行域名解析的域名服務(wù)器；
-b<ip地址>：當(dāng)主機(jī)具有多個IP地址，指定使用本機(jī)的哪個IP地址向域名服務(wù)器發(fā)送域名查詢請求；
-f<文件名稱>：指定dig以批處理的方式運(yùn)行，指定的文件中保存著需要批處理查詢的DNS任務(wù)信息；
-P：指定域名服務(wù)器所使用端口號；
-t<類型>：指定要查詢的DNS數(shù)據(jù)類型；
-x<IP地址>：執(zhí)行逆向域名查詢；
-4：使用IPv4；
-6：使用IPv6；
-h：顯示指令幫助信息。

主機(jī)：指定要查詢域名主機(jī)；
查詢類型：指定DNS查詢的類型；
查詢類：指定查詢DNS的class；
查詢選項(xiàng)：指定查詢選項(xiàng)。

• dig 命令默認(rèn)的輸出信息可以分為 5 個部分。
  • 第一部分顯示 dig 命令的版本和輸入的參數(shù)。
  • 第二部分顯示服務(wù)返回的一些技術(shù)詳情，比較重要的是 status。如果 status 的值為 NOERROR 則說明本次查詢成功結(jié)束。
  • 第三部分中的 "QUESTION SECTION" 顯示我們要查詢的域名。
  • 第四部分的 "ANSWER SECTION" 是查詢到的結(jié)果。
  • 第五部分則是本次查詢的一些統(tǒng)計(jì)信息，比如用了多長時間，查詢了哪個 DNS 服務(wù)器，在什么時間進(jìn)行的查詢等等。

any #顯示所有類型的域名記錄。默認(rèn)只顯示 A 記錄?

使用-x 參數(shù) IP 反查域名
root@xuegod53:~# dig -x 114.114.114.114

四、查詢網(wǎng)站的域名注冊信息和備案信息

1、Whois 查詢方式： Web 接口查詢和 Whois 命令查詢；
（1）、通過 Web 接口查詢：
這里只是舉2 個例子，其實(shí)有很多。
阿里云：https://whois.aliyun.com/
站長之家：http://whois.chinaz.com/

（2）、Whois 命令查詢
root@xuegod53:~# whois xuegod.cn

2、備案信息查詢
（1）、Web 接口查詢：
http://icp.chinaz.com/

（2）、天眼查
https://www.tianyancha.com/

五、 使用 Maltego 收集子域名信息

?1、子域名介紹：

頂級域名是域名的最后一個部分，即是域名最后一點(diǎn)之后的字母，例如在http://example.com這個域名中，頂級域是.com（或.COM），大小寫視為相同。
常見的頂級域主要分2類：

2、頂級域名介紹：

通用頂級類別域名常見的有：用于工商金融企業(yè)的.com；用于教育機(jī)構(gòu)的.edu；用于政府部門的.gov；用于互聯(lián)網(wǎng)絡(luò)信息中心和運(yùn)行中心的.net；用于非盈利組織的.org。
國家及地區(qū)頂級域，如".cn"代表中國，".uk"代表英國等，地理頂級域名一般由各個國家或地區(qū)負(fù)責(zé)管理。子域名（Subdomain Name），凡頂級域名前加前綴的都是該頂級域名的子域名，而子域名根據(jù)技術(shù)的多少分為二級子域名，三級子域名以及多級子域名。

3、?挖掘子域名的重要性

子域名是某個主域的二級域名或者多級域名，在防御措施嚴(yán)密情況下無法直接拿下主域，那么就可以采用迂回戰(zhàn)術(shù)拿下子域名，然后無限靠近主域。
例如：www.xxxxx.com 主域不存在漏洞，并且防護(hù)措施嚴(yán)密。而二級域名 edu.xxxxx.com 存
在漏洞，并且防護(hù)措施松散。

4、子域名挖掘方法

1. 子域名挖掘工具 ：Maltego 子域名挖掘機(jī)。

先在Maltego官網(wǎng)注冊，因?yàn)槟壳霸摴ぞ卟坏卿浭遣荒苷Ｊ褂玫?，同學(xué)們需要使用 gmail
郵箱或 163 進(jìn)行注冊。
注冊帳號網(wǎng)址：https://www.paterva.com/web7/community/community.php

賬號注冊成功：

在KALI中打開maltego，使用免費(fèi)版本就可以；

2. 搜索引擎挖掘 如： 在 Google 中輸入 site:qq.com
3. 第三方網(wǎng)站查詢：http://tool.chinaz.com/subdomain、https://dnsdumpster.com/
4. 證書透明度公開日志枚舉：https://crt.sh/ 、http://censys.io/
5. 其他途徑：https://phpinfo.me/domain 、http://dns.aizhan.com

?文章來源地址http://www.zghlxwxcb.cn/news/detail-499856.html

?

到了這里，關(guān)于【kali學(xué)習(xí)筆記】利用第三方服務(wù)對目標(biāo)進(jìn)行被動信息收集的文章就介紹完了。如果您還想了解更多內(nèi)容，請?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！