信息收集
(0)

什么是被动信息收集?

被动信息收集指的是从公开渠道获取信息,与目标主机和系统不产生直接信息交互,尽量避免留下一切的痕迹,就是相当于一个用户的在正常访问而已,这些信息被公司或者其它机构认为不是机密的,因而公开出来(但,真的不机密吗?)

需要收集的内容有:
子域名 / 公开商业信息 / IP地址段 / 域名信息 / 邮件地址 / 文档图片数据 / 公司地址 / 公司组织架构 / 联系电话 / 传真号码 / 人员姓名 / 职务 / 目标系统使用的技术架构 / 日常习惯用语

渗透顶级方法:社工

1.从 whois 可以查到注册商、注册人、邮件、DNS解析服务器、注册人联系电话等

国外的who.is:https://who.is/
站长之家:http://whois.chinaz.com/
爱站:https://whois.aizhan.com/
微步:https://x.threatbook.cn/
中国互联网信息中心:http://ipwhois.cnnic.net.cn/
注:若在国内 whois 隐去了信息,可到国外 who.is 查询,最后一个可查 IP 地址段

2.查企业备案信息

天眼查:https://www.tianyancha.com/
ICP备案查询网:http://www.beianbeian.com/
国家企业信用信息公示系统:http://www.gsxt.gov.cn/index.html
注:国外的服务器无需备注,但国内需要

3.获取子域名

通过跑字典枚举
常见工具有:layer / subDomainsBrute

2.DNS 数据查询 —— 基于 SSL 证书查询
https://crt.sh/
https://censys.io/
https://developers.facebook.com/tools/ct/
https://google.com/transparencyreport/https/ct/

4.获取真实 IP(绕过 CDN)

如何判断有没有用 CDN 或者是不是真实 IP:

  1. 使用 nslookup 如果有用 CDN ,解析出来的 IP 就会有多个
  2. 多个地点 ping 如:http://ping.chinaz.com/,ping 出来的结果有多个 IP ,表明用了 CDN
  3. 反查 IP ,如果得到的域名不止一个,就不是真实 IP
  4. python socket 模块来获取,如果有多个 IP ,表明用了,没有则没用 CDN:
    1d6133f47d7c0e71405ceaaec71ddc4.png

寻找真实 IP:

  1. 最可靠的是:让服务器给你发一封邮件,从邮件源码获取 IP 地址
  2. 使用国外冷门 DNS 服务器解析目标域名
  3. 使用 https://dnsdb.io/zh-cn/ 进行查询
  4. 使用微步在线 https://x.threatbook.cn/ 进行查询
  5. shodan fofa zoomeye

6.先从 apnic 获取 IP 段,比如获取亚太地区的 IP :
wget ftp://ftp.apnic.net/public/apnic/stats/apnic/delegated-apnic-latest CN.txt
zmap -w CN.txt -p 80 -o 80.txt需要花费较长的时间进行 banner抓取随后设置 host ,清洗数据

7.F5 LTM解码法
当服务器使用F5 LTM做负载均衡时,通过对set-cookie关键字的解码真实ip也可被获取,例如:Set-Cookie:
BIGipServerpool_8.29_8030=487098378.24095.0000,先把第一小节的十进制数即487098378取出来,然后将其转为十六进制
数1d08880a,接着从后至前,以此取四位数出来,也就是0a.88.08.1d,最后依次把他们转为十进制数10.136.8.29,也就是最
后的真实ip。

8.Censys:https://censys.io/

5.网络架构探测

目标:操作系统,中间件,脚本语言,数据库,服务器,web容器等
Firefox插件:wappalyzer插件
一些特定的 scan 比如:Joomla! 的扫描器:joomscan,wordpress 的扫描器:wpscan 等等
云悉:http://www.yunsee.cn/info.html
查看数据包响应头
CMS指纹识别:http://whatweb.bugscaner.com/look/ 这里可批量识别 CMS
whatweb 工具

6.Google Hacking

intitle intext inurl site filetype + -
可到 https://www.exploit-db.com/google-hacking-database 疯狂学习

7.邮箱账号收集

收集站点邮箱账号收集的习惯(因为好多官方后台都是用内部邮箱账号登录的,哪天你就得到一个进后台的机会)

8.WAF 收集

故意报错

9.SHODAN

https://www.shodan.io/
banner:http
country:CN
192.168.10.1
city:BeiJing
port:80
hostname:baidu.com
os:linux
server:apache

10.查询历史网站

www.archive.org/web/web.php

11.旁站 + C段

http://www.webscan.cc/
Google hacking:site
必应:http://cn.bing.com/search?q=ip:111.111.111.111

12.图片获取地理信息等 + cupp 生成个人专属字典

13.微信公众号,app

别忘了主动信息收集:

与被动信息收集所不同的是,主动信息收集将与目标系统产生直接的交互,并且无可避免的将留下访问的痕迹,所以当你欲对目标主动信息收集时,最好使用代理或者第三方电脑来进行探测,但是,你仍然需要时刻做好被封杀的准备,所以你还要留一手,当然你也可以使用噪声来迷惑对方,淹没真实的探测流量,使对方难以发现。

到了这一步,你要先去探测该主机是否存活,在存活的情况下探测哪些端口开放着,再进一步去判断有哪些服务是开放的,除此之外还有各种 WAF 信息,系统信息,以及该网络上有哪些设施,然后综合起被动信息收集阶段所收集的信息以完成信息收集这一流程。

这里最重要最常使用的就是 nmap 这款工具,将有专门一篇文章来介绍 nmap ,拭目以待吧~

本文为作者HD_More发布,未经允许禁止转载!
上一篇 下一篇
评论
暂无评论 >_<
加入评论